防火墙是如何工作的

grt6658726

简介
如果你使用互联网已经有一段时间了，尤其是你为大公司工作时会上上网，你可能会听说过防火墙这个名词。比如说，你经常会听公司的同事说“我不能访问那个网站因为他们不许它通过防火墙”
Introduction to How Firewalls Work What It Does Making the Firewall Fit What It Protects You From Proxy Servers and DMZ Lots More Information 　　by Jeff Tyson
　　１.介绍
　　如果你使用互联网已经有一段时间了，尤其是你为大公司工作时会上上网，你可能会听说过防火墙这个名词。比如说，你经常会听公司的同事说“我不能访问那个网站因为他们不许它通过防火墙”。
　　如果你家里有一条快速的互联网连接线路（ＤＳＬ连接或有线调制解调器），你也许会发现自己听说过家庭网络也有防火墙。小小的家庭网络也有着跟大公司网络一样的安全问题。你可以使用防火墙来保护你家里的网络和家庭于恶意网站及潜在的黑客之间。
[img]/qzone/newblog/v5/editor/css/loading.gif[/img]　　
　　基本上，防火墙可视为一道围栏组织阻止恶意者远离你的财产。实际上，这正是为什么它被称为防火墙的原因。它的工作实际上类似于现实的防火墙，阻止大火扩散到其他区域。在你通读本文时，你将会了解到更多有关防火墙的东西，知晓它们是如何工作的，它们可以保护你免受哪些威胁。　　　　
　　２.它们都干些啥？　　
　　防火墙其实就是一个程序或硬件设备，可以过滤来自互联网的信息进入你的私有网络或计算机系统。如果信息的流入数据包被过滤规则打上记号，它将不被允许通过。　　如果你已经读过How Web Servers Work这篇文章的话，关于数据在互联网是如何移动的，你已经懂得好些情况了，并且你也将很容易明白防火墙是如何帮助保护一个大公司内部的计算机的。打个比方假如你是在一个有５００员工的公司干活的。该公司将有几百台带网卡可将他们联系在一起的计算机。另外，该公司将有１到多条类似Ｔ１或Ｔ３的互联网连接线路。如果没有防火墙的话，那一堆计算机对于互联网上的任何人都将是可直接访问的（译者：对此表示怀疑）。熟悉技术的人可以探测那些计算机，尝试与其建立FTP连接，Telnet远程登录等等。如果其中一个员工犯错留下了安全漏洞，黑客就会进入机器并利用该漏洞。　　有了防火墙，情况就大不一样了。公司会在所有互联网连接上安装防火墙（比如在每一条进入公司的Ｔ１线路上）。防火墙可以实现安全规则，比如说公司内部其中的一条安全规则可能是这样的：　　在公司内部的５００台计算机当中，只有１台被允许接收公共ＦＴＰ的流量。ＦＴＰ连接只能连接到那一台计算机其他均被阻止。　　公司可为ＦＴＰ服务器、ＷＥＢ服务器、Telnet服务器等建立类似规则。除此之外，公司还可控制员工访问Web网站，是否允许文件从公司流出互联网等等。在控制人们如何使用网络方面，防火墙赋予公司无比的控制力。     防火墙使用下属三种方法中的1到多个来控制进出网络的流量：
包过滤－数据包被利用了一组过滤器进行分析。通过过滤器的抱被发送给请求它的系统，而所有其他的被忽略。 代理服务－互联网的信息有防火墙获取，然后发送给请求它们的系统，反之亦然。 特征检测－这是新一点的方法，他不检查每一数据包的内容，而是把包特定的关键部分与可行信息数据库进行比较。从防火墙内部流出到外部的信息将与这些特征比较。如果结果是合理匹配的，信息就可以通过，否则将被丢弃。  　　3.让防火墙合身
　　防火墙是可定制的。这意味着你可以基于某些条件添加或删除过滤规则。以下是部分参数：
IP地址－互联网上的每台机器都被分配了一个唯一的地址，称为IP地址。IP地址是32位（译者：二进制）的数字。通常为4个字节用带点的十进制数表示。典型的IP地址看上去像这样：“216.27.61.137”。举个例子：如果公司以外的特定IP地址读取公司的文件过多的话，防火墙就可以阻塞所有源地址或目标地址为该IP地址的流量。 域名－由于有数字串成的IP地址难以记忆，且有时候IP地址需要改变，互联网上所有服务器均拥有可读性强的名字，称为域名。你看，对于我们大多数人而言，记住www.howstuffworks.com就比记住216.27.61.137容易吧。公司（利用防火墙）可以阻止对特定域名的访问，或者仅允许访问特定域名。 协议－协议是某项服务的使用者与该服务对话的预先定义的方式。（译者：不解释比解释还好:)）。这个使用者可以是一个人，当然更通常是一个计算机程序如Web浏览器。协议通常是文本方式的，仅描述客户端于服务器端如何对话。http是Web的协议。用防火墙可以过滤的一些常用协议包括： IP (Internet Protocol互联网协议)－互联网主要的传输系统 TCP (Transmission Control Protocol传输控制协议)－用于把互联网上传输的信息拆解和重组。 HTTP (Hyper Text Transfer Protocol超文本传输协议)－用于网页  FTP (File Transfer Protocol，文件传输协议)－用于上下传文件  UDP (User Datagram Protocol用户数据流协议)－用于无需响应的信息，如音视频流。  ICMP (Internet Control Message Protocol互联网控制消息协议)－用于路由器间交换信息  SMTP (Simple Mail Transport Protocol简单邮件传输协议)－用于发送基于文本的信息（e-mail）  SNMP (Simple Network Management Protocol简单网络管理协议)－用于从远程计算机收集系统信息  Telnet －用于从远程计算机执行命令 　　一个公司可能会这样设置，仅允许1到2台机器处理特定的协议。
　　端口－任何服务器通过数字化的端口向互联网开放其服务，每个端口对应服务器具备的一项服务（详见How Web Servers Work）。举个例子，如果服务器运行着WEB服务器和FTP服务器，WEB服务器一般开放在80端口，FTP服务器则是在21。公司可能会阻塞除1台内部机器外的其余机器访问该端口。特殊的单词和短语－可以是任何的东西。防火墙会嗅探（深入搜索）消息的每一数据包 ，以便与过滤器中的文本列表进行精确匹配。比如说，你可以指示防火墙阻塞任何带"X-rated(译者：色情内容)"的数据包。这里的关键是精确的匹配，"X-rated" 的过滤规则就不能捕捉到"X rated（译者：知道为什么有人喜欢在一个词组中间加横杠或者建议学习古人文本竖排了吧）"，不过你可以尽己所需地添加尽可能多的单词、短语和派生词（译者：挑战人类的智慧啊）。
　　有些操作系统内嵌有防火墙（译者：如ＸＰ），软件防火墙可安装在家里的可上网的计算机上。该计算时机可被视为网关，因为这是你家庭网络与互联网之间的唯一访问点。
　　而硬件防火墙，其本身通常就是网关。一个很好的例子是Linksys有线或DSL方式的路由器，他内置了以太网网卡和hub。你家庭网络中的计算机与该路由器相连，路由器再连上有线或ＤＳＬ猫。在你计算机的浏览器通过ＷＥＢ界面可以对路由器进行配置。然后你就可以设置任何过滤规则或额外信息了。
　　硬件防火墙安全性极佳，也不算贵。你可以找到不超过100美刀的家庭版的供宽带连接用的带有路由器、防火墙和以太网hub功能的设备。
　　４.它能保护你于哪些威胁之外？
　　不择手段的人有许多创造性的方式来访问和滥用你的弱不禁风的电脑：
远程登录－某人可以连上你的电脑并以某种形式控制它，浏览存取你的文件甚至在你的机器上运行程序（译者：比如格式化你的机器，可怕吧）。 后门程序－有些程序的特性允许远程访问。有些这是由于ＢＵＧ提供了后门、隐蔽的访问来提供对程序某种程度的控制。 SMTP会话劫持-SMTP是互联网上发送邮件的常用方式。通过获取邮件列表，一个人就可以不请自来地发送垃圾邮件（SPAM）给成千上万的用户。这通常可以通过重定向邮件到某一不知情的主机，使得垃圾邮件的实际的发送者难以跟踪。 操作系统BUG-如同应用程序一样，部分操作系统也有后门，有些则提供了缺乏足够安全性的远程控制手段，或者存在BUG令有经验的黑客可利用。 拒绝服务-你可能已经在关于对某一知名站点的攻击的新闻报道上听说过这个词了。实际上是黑客向服务发送了连接请求，然而当服务器响应确认信息把那个试图建立会话的时候，它却找不到发出请求的系统了。通过发送大量的无响应的会话请求把服务器给淹没，黑客达到令服务器变慢、抓狂甚至崩溃的目的。 邮件炸弹-实际上是对个人的攻击。成百上千地向你发送同一份邮件知道你邮件系统无法再接收任何新的消息。 宏命令-为了简化过程，许多应用允许你创建可令其运行的命令脚本，这种脚本称为宏命令。黑客会用则应来创建自己的宏，根据应用程序的不同，这些宏可破坏你的数据或者令你机器崩溃。 病毒-计算机病毒可能是最出名的攻击了。病毒就是一小段可自我复制到其他机器的程序。这种方式令其可从一个系统快速传播到另一个系统。病毒种类广泛，从制造些无害消息到删除你的数据，不一而足。 SPAM-一般是无害的但是令人生厌。spam电子上等同于junk mail（垃圾邮件，纸质的）。不过spam也可能是危险的，经常含有网站链接。小心点击那些链接，因为你可能会以外接受了一个提供开放你机器后门的cookies。 重定向炸弹－黑客可以利用ICMP来改变（重定向）路径消息让它发送到不同的路由器。这是建立拒绝服务攻击的一种方式。 源路由－大部分情况下，数据包在互联网（或任何其它网络）传输的路径取决于路径上的路由器。但提供该数据包的源可以指定数据包经过哪些路由。黑客有时候会利用这一点来使信息看上去来自一个可信的源，或者甚至是网络内部！大部分防火墙缺省情况下都屏蔽源路由。 　　以上列举的项目要想用防火墙过滤掉就算有可能也是困难的。就算有些防火墙提供了防病毒功能，在每台机器上安装防毒软件仍是一笔划算的投资。同时，即使确实是烦人，只要你准备接收邮件，有些spam就还是能通过防火墙的。
　　你建立的安全等级如何取决于你的防火墙能阻止多少上述攻击。最高等级的安全可达到阻止一切，不过显然这与你建立互联网连接的目标背道而驰。
　　有一个普遍的原则，就是你可以先阻止一切，然后再选择允许哪些流量通过。你也可以限制通过防火墙的流量，让特定的信息类型如email通过。对于拥有富于经验的网络管理员的企业来说这是一条好的原则，管理员理解所需也确切知道哪些流量可以通过。对于我们中的大多数人而言，可能最好还是让防火墙按缺省工作，除非有特殊原因要改变它。
　　基于安全立场，关于防火墙其中一项最好的事情是他阻止了外部任何人登录进你的私人网络。在商业上这可是大事件，许多家庭网络也许不会被这样攻击。不过，有一道防火墙在那儿，你也会心安一点。
　　5.代理服务器和非军事区
　　一项经常被和防火墙捆绑在一起的功能是代理服务器。代理服务器被其它计算机用来访问网页。当其它计算机请求一个网页的时候，该网页先由代理服务器获取，然后再发送给请求的计算机。这项行动的净效果是远端维护页面的计算机永远都不会直接与你家庭网络的任何部分联系，除了代理服务器。
　　代理服务器同时还可以令你的互联网访问更高效。如果你访问了一个网站的页面，该页面将被缓存（存储）到代理服务器上。这意味着下一次你再访问该页面时，代理服务器通常就不必再从网站上加载了，而是马上从代理服务器上加载。
　　有些时候你可能希望远程用户访问你网络中的成员。一些例子：
网站 在线贸易 FTP上传下载区 　　像这样的案例，你可能需要创建非军事区（DMZ，Demilitarized Zone）。尽管这听起来有点严重，其实它仅是一个防火墙之外的区域而已。就把它看做你家房前的院子吧（译者：MD，中国人哪来的院子啊）。它是你的，你可以放点东西到那儿，但你也可以把任何有价值的东西放回屋子里，那儿更安全。
　　设置非军事区非常简单。如果你有多台计算机，你可以简单的选择其中一台放到互联网连接与防火墙之间。大部分的现有的软件防火墙允许你指定网关计算机的一个目录作为非军事区（DMZ）。
　　一旦有了防火墙，你应该先测试一把。一个好办法是到www.grc.com 去试试它们免费的Shields Up!安全测试。你马上就能得到反馈，知道你的系统有多安全！
　　如果还想获知更多的防火墙及相关话题的话，请点击下面的链接：
　　6更多的信息
　　相关的HowStuffWork文章：
How DSL Works How Cable Modems Work How Modems Work How Home Networking Works How Routers Work How Web Servers Work How E-mail Works How Ethernet Works How Internet Cookies Work How Operating Systems Work How Web Pages Work 　　更多的好料：
The Educated Shoppers Guide to Firewalls Comprehensive Protocol Directory Firewalls FAQ Firewall Product Overviews Cable Modem Basics