網絡技術是從1990年代中期發展起來的新技術�,它把互聯網上分散的資源融為有機整體���,實現資源的全面共享和有機協作�����,使人們能夠透明地使用資源的整體能力并按需獲取信息。資源包括高性能計算機、存儲資源��、數據資源���、信息資源��、知識資源���、專家資源����、大型數據庫�����、網絡、傳感器等���。 當前的互聯網只限于信息共享,網絡則被認為是互聯網發展的第三階段���。
客戶機也有TCP/UDP端口
TCP/IP是一種端對端協議,每個網絡節點都具有唯一的地址����。網絡節點的應用層也是這樣��,處于應用層的每個應用程序和服務都具有自己的對應“地址”,也就是端口號����。地址和端口都具備了才能建立客戶機和服務器的各種應用之間的有效通信聯系����。比如,telnet服務器在端口23偵聽入站連接�����。同時telnet客戶機也有一個端口號����,否則客戶機的IP棧怎么知道某個數據包是屬于哪個應用程序的呢?
由于歷史的原因�����,幾乎所有的TCP/IP客戶程序都使用大于1023的隨機分配端口號��。只有UNIX計算機上的root用戶才可以訪問1024以下的端口,而這些端口還保留為服務器上的服務所用�。所以����,除非我們讓所有具有大于1023端口號的數據包進入網絡�,否則各種網絡連接都沒法正常工作。
這對防火墻而言可就麻煩了�,如果阻塞入站的全部端口�,那么所有的客戶機都沒法使用網絡資源����。因為服務器發出響應外部連接請求的入站(就是進入防火墻的意思)數據包都沒法經過防火墻的入站過濾。反過來,打開所有高于1023的端口就可行了嗎��?也不盡然�����。由于很多服務使用的端口都大于1023��,比如X client、基于RPC的NFS服務以及為數眾多的非UNIX IP產品等(NetWare/IP)就是這樣的��。那么讓達到1023端口標準的數據包都進入網絡的話網絡還能說是安全的嗎�����?連這些客戶程序都不敢說自己是足夠安全的����。
雙向過濾
OK��,咱們換個思路�。我們給防火墻這樣下命令:已知服務的數據包可以進來�����,其他的全部擋在防火墻之外。比如��,如果你知道用戶要訪問Web服務器�,那就只讓具有源端口號80的數據包進入網絡:
不過新問題又出現了。首先��,你怎么知道你要訪問的服務器具有哪些正在運行的端口號呢��? 象HTTP這樣的服務器本來就是可以任意配置的����,所采用的端口也可以隨意配置���。如果你這樣設置防火墻�����,你就沒法訪問哪些沒采用標準端口號的的網絡站點了�!反過來����,你也沒法保證進入網絡的數據包中具有端口號80的就一定來自Web服務器。有些黑客就是利用這一點制作自己的入侵工具,并讓其運行在本機的80端口���!
網絡的神奇作用吸引著越來越多的用戶加入其中,正因如此�,網絡的承受能力也面臨著越來越嚴峻的考驗―從硬件上����、軟件上、所用標準上......,各項技術都需要適時應勢,對應發展,這正是網絡迅速走向進步的催化劑。
