网安全基础:防火

　　[导读]我们已经知道如果自己的密码o还有如何使用资料加密的手段来资料。但是如果您的电脑遭到入侵o密码档案和私有键值都被盗窃了o我们所作的努力不就白费了吗t系统遭到入侵，在今天的网来说已是施空见惯的了...^_^

　　我们已经知道如果自己的密码o还有如何使用资料加密的手段来资料。但是如果您的电脑遭到入侵o密码档案和私有键值都被盗窃了o我们所作的努力不就白费了吗t系统遭到入侵，在今天的网来说已是施空见惯的了...^_^只要您的机器有连上网，那就有被入侵的可能。因此，所有的网安全专家所给的意见都是一样的：最安全的设定就是拔掉网线!

　　那么，我们如何做到安全的网连线呢?除了小心还是小心!不过，我们还可以用技术手段来对网线线加以控制，以便将一些不必要的连线排除在外。这样的技术设备，就是所谓的“防火墙(FireWall)”了。

　　何谓防火墙t

　　Firewall一词，原本是建筑物上用来阻隔火灾的结构，也有说是位于引擎室与驾驶舱之间的汽车部件。网的火墙就是这么用途的啦s将的、不安全的连线阻隔在您的网之外。而我们通常说的火墙有两种s过滤性火墙(filter)和代火墙(proxy)。若没特别说明，我们一般所说的火墙是指过滤性火墙。

　　然而o从安全觉度来看，proxy比起filter来说，将更加可靠：因为它将内部与外部网完全区隔开来了，除非它帮您做连线代理，否则别想建立连线。而且，内部网对外部网而言，是完全的!除此之外，proxy也有其非常好用的地方o比方说我们可以利用单一的连线o如使用modem/adslo然后让整个内部网连接外部资源o不仅节省硬体成本o而也无需支付多个ISP帐号与电话线。Proxy的功能就是“代理”o可以分为“程式代理”和“socks代理”，如无特指，一般是指程式代理。

　　前者可以说是为你代理所有应用软体的连线工作s当您需要连接外部资源的时候o您的请求是直接送给proxyo然后oproxy会帮您到真正的目的地去获取o然后再转送给您。而每一次的代理动作o它都会将资料保留一个备份o存在它的快取区去o如果再接获相同的请求(不管是原来的机器o还是另外别的机器发出的)o它就将存于快取里面的资料做为回复。有些聪明的proxy还能知道快取里面的资料是否和实际目的地的资料同步呢o如果发现实际目的地的资料经过更新o它就会再次复制进自己的快取去。

　　从的这个过程o我们可以看得出oproxy还可以提高网的存取速度哦o因为如果资料已经在快取里面了o其传送都在LAN里面进行o而无需经过复杂的由程序。同时o因为资料无需从外面重复传递o实际上o也令到网的流量减少许多。而且o通过proxyo我们也可以省下许多IP位址o因为其他机器尽可以使用私有IP就行了。目前正时兴的网咖(InternetCafe)o许多就是利用proxy来降低成本和提高www的浏览速度。另外oproxy还可以再经由上游proxy(或proxy阵列)连接interneto从而再可以提高效率和安全性。

　　而socks代理呢t就好象接线生那样o仅是将您的TCP连接由里面的接口搭至外面的接口而且。还记得在“网概念”里面提到的API吗tsocks代理其实就是代理API请求而已o而真正处理工作的o还是发出请求的主机本身。

　　这里还要一提的是“NAT(NetworkAddressTranslation)”o它的工作原理也非常近似socksproxyo不过o它是利用转换封包的位址来达到目的。如果本地网主机要将一个封包送到外面网o当火墙收到这个封包的时候o就会启动IP伪装功能(maquerading)o将来源位址暂时转换成其本身位址o然后等到接到回应封包之后o再将位址进行还原(demasquerading)。在里面的机器根本就无需知道这个动作o一切都由火墙处理好了。这和Proxy一样o也可以节省大量的IP位址o而让使用私有IP位址的主机也能够存取internet了。因此，有人也将NAT称为IPProxy。

　　防火墙的运作原理

　　如果您对TCP与IP协定已经相当了解的话o尤其是IP封包和TCP封包格式o那么，您将会更容易了解(过滤性)防火墙的运作s火墙会对所有经过的封包进行检查o按照一系列规则(rule)o来决定封包的处理方式。火墙一般都会根据封包的来源和目的位址p协定pportp界面等因素进行判断o决定是否让封包通过。提醒一下：firewall只管放行与否，至于要送到哪里去，则是routing所负责的。

　　我们设定规则的时候常多样性的o也可以由一个chain导向另一个chiano直到符合我们的要求为止。下面让我们看一看一个非常阳春的规则设定例子s

　　当我们从一个chain跳到另一个自定义的chain的时候o如果自定义的chain没有将封包剔除的话o就会回到刚才的chain的下一个规则去o继续其后的规则检查。从上例中我们可以看到s只有从192.168.1.1传给192.168.1.2的TCP封包才能过关o其它诸如ICMP和UDP封包o及其他位址的封包一律会被挡掉。只要我们精心设计o不难设定出一个适合自己情形的不太松也不太紧的火墙的。

　　防火墙的设定技巧

　　从的防火墙运作来看o我们可以运用设定规则o将一些重要的主机起来o让其只允许特定的网存取o也就可以将大部份的网入侵者摈于门外。不过o对于那些绝顶骇客高手而言o还是会从您的设定漏洞攻破您的的o例如s他们通常会使用“取道”的方法o绕过那些被的位址o以及通过不断改变位址来逃避追踪。有些较优秀的火墙程式o可以自动检测一些骇客常用的方法o除了会对网管理员发出预警之外o还可以即时切断该等连线o和径等动作。

　　同时o利用不同系统来设定多个火墙o也能提高防御能力s除非骇客对所有系统都熟悉o否则o过了一道火墙o还是过不了第二道火墙r而且由于第一道火墙的屏隔o要探测第二道火墙的难度也高许多。当然o要设定的规则就更为复杂了o通常都会造成过于严厉而令到一些网资源无法使用o或降低了网的效能。

　　所以o设计一套完善的规则o其实是件极具挑战性的事情o其后也需要不断的测试以修补漏洞o这也常耗时的工作。如果对一个繁忙的网来说o事先的测试工作就显得非常重要了s您总不能在收到一大堆不能连线的投诉之后而关闭火墙作调试吧t

　　通常我们在设定火墙的时候o划分一个“非军事区(DMZ-DemilitarizedZone)”常好用的s

　　我们可以设定火墙o允许外部直接传入到DMZ的伺服器o但仅于某些特定的协定o如DNSpWWWpFTPpMAIL等o同时也允许内部网使用这些服务。但外部网是完全进入内部网的o而内部网则可以通过Proxy存取外部资源r我们也允许内部伺服器使用rsync协定来和DMZ的机器进行资料同步。一般我们不会将重要的资料存放在DMZ的机器o而且邮件也会在DMZ接收后由内部伺服器提取进来。这样o就算那里的机器被攻破了o也不至于损失太多。

　　至于如何一一设定o恐怕不是这里能够详细论述的了。

　　在如今这个信息爆炸的时代里，每天都会有数不清的新闻通过各种渠道涌到我们面前，而真正有价值的应该进入我们心里的，却很可能随着日历牌的翻动被我们忽略。作为对一周新闻进行回顾的《比特网新闻中心每周热点推荐》，就是要告诉您过去的七天都发生了哪些新闻，更希望和您一起，站在七天的高度来看待过去一周的新闻。

　　领IT群雄秀企业风采。创刊于2008年2月，定位于行业（企业）信息化规划、建设、管理的中高层人士，通过精心的内容筛选，将每月发生的重点事件进行回顾，为高端人群提供深度阅读，与比特网内容的速度特性形成互补。主要栏目有：比特网精粹、新产品新技术、CIO、封面报道、下午茶精选等。

　　192.168.1.1怎么进业内首个只为报道数据中心资讯内容的专业频道，是为数据中心用户及厂商而建设的专业平台。以数据中心专业技术内容为核心，贯穿新鲜资讯、技巧方法和用户案例等高附加值内容。以为网友提供最具实用价值的信息为原则，以成为用户最信赖的行业专家为目标，打造高时效、高品质、高前瞻的最全威频道。企业数据中心热点播报，为您精心奉上过去一周数据中心最精彩、权威资讯_chinabyte比特网。

　　就服务器和数据中心领域的产业动态、技术热点、热门产品、实用技巧，向企业CIO/CTO、IT管理层、技术人员提供一周精选套餐，为数据中心决策者、使用者提供一份服务器行业以及数据中心领域最新动态及产品应用的技术套餐。