網(wǎng)絡技術是從1990年代中期發(fā)展起來的新技術，它把互聯(lián)網(wǎng)上分散的資源融為有機整體，實現(xiàn)資源的全面共享和有機協(xié)作，使人們能夠透明地使用資源的整體能力并按需獲取信息。資源包括高性能計算機、存儲資源、數(shù)據(jù)資源、信息資源、知識資源、專家資源、大型數(shù)據(jù)庫、網(wǎng)絡、傳感器等。 當前的互聯(lián)網(wǎng)只限于信息共享，網(wǎng)絡則被認為是互聯(lián)網(wǎng)發(fā)展的第三階段。

防火墻的工作原理(1)

    “黑客會打上我的主意嗎？”這么想就對了，黑客就想鉆雞蛋縫的蒼蠅一樣，看到一絲從系統(tǒng)漏洞發(fā)出的光亮就會蠢蠢欲動！好，如何保護你的網(wǎng)絡呢？計算機的高手們也許一張嘴就提議你安裝網(wǎng)絡的防火墻，那么第一個問題就來了：到底什么是防火墻呢？

　　什么是防火墻？

　　防火墻就是一種過濾塞（目前你這么理解不算錯），你可以讓你喜歡的東西通過這個塞子，別的玩意都統(tǒng)統(tǒng)過濾掉。在網(wǎng)絡的世界里，要由防火墻過濾的就是承載通信數(shù)據(jù)的通信包。

　　天下的防火墻至少都會說兩個詞：Yes或者No。直接說就是接受或者拒絕。最簡單的防火墻是以太網(wǎng)橋。但幾乎沒有人會認為這種原始防火墻能管多大用。大多數(shù)防火墻采用的技術和標準可謂五花八門。這些防火墻的形式多種多樣：有的取代系統(tǒng)上已經(jīng)裝備的TCP/IP協(xié)議棧；有的在已有的協(xié)議棧上建立自己的軟件模塊；有的干脆就是獨立的一套操作系統(tǒng)。還有一些應用型的防火墻只對特定類型的網(wǎng)絡連接提供保護（比如SMTP或者HTTP協(xié)議等）。還有一些基于硬件的防火墻產(chǎn)品其實應該歸入安全路由器一類。以上的產(chǎn)品都可以叫做防火墻，因為他們的工作方式都是一樣的：分析出入防火墻的數(shù)據(jù)包，決定放行還是把他們?nèi)拥揭贿叀?

　　所有的防火墻都具有IP地址過濾功能。這項任務要檢查IP包頭，根據(jù)其IP源地址和目標地址作出放行/丟棄決定。看看下面這張圖，兩個網(wǎng)段之間隔了一個防火墻，防火墻的一端有臺UNIX計算機，另一邊的網(wǎng)段則擺了臺PC客戶機。

　　當PC客戶機向UNIX計算機發(fā)起telnet請求時，PC的telnet客戶程序就產(chǎn)生一個TCP包并把它傳給本地的協(xié)議棧準備發(fā)送。接下來，協(xié)議棧將這個TCP包“塞”到一個IP包里，然后通過PC機的TCP/IP棧所定義的路徑將它發(fā)送給UNIX計算機。在這個例子里，這個IP包必須經(jīng)過橫在PC和UNIX計算機中的防火墻才能到達UNIX計算機。

　　現(xiàn)在我們“命令”（用專業(yè)術語來說就是配制）防火墻把所有發(fā)給UNIX計算機的數(shù)據(jù)包都給拒了，完成這項工作以后，“心腸”比較好的防火墻還會通知客戶程序一聲呢！既然發(fā)向目標的IP數(shù)據(jù)沒法轉(zhuǎn)發(fā)，那么只有和UNIX計算機同在一個網(wǎng)段的用戶才能訪問UNIX計算機了。

 

　　還有一種情況，你可以命令防火墻專給那臺可憐的PC機找茬，別人的數(shù)據(jù)包都讓過就它不行。這正是防火墻最基本的功能：根據(jù)IP地址做轉(zhuǎn)發(fā)判斷。但要上了大場面這種小伎倆就玩不轉(zhuǎn)了，由于黑客們可以采用IP地址欺騙技術，偽裝成合法地址的計算機就可以穿越信任這個地址的防火墻了。不過根據(jù)地址的轉(zhuǎn)發(fā)決策機制還是最基本和必需的。另外要注意的一點是，不要用DNS主機名建立過濾表，對DNS的偽造比IP地址欺騙要容易多了。

　　服務器TCP/UDP 端口過濾

　　僅僅依靠地址進行數(shù)據(jù)過濾在實際運用中是不可行的，還有個原因就是目標主機上往往運行著多種通信服務，比方說，我們不想讓用戶采用 telnet的方式連到系統(tǒng)，但這絕不等于我們非得同時禁止他們使用SMTP/POP郵件服務器吧？所以說，在地址之外我們還要對服務器的TCP/ UDP端口進行過濾。

 

　　比如，默認的telnet服務連接端口號是23。假如我們不許PC客戶機建立對UNIX計算機（在這時我們當它是服務器）的telnet連接，那么我們只需命令防火墻檢查發(fā)送目標是UNIX服務器的數(shù)據(jù)包，把其中具有23目標端口號的包過濾就行了。這樣，我們把IP地址和目標服務器TCP/UDP端口結(jié)合起來不就可以作為過濾標準來實現(xiàn)相當可靠的防火墻了嗎？不，沒這么簡單。

網(wǎng)絡的神奇作用吸引著越來越多的用戶加入其中，正因如此，網(wǎng)絡的承受能力也面臨著越來越嚴峻的考驗―從硬件上、軟件上、所用標準上......，各項技術都需要適時應勢，對應發(fā)展，這正是網(wǎng)絡迅速走向進步的催化劑。