天瑞科技 - 深圳电脑维修，深圳电脑维护，深圳电脑修理， 上门维修电脑，深圳电脑上门维修

天瑞电脑公司　　正在为您转接...

“黑客会打上我的主意 发出的光亮就会蠢蠢欲动！好， 墙，那么第一个问题就来了：到

吗？”这么想就对了，黑客就想钻鸡 如何保护你的网络呢？计算机的高手 底什么是防火墙呢？

蛋缝的苍蝇一样，看到一丝从系统漏洞 们也许一张嘴就提议你安装网络的防火

什么是防火墙？

防火墙就是一种过滤塞 意都统统过滤掉。在网络的世界

（目前你这么理解不算错），你可以 里，要由防火墙过滤的就是承载通信

让你喜欢的东西通过这个塞子，别的玩 数据的通信包。

天下的防火墙至少都会 网桥。但几乎没有人会认为这种 些防火墙的形式多种多样：有的 件模块；有的干脆就是独立的一 比如SMTP或者HTTP协议等）。还 可以叫做防火墙，因为他们的工 边。

说两个词：Yes或者No。直接说就是 原始防火墙能管多大用。大多数防火 取代系统上已经装备的TCP/IP协议栈 套操作系统。还有一些应用型的防火 有一些基于硬件的防火墙产品其实应 作方式都是一样的：分析出入防火墙

接受或者拒绝。最简单的防火墙是以太 墙采用的技术和标准可谓五花八门。这 ；有的在已有的协议栈上建立自己的软 墙只对特定类型的网络连接提供保护（ 该归入安全路由器一类。以上的产品都 的数据包，决定放行还是把他们扔到一

所有的防火墙都具有IP地址过滤功能。这 行/丢弃决定。看看下面这张图，两个网段之间隔 网段则摆了台PC客户机。

项任务要检查IP包头，根据其IP源地址和目标地址作出放 了一个防火墙，防火墙的一端有台UNIX计算机，另一边的

当PC客户机向UNIX计算机发起telnet请求 地的协议栈准备发送。接下来，协议栈将这个TCP 的路径将它发送给UNIX计算机。在这个例子里，这 UNIX计算机。

时，PC的telnet客户程序就产生一个TCP包并把它传给本 包“塞”到一个IP包里，然后通过PC机的TCP/IP栈所定义 个IP包必须经过横在PC和UNIX计算机中的防火墙才能到达

现在我们“命令”（用 完成这项工作以后，“心肠”比 那么只有和UNIX计算机同在一个

专业术语来说就是配制）防火墙把所 较好的防火墙还会通知客户程序一声 网段的用户才能访问UNIX计算机了。

有发给UNIX计算机的数据包都给拒了， 呢！既然发向目标的IP数据没法转发，

还有一种情况，你可以命令防火墙专给那 是防火墙最基本的功能：根据IP地址做转发判断。 采用IP地址欺骗技术，伪装成合法地址的计算机就 决策机制还是最基本和必需的。另外要注意的一点 欺骗要容易多了。

台可怜的PC机找茬，别人的数据包都让过就它不行。这正 但要上了大场面这种小伎俩就玩不转了，由于黑客们可以 可以穿越信任这个地址的防火墙了。不过根据地址的转发 是，不要用DNS主机名建立过滤表，对DNS的伪造比IP地址

服务器TCP/UDP 端口过滤

仅仅依靠地址进行数据 通信服务，比方说，我们不想让 用SMTP/POP邮件服务器吧？所以

过滤在实际运用中是不可行的，还有 用户采用 telnet的方式连到系统， 说，在地址之外我们还要对服务器的

个原因就是目标主机上往往运行着多种 但这绝不等于我们非得同时禁止他们使 TCP/ UDP端口进行过滤。

比如，默认的telnet服 当它是服务器）的telnet连接， 23目标端口号的包过滤就行了。 标准来实现相当可靠的防火墙了

务连接端口号是23。假如我们不许PC 那么我们只需命令防火墙检查发送目 这样，我们把IP地址和目标服务器TC 吗？不，没这么简单。

客户机建立对UNIX计算机（在这时我们 标是UNIX服务器的数据包，把其中具有 P/UDP端口结合起来不就可以作为过滤

客户机也有TCP/UDP端口

TCP/IP是一种端对端协 用层的每个应用程序和服务都具 机和服务器的各种应用之间的有 机也有一个端口号，否则客户机

议，每个网络节点都具有唯一的地址 有自己的对应“地址”，也就是端口 效通信联系。比如，telnet服务器在 的IP栈怎么知道某个数据包是属于哪

。网络节点的应用层也是这样，处于应 号。地址和端口都具备了才能建立客户 端口23侦听入站连接。同时telnet客户 个应用程序的呢？

由于历史的原因，几乎所有的TCP/IP客户 上的root用户才可以访问1024以下的端口，而这些 有具有大于1023端口号的数据包进入网络，否则各

程序都使用大于1023的随机分配端口号。只有UNIX计算机 端口还保留为服务器上的服务所用。所以，除非我们让所 种网络连接都没法正常工作。

这对防火墙而言可就麻烦了，如果阻塞入 因为服务器发出响应外部连接请求的入站（就是进 反过来，打开所有高于1023的端口就可行了吗？也 client、基于RPC的NFS服务以及为数众多的非UNIX 端口标准的数据包都进入网络的话网络还能说是安

站的全部端口，那么所有的客户机都没法使用网络资源。 入防火墙的意思）数据包都没法经过防火墙的入站过滤。 不尽然。由于很多服务使用的端口都大于1023，比如X IP产品等（NetWare/IP）就是这样的。那么让达到1023 全的吗？连这些客户程序都不敢说自己是足够安全的。

双向过滤

OK，咱们换个思路。我 墙之外。比如，如果你知道用户

们给防火墙这样下命令：已知服务的 要访问Web服务器，那就只让具有源

数据包可以进来，其他的全部挡在防火 端口号80的数据包进入网络：

不过新问题又出现了。 HTTP这样的服务器本来就是可以 没法访问哪些没采用标准端口号 的就一定来自Web服务器。有些

首先，你怎么知道你要访问的服务器 任意配置的，所采用的端口也可以随 的的网络站点了！反过来，你也没法 黑客就是利用这一点制作自己的入侵

具有哪些正在运行的端口号呢？ 象 意配置。如果你这样设置防火墙，你就 保证进入网络的数据包中具有端口号80 工具，并让其运行在本机的80端口！

检查ACK位

源地址我们不相信，源端口也信不得了， 任呢？还好，事情还没到走投无路的地步。对策还

这个不得不与黑客共舞的疯狂世界上还有什么值得我们信 是有的，不过这个办法只能用于TCP协议。

TCP是一种可靠的通信 为了实现其可靠性，每个TCP连 在后续的其他包被发送出去之前 应，实际上仅仅在TCP包头上设 ACK位。连接会话的第一个包不 了。

协议，“可靠”这个词意味着协议具 接都要先经过一个“握手”过程来交 必须获得一个确认响应。但并不是对 置一个专门的位就可以完成这个功能 用于确认，所以它就没有设置ACK位

有包括纠错机制在内的一些特殊性质。 换连接参数。还有，每个发送出去的包 每个TCP包都非要采用专门的ACK包来响 了。所以，只要产生了响应包就要设置 ，后续会话交换的TCP包就要设置ACK位

举个例子，PC向远端的 务器响应该请求时，服务器就发 然后客户机就用自己的响应包再 。通过监视ACK位，我们就可以 TCP连接但却能响应收到的数据

Web服务器发起一个连接，它生成一 回一个设置了ACK位的数据包，同时 响应该数据包，这个数据包也设置了 将进入网络的数据限制在响应包的范 包了。

个没有设置ACK位的连接请求包。当服 在包里标记从客户机所收到的字节数。 ACK位并标记了从服务器收到的字节数 围之内。于是，远程系统根本无法发起

这套机制还不能算是无懈可击，简单地举 得不被打开以便外部请求可以进入网络。还有，对 位。还有一些TCP应用程序，比如FTP，连接就必须

个例子，假设我们有台内部Web服务器，那么端口80就不 UDP包而言就没法监视ACK位了，因为UDP包压根就没有ACK 由这些服务器程序自己发起。

FTP带来的困难

一般的Internet服务对 第一对端口号用于FTP的“命令 据通道”提供客户机和服务器之

所有的通信都只使用一对端口号，FT 通道”提供登录和执行命令的通信链 间的文件传送。

P程序在连接期间则使用两对端口号。 路，而另一对端口号则用于FTP的“数

在通常的FTP会话过程中，客户机首先向 后执行LOGIN、DIR等各种命令。一旦用户请求服务 的数据端口发起连接。问题来了，如果服务器向客 位的数据包，防火墙则按照刚才的规则拒绝该数据 就是够聪明的防火墙才能看出客户机刚才告诉服务

服务器的端口21（命令通道）发送一个TCP连接请求，然 器发送数据，FTP服务器就用其20端口 (数据通道)向客户 户机发起传送数据的连接，那么它就会发送没有设置ACK 包同时也就意味着数据传送没戏了。通常只有高级的、也 器的端口，然后才许可对该端口的入站连接。

UDP端口过滤

好了，现在我们回过头 过滤。UDP 是发出去不管的“不 信任务。NFS、DNS、WINS、NetB

来看看怎么解决UDP问题。刚才说了 可靠”通信，这种类型的服务通常用 IOS-over-TCP/IP和 NetWare/IP都使

，UDP包没有ACK位所以不能进行ACK位 于广播、路由、多媒体等广播形式的通 用UDP。

看来最简单的可行办法 包，来自外部接口的UDP包则不 DNS服务，至少得允许一些内部 使用它，就同样要让他们的UDP 制。但是，什么叫可信任！如果

就是不允许建立入站UDP连接。防火 转发。现在的问题是，比方说，DNS 请求穿越防火墙。还有IRC这样的客 包进入网络。我们能做的就是对那些 黑客采取地址欺骗的方法不又回到老

墙设置为只许转发来自内部接口的UDP 名称解析请求就使用UDP，如果你提供 户程序也使用UDP，如果要让你的用户 从本地到可信任站点之间的连接进行限 路上去了吗？

有些新型路由器可以通过“记忆”出站UD 的目标地址和端口号就让它进来。如果在内存中找 产生数据包的外部主机就是内部客户机希望通信的 论上当然可以从附着DNS的UDP端口发起攻击。只要 办法是采用代理服务器。

P包来解决这个问题：如果入站UDP包匹配最近出站UDP包 不到匹配的UDP包就只好拒绝它了！但是，我们如何确信 服务器呢？如果黑客诈称DNS服务器的地址，那么他在理 你允许DNS查询和反馈包进入网络这个问题就必然存在。

所谓代理服务器，顾名 网络内外的直接连接。它本身就 不是简单地将其转发了事。给人 的后面，露面的不过是代理这个

思义就是代表你的网络和外界打交道 提供公共和专用的DNS、邮件服务器 的感觉就是网络内部的主机都站在了 假面具。

的服务器。代理服务器不允许存在任何 等多种功能。代理服务器重写数据包而 网络的边缘，但实际上他们都躲在代理

小结

IP地址可能是假的，这是由于IP协议的源 用正常的路径，而是按照包头内的路径传送数据包 有些高级防火墙可以让用户禁止源路由。通常我们 这时禁用源路由就会迫使数据包必须沿着正常的路

路有机制所带来的，这种机制告诉路由器不要为数据包采 。于是黑客就可以使用系统的IP地址获得返回的数据包。 的网络都通过一条路径连接ISP，然后再进入Internet。 径返回。

还有，我们需要了解防火墙在拒绝数据包 起系统发回了“主机不可到达”的ICMP消息？或者 ICMP“主机不可达”消息会告诉黑客“防火墙专门 点什么气味。如果ICMP“主机不可达”是通信中发 反过来，什么响应都没有却会使发起通信的系统不 终用户只能得到一个错误信息。当然这种方式会让

的时候还做了哪些其他工作。比如，防火墙是否向连接发 防火墙真没再做其他事？这些问题都可能存在安全隐患。 阻塞了某些端口”，黑客立即就可以从这个消息中闻到一 生的错误，那么老实的系统可能就真的什么也不发送了。 断地尝试建立连接直到应用程序或者协议栈超时，结果最 黑客无法判断某端口到底是关闭了还是没有使用。