| 1.介绍 因特网的应用在当今世界很流行。因特网支持世界上大量的并正在增长的电脑用户间的交流。越来越多的政府部门,组织,和公司把它们的内部网连到因特网上。但是有一个我们必须注意到的问题,网络安全。如果我们在网络上没有保护,陌生人会轻易入侵我们的电脑。黑客和攻击者热衷于寻找网络漏洞以便能够入侵网络系统。过滤未经认证的包是提高网络安全的一个常用途径。 包的过滤被描述为防火墙的一部分。它通常通过网关和路由器来实现,通过检测IP包来决定是否拒绝未知地址和端口的连接。在保护内网里的用户应该把包过滤防火墙系统设为他们的网关。很明显防火墙网关应该至少有两个IP地址,我们发现防火墙的IP地址会给它带来一些麻烦。用这个IP地址,黑客和攻击者能够发现这个机器,扫描它的端口,试图登录等。我们为防火墙系统想了一个安全的包过滤方法。如果过滤包的防火墙无IP地址,在因特网上的每个人都不能发现它,那么它将对我们变得透明。我们可以在网桥中加入包过滤功能来实现我们的目的。 2.关于网关中IP包的过滤 A.如何实现 当前的IP包过滤网关和路由器采用相同的策略。它们查询包的头然后应用表中的各项规则来决定路由包还是丢弃包。一般包的头部包含的内容是包的类型(TCP,UDP等),源IP地址,源TCP/UDP端口,目的IP地址,和目的TCP/UDP端口。除了头部包含的信息,许多过滤程序允许管理员来设置包基于输出端口的规则,一些基于输入端口的规则。 一般,包过滤规则是决定路由或丢弃包时所应用的一些条件和操作。当一个包满足表中的所有条件,它所对应的操作将被执行。在一些程序中,操作也会显示是否通过ICMP报文来通知包的发出者包已被丢弃。一般,如果这个操作被拒绝,网关将向发出者发出一个无法到达的主机的ICMP包;如果操作被否决,发出者不会知道丢包的任何信息除非连接超时。 B.网关中包过滤的问题 在网关(路由器)的包过滤作为IP级的防火墙。有人认为防火墙系统对在保护网络中的用户是透明的,但是所有直接和防火墙连接的用户需要知道网关的IP地址并把他们的网关设为这个IP地址。当我们给我们的防火墙分配一个新的IP地址或者在内网和因特网之间添加一个新的防火墙网关,我们必须通知所有连接到网关的用户来修改和它相适应。工作如此复杂以致我们大多数情况下不改变防火墙IP地址。 ...... |
- 上一篇:IP网络FTP服务性能监测工具的设计
- 下一篇:[计算机] 防火墙软件的开发
查看评论
已有0位网友发表了看法