中国软件论坛:防火墙的介绍
最近和宿舍里的同学想一起做一个简单的个人防火墙,只需要实现基本的防火墙功能,但一直不知道如何下手,希望有高手推荐几本相关的书籍资料,越基础越好哈,最好
是用C/C++语言讲述的,能提供电子书的下载地址自然更是感激不尽。
小弟在这里谢谢了~~!
=========================================
可以认真研究一下王艳平的《windows程序设计》,看完之后,随便看看防火墙的原理,就可以编写防火墙软件了。
========================================
另外,可以去这里找找有没有电子版本的。
http://www.xfocus.net/
=========================================
谢谢楼上的大哥,这本书小弟正在研读~~
========================================
++或c讲述的我还没听过,你这只要知道防火墙不防内网只防外网(但也有例外)就够了。
防火墙的布置有边界防火墙和节点防火墙。
=======================================
防火墙问题,是信息安全中的一个重大问题。其中主要是访问控制机制在起作用。
一、给网外来的访问请求定性。
外网要求访问内网的资源。
二、给网内来的访问请求定性。
内网要求访问外网的资源。
网络的产生和发展有几个原因:
1、共享资源。
2、通信。
3、资源的不对称性。每个网站都有它需要获取的资源。
三、防火墙本身的设计,需要保证网络本身的功能和性能要求。比如,跨防火墙的访问,是通过规则的匹配实现的,这需要大量的时间。
四、防火墙的过滤机制。
比如,划定访问许可的某网络的IP地址范围。
五、防火墙同时安装有向内和向外的协议处理机机制。
防火墙能够保证所在的协议体系结构层次上的跨网络的访问。
六、防火墙系统所能处理的协议,能够跟随网络系统的升级而升级。
七、防火墙系统能够打开尽可能多的IP地址和端口。
八、防火墙系统能够处理访问控制机制的许多问题。
九、防火墙可以是纯软件、纯硬件的、软硬件结合的。主要是针对协议的分析和处理机机制。
=========================================================================
一、基于规则的访问控制机制。
二、保存和利用访问历史记录。
三、结合到IDS(入侵检测机制)。
四、产生式规则的问题。
1、1943年,POST发现了:所有的数学公式和定理,都可以表示成如IF……THEN……,即“如果……,那么……”的形式。
同时,也证明了POST产生式规则,具有和TURING图灵机等效的功能。
2、产生式规则,IF用于左部,THEN用于右部。左部为条件,右部为动作。
3、新的一条事实F2,被应用时,就与规则库中的所有规则逐条匹配。如果此事实F2与规则RF2的左部匹配时,就触发这条规则。这条规则就被点火。
4、例如,点火了一条规则,则此规则的右部,被触发放置到事实集中。再逐次地点火。
5、直到规则库中再没有可被点火的规则。
五、规则有动态性。
例如,可以将新的访问机制,设计成新的规则,从而实现新的过滤或屏蔽掉某些向内或者向外的访问。
六、从外网来的访问数据包,必须是通过建立在防火墙系统上的协议处理机,经过其进行规则匹配后,才能访问相应的IP地址和端口。这里会有相应的各种协议处理机。
七、从内网向外的访问,其要访问的源地址被禁止,就同样无法访问外网的资源。
=====================================================================
防火墙系统涉及的协议问题:
一、主要有应用层的、传输层的、网络层的、数据链路层、物理层的协议数据。
二、都必须与TCP/IP协议紧密结合。
三、不是每层都可以很容易用一种IDE进行设计和编程,来处理相关的协议的。
四、INTERNET方面,都会涉及到NAT(网络地址转换)问题。
五、应用层向下,层层封装。物理层向上,层层解包。
六、一般标准的协议数据,其设计目的,就是为了获得资源,对话,共享资源。
七、例如,在应用层层面上,需要获得文件资源和一定的计算资源,一般可设计特定的协议。发出这类协议数据包时,由上往下,封装,加上传输层需要的包头,直到物理层加上物理层需要的包头。
八、所谓协议,简单地说,就是一种广义的指令,对端之间合作完成某种操作。实现对网络及资源的管理。
=============================================================
防火墙和其它网络控制软件的比较:
一、来到防火墙的协议数据包,会被识别、比较、匹配,以实现“WHO want WHOM,do WHAT”。
二、通常的办法,防火墙也嵌有对应的TCP/IP的各层的协议处理机。
三、协议数据包是不是从防火墙通过的了,就要防火墙系统对各层协议进行处理。
四、当然,这种在防火墙系统进行的协议数据处理,其目的就是要找出不符合规则的数据包,过滤掉,屏蔽掉。
五、这样,该数据包就不能通过防火墙。
并可能被记录下来,是否归入入侵检测系统IDS、IPS的范围。
六、各种类型的协议数据要通过防火墙,其目的就是“读,写,修改”对端的网络数据。
当然,将网络之间和网络内部的操作,和单机上的“读,写,修改”比较,是根据其实际效果而言的。
============================================================
防火墙的功能和性能评价:
一、数据包通过与否。
二、处理TCP/IP的五层协议。
三、NAT网络地址转换。
四、处理大量猝发的数据包。
五、规则的设置、更新、动态性问题,人工的参与。
六、防止网络攻击。
七、各种定时因素。
八、缓冲区的设置因素。
九、物理设置和逻辑设置。包括端口因素。
============================================================
防火墙和内网、外网:
一、通过防火墙所造成的时延。
二、防火墙模型。
三、防火墙与内网和外网的统一模型。
四、防火墙模型的安全性分析。
五、防火墙模型的安全设置。
六、防火墙的透明性。让内网用户和外网用户看不到防火墙的存在。
七、如何确定防火墙功能和性能参数变更的原则。
八、承载防火墙的软件硬件体系平台。
九、多防火墙之间的互补。
十、防火墙和系统平台的结合。
==========================================================
防火墙分为包过滤和应用网关两大类型。
一、建立代理AGENT机制。
二、网络用户几乎感觉不到防火墙系统的存在。防火墙系统对网络用户是透明的。
三、防火墙有众多的机制,它们用网络的计算智能来实现。
四、连入和连出防火墙的路径,是一个重点。
它改变了网络协议数据包通过的路径。
如何设置必须经由防火墙的路径呢?
五、防火墙可以设计成能够对各层的协议数据包进行处理。
六、防火墙系统分层的原则。
七、防火墙系统与分布式系统如何结合。同时获得高效。
页:
[1]