Linux防火墻入門:簡介
一旦連上網絡,就充滿各種危機。
許多人基于各式各樣的理由,想侵入你的系統(tǒng),這種人俗稱為 cracker。尤有甚者,近年來,cracker 圈里流行一種結合病毒行為及系統(tǒng)漏洞的入侵工具,稱為網蟲(Netwrom),它以類似網絡機器人(robot)的模式,到處掃射咬噬,已形成泛濫。比如:Lion、CodeRed、Nimda 等?,F(xiàn)在你只要將一臺新安裝好的Win平臺的機器連上網絡,不消幾分鐘之內,即可釣中一堆 CoreRed 或 Nimda 咬噬的封包。
傳統(tǒng)上,為了保護自身內部網絡的安全,另一方面,也為了可以做 網絡進出交通 的控管,通常所采用的方法是建構一層網絡防火墻系統(tǒng),在外部網絡和內部網絡之間,構筑一道屏障,以做為安全的區(qū)隔,使得特定的封包才能進入我們的內部網絡,而將大部份奇奇怪怪的封包,如 Nimda 網蟲掃射的封包,完全隔離在外,但同時,又可允許內部網絡的機器自在地對外聯(lián)機,內部的使用者上網的行為甚少需要有任何改變。
換言之,防火墻系統(tǒng)可區(qū)隔網絡封包,使內部網絡中流通的封包十分干凈,更讓網絡管理者在安裝新機器時,比如 NT/W2K,不致于一裝好、連上網絡就中標。單就這點,防火墻系統(tǒng)對校園網絡管理者而言,就十分有價值。
不過,防火墻系統(tǒng)十分昂貴,平民百姓及小單位的我們實在買不起,而且其功能也未必就如其所宣稱的那樣足以符合我們的需求。因此許多前賢開始尋找其它替代的方案,在低成本、高效益、彈性大的考量下,使用 FreeBSD/OpenBSD/Linux 來建構小型防火墻系統(tǒng)蔚為流行。甚至許多公司拿 FreeBSD/Linux的防火墻機制為基礎,制造出商用的防火墻系統(tǒng);國內某一知名的防火墻公司,其防火核心即源自于 Linux。
什么是網絡防火墻?
根據(jù)前述,在此我給防火墻一個簡單的定義 (這是OLS3自己的說法,若有誤謬,請不吝指正)。
防火墻 是指一套用來明顯區(qū)隔兩個(或以上)網絡之間的一組軟硬件裝置,使網管人員得以事先制定種種安全規(guī)則,針對網絡交通及安全程度,進行過濾控制和調整,最大的目的在于防止網絡遭受入侵。
防火墻的種類?
防火墻大概可以分為以下三種:
? 封包過濾式 (Packet Filtering Firewall)
? 網關式
? 代理式
簡單說明如下:
所謂封包過濾式防火墻是指:利用操作系統(tǒng),在 IP 層及傳輸層運作,藉由檢查封包的 IP 表頭,來決定該封包的路由(放行/轉向/丟棄/拒絕),而達到保護自身網絡的功能。本次研習要介紹的防火墻,即屬于封包過濾式的。這種防火墻的優(yōu)點是:效能好、控管性高、成本低廉。
所謂網關式防火墻是指:所有外部網絡可以到達的地方,僅止于這臺網關主機,而內部網絡的使用者欲連至外部網絡,需要先登入這臺網關主機。
所謂代理式防火墻是指:針對每一種應用服務程序,做代理伺服的工作,clietn端的使用者其實是和這臺代理主機連接,而非外部網絡的主機,但卻可使client端的使用者,感覺到他真的在取用外部網絡的主機服務一樣,此種特性,稱為 Proxy。代理式防火墻的優(yōu)點是:可確保資料的完整性,只有特定的服務才會被交換,并可針對其內容做過濾防毒,可進行高階的存取控制。
現(xiàn)代功能完備的的防火墻,經常結合封包過濾及Proxy代理這二種特性,不過價格相常地高。以中小學校園網絡而言,封包過濾式的防火墻,其實已足敷需要了。
評論