文档介绍:防火墙
    防火墙是阻止外面的人对你的网络进行访问的任何设备,此设备通常是软件和硬件和组合体,它通常根据一些规则来挑选想要或不想要的地址。为了更好地理解防火墙的工作原理,我们且以本书前面曾讨论过的一些主题为例进行说明。
  首先绝大多数简单的身份验证过程都是以IP地址为根据的。网上最普遍的身份索引,它有静态和动态之分。
■静态IP地址即固定不变的IP地址;网上的主机地址。静态IP地址分在几类。其中一类能通过Whois查询命令得到;网上最高层的主机的IP地址,这些主机可以是域名服务器、Web服务器和“根”主机,并且在InterNIC的Whois数据库中都有它们的注册主机名。网中的第二和第三层主机(这些机器还有固定的物理地址),然而这些机器不一定拥有注册主机名。但不管怎样它们有注册的IP地址。
  ■动态IP地址是指每次强制分配给不同的上网主机的地址。ISP的拔号服务器中经常使用动态IP地址--节点机每次拔号上网,都会被分配一个不同的IP地址。
无论IP地址是静态还是动态的,它都被用于网络传输中。
当你的计算机和一台远程计算机建立联连(Connection)时,各种对话随之产生。我已在第6章:“TCP/IP快速入门”对其中的一些进行了说明,其中最常见的一种--是TCP/IP的三次握手方式。对方可在三次握手过程中得知你主机的IP地址。
?
  防火墙最基本的构件既不是软件也不是硬件,而是构造防火墙的人的思想。
尽管防火墙有各种不同的类型,但所有的防火墙都有一个共同的特征:基于源地址基础上的区分或拒绝某些访问的能力。
 
目前存在着许多类型的防火墙,每种都有各自的优缺点,最常见的一种上称为“网络层防火墙”的防火墙。网络层防火墙通常以路由器为基础,换句话说路由器决定“谁”和“什么”能访问你的网络。这种方案采用了一种所谓的“数据报过滤”技术,即检查到达路由器的外部数据报并作出选择的技术。
  以路由器为基础的防火墙要对每个联结请求的源地址(即发出数据报的主机的IP地址)进行检查。确认了每个IP源地址后,防火墙构造者所制定的规则将被实施。基于路由器的防火墙有很快的速度,这是因为它被草草地检查一下源地址,没有发挥路由器的真正作用,并根本不判断地址是否是假的或伪装的。然而速度的加快是有代价的,基于路由器防火墙将源地址作为索引,这就意味着带有伪造源地址的数据报能在一定程度对你的服务器进行访问。
庆幸的是许多数据报过滤技术能弥补基于路由器的防火墙的缺陷。数据报的IP地址域并不是路由器唯一能捕捉的域。随着数据报过滤技术变得越来越复杂,系统管理员可使用的规则和方案也越来越复杂。现在系统管理员甚至能数据报中的车家信息作为过滤条件,当然还能以时间、协议、端口等作为过滤条件。
不需要构造一个完整的防火墙就可实现数据报过滤的功能。
■TCP_Wrappers
此工具以系统守护程序的形式运行并记录所有的联接请求、联结时间和最重要的信息--联接发起者,因此TCP_Wrapper是最重要的证据收集工具之一。同时它还能挑出不想要的网络IP地址并阻止用户从这些地址上和你的机器建立联接。
■NetGate
是一种基于规则的数据报过滤工具,用于运