軟考網絡管理員:關于防火墻必須知道的幾點
提到防火墻�,顧名思義�����,就是防火的一道墻�����。防火墻的最根本工作原理就是數據包過濾�����。實際上在數據包過濾的提出之前����,都已經出現了防火墻�����。
數據包過濾�,就是通過查看題頭的數據包是否含有非法的數據��,我們將此屏蔽��。
舉個簡單的例子���,假如體育中心有一場劉德華演唱會�����,檢票員坐鎮(zhèn)門口����,他首先檢查你的票是否對應����,是否今天的�����,然后撕下右邊的一條,將剩余的給你���,然后告訴你演唱會現場在哪里�,告訴你怎么走���。這個基本上就是數據包過濾的工作流程吧��。
你也許經常聽到你們老板說:要增加一臺機器它可以禁止我們不想要的網站�,可以禁止一些郵件它經常給我們發(fā)送垃圾郵件和病毒等�,但是沒有一個老板會說:要增加一臺機器它可以禁止我們不愿意訪問的數據包。實際意思就是這樣�����。接下來我們推薦幾個常用的數據包過濾工具�。
最常見的數據包過濾工具是路由器。另外系統中帶有數據包過濾工具����,例如LinuxTCP/IP中帶有的ipchain等windows2000帶有的TCP/IPFiltering篩選器等,通過這些我們就可以過濾掉我們不想要的數據包�����。
防火墻也許是使用最多的數據包過濾工具了,現在的軟件防火墻和硬件防火墻都有數據包過濾的功能���。接下來我們會重點介紹防火墻的���。
防火墻通過一下方面來加強網絡的安全:
1、策略的設置
策略的設置包括允許與禁止���。允許例如允許我們的客戶機收發(fā)電子郵件�,允許他們訪問一些必要的網站等�。例如防火墻經常這么設置,允許內網的機器訪問網站�、收發(fā)電子郵件、從FTP下載資料等����。這樣我們就要打開80、25�、110、21端口�����,開HTTP����、SMTP、POP3���、FTP等�����。
禁止就是禁止我們的客戶機去訪問哪些服務�。例如我們禁止郵件客戶來訪問網站����,于是我們就給他打開25、110����,關閉80。
2����、NAT
NAT,即網絡地址轉換��,當我們內網的機器在沒有公網IP地址的情況下要訪問網站,這就要用到NAT�。工作過程就是這樣,內網一臺機器 192.168.0.10要訪問新浪�����,當到達防火墻時����,防火墻給它轉變成一個公網IP地址出去。一般我們?yōu)槊總工作站分配一個公網IP地址�。
防火墻中要用到以上提到的數據包過濾和代理服務器,兩者各有優(yōu)缺點�,數據包過濾僅僅檢查題頭的內容,而代理服務器除了檢查標題之外還要檢查內容�。當數據包過濾工具癱瘓的時候,數據包就都會進入內網�����,而當代理服務器癱瘓的時候內網的機器將不能訪問網絡���。
另外��,防火墻還提供了加密�����、身份驗證等功能����。還可以提供對外部用戶VPN的功能�。
相關推薦:
推薦:2010年計算機軟件水平考試必備完美攻略
網絡管理員:七大實戰(zhàn)技巧經驗有效管理網絡
