中国软件论坛：防火墙的介绍

woaialing

最近和宿舍里的同学想一起做一个简单的个人防火墙，只需要实现基本的防火墙功能，
但一直不知道如何下手，希望有高手推荐几本相关的书籍资料，越基础越好哈，最好
是用C/C++语言讲述的，能提供电子书的下载地址自然更是感激不尽。
小弟在这里谢谢了~~！
=========================================
可以认真研究一下王艳平的《windows程序设计》，看完之后，随便看看防火墙的原理，就可以编写防火墙软件了。
========================================
另外，可以去这里找找有没有电子版本的。
http://www.xfocus.net/
=========================================
谢谢楼上的大哥，这本书小弟正在研读~~
========================================
++或c讲述的我还没听过，你这只要知道防火墙不防内网只防外网（但也有例外）就够了。
防火墙的布置有边界防火墙和节点防火墙。
=======================================
　　防火墙问题，是信息安全中的一个重大问题。其中主要是访问控制机制在起作用。
一、给网外来的访问请求定性。
　　外网要求访问内网的资源。
二、给网内来的访问请求定性。
　　内网要求访问外网的资源。
　　网络的产生和发展有几个原因：
１、共享资源。
２、通信。
３、资源的不对称性。每个网站都有它需要获取的资源。
三、防火墙本身的设计，需要保证网络本身的功能和性能要求。比如，跨防火墙的访问，是通过规则的匹配实现的，这需要大量的时间。
四、防火墙的过滤机制。
比如，划定访问许可的某网络的ＩＰ地址范围。
五、防火墙同时安装有向内和向外的协议处理机机制。
　　防火墙能够保证所在的协议体系结构层次上的跨网络的访问。

六、防火墙系统所能处理的协议，能够跟随网络系统的升级而升级。
七、防火墙系统能够打开尽可能多的ＩＰ地址和端口。
八、防火墙系统能够处理访问控制机制的许多问题。
九、防火墙可以是纯软件、纯硬件的、软硬件结合的。主要是针对协议的分析和处理机机制。
=========================================================================
　　一、基于规则的访问控制机制。
　　二、保存和利用访问历史记录。
　　三、结合到ＩＤＳ（入侵检测机制）。
　　四、产生式规则的问题。
１、１９４３年，ＰＯＳＴ发现了：所有的数学公式和定理，都可以表示成如ＩＦ……ＴＨＥＮ……，即“如果……，那么……”的形式。
同时，也证明了ＰＯＳＴ产生式规则，具有和ＴＵＲＩＮＧ图灵机等效的功能。
２、产生式规则，ＩＦ用于左部，ＴＨＥＮ用于右部。左部为条件，右部为动作。
３、新的一条事实Ｆ２，被应用时，就与规则库中的所有规则逐条匹配。如果此事实Ｆ２与规则ＲＦ２的左部匹配时，就触发这条规则。这条规则就被点火。
４、例如，点火了一条规则，则此规则的右部，被触发放置到事实集中。再逐次地点火。
５、直到规则库中再没有可被点火的规则。
　　五、规则有动态性。
例如，可以将新的访问机制，设计成新的规则，从而实现新的过滤或屏蔽掉某些向内或者向外的访问。
　　六、从外网来的访问数据包，必须是通过建立在防火墙系统上的协议处理机，经过其进行规则匹配后，才能访问相应的ＩＰ地址和端口。这里会有相应的各种协议处理机。
　　七、从内网向外的访问，其要访问的源地址被禁止，就同样无法访问外网的资源。
=====================================================================
　　防火墙系统涉及的协议问题：
　　一、主要有应用层的、传输层的、网络层的、数据链路层、物理层的协议数据。
　　二、都必须与ＴＣＰ／ＩＰ协议紧密结合。
　　三、不是每层都可以很容易用一种ＩＤＥ进行设计和编程，来处理相关的协议的。
　　四、ＩＮＴＥＲＮＥＴ方面，都会涉及到ＮＡＴ（网络地址转换）问题。
　　五、应用层向下，层层封装。物理层向上，层层解包。
　　六、一般标准的协议数据，其设计目的，就是为了获得资源，对话，共享资源。
　　七、例如，在应用层层面上，需要获得文件资源和一定的计算资源，一般可设计特定的协议。发出这类协议数据包时，由上往下，封装，加上传输层需要的包头，直到物理层加上物理层需要的包头。
　　八、所谓协议，简单地说，就是一种广义的指令，对端之间合作完成某种操作。实现对网络及资源的管理。
=============================================================
　　防火墙和其它网络控制软件的比较：　　
一、来到防火墙的协议数据包，会被识别、比较、匹配，以实现“ＷＨＯ　want　ＷＨＯＭ，do　ＷＨＡＴ”。
二、通常的办法，防火墙也嵌有对应的ＴＣＰ／ＩＰ的各层的协议处理机。
三、协议数据包是不是从防火墙通过的了，就要防火墙系统对各层协议进行处理。
四、当然，这种在防火墙系统进行的协议数据处理，其目的就是要找出不符合规则的数据包，过滤掉，屏蔽掉。
五、这样，该数据包就不能通过防火墙。
并可能被记录下来，是否归入入侵检测系统ＩＤＳ、ＩＰＳ的范围。
六、各种类型的协议数据要通过防火墙，其目的就是“读，写，修改”对端的网络数据。
当然，将网络之间和网络内部的操作，和单机上的“读，写，修改”比较，是根据其实际效果而言的。
============================================================
　　防火墙的功能和性能评价：
一、数据包通过与否。
二、处理ＴＣＰ／ＩＰ的五层协议。
三、ＮＡＴ网络地址转换。
四、处理大量猝发的数据包。
五、规则的设置、更新、动态性问题，人工的参与。
六、防止网络攻击。
七、各种定时因素。
八、缓冲区的设置因素。
九、物理设置和逻辑设置。包括端口因素。
============================================================
　　防火墙和内网、外网：
一、通过防火墙所造成的时延。
二、防火墙模型。
三、防火墙与内网和外网的统一模型。
四、防火墙模型的安全性分析。
五、防火墙模型的安全设置。
六、防火墙的透明性。让内网用户和外网用户看不到防火墙的存在。
七、如何确定防火墙功能和性能参数变更的原则。
八、承载防火墙的软件硬件体系平台。
九、多防火墙之间的互补。
十、防火墙和系统平台的结合。
==========================================================
　　防火墙分为包过滤和应用网关两大类型。
一、建立代理ＡＧＥＮＴ机制。
二、网络用户几乎感觉不到防火墙系统的存在。防火墙系统对网络用户是透明的。
三、防火墙有众多的机制，它们用网络的计算智能来实现。
四、连入和连出防火墙的路径，是一个重点。
它改变了网络协议数据包通过的路径。
如何设置必须经由防火墙的路径呢？
五、防火墙可以设计成能够对各层的协议数据包进行处理。
六、防火墙系统分层的原则。
七、防火墙系统与分布式系统如何结合。同时获得高效。