● Linux上的防火墙（2） - 荔园在线 | 深圳大学学生论坛,荔园晨风BBS,深大在线网站

荔园之美，在春之萌芽，在夏之绽放，在秋之收获，在冬之沉淀

发信人: fbird (jack), 信区: Hacker
标  题: Linux上的防火墙（2）
发信站: BBS 荔园晨风站 (Tue Oct 27 13:18:19 1998), 站内信件

2.  了解Firewalls

    Firewall原来是汽车上的一个术语, 它用来隔离引擎和乘客, 在引擎爆炸时可
以发挥保护乘客的功能。电脑上的Firewall是一个逻辑装置, 用来保护私人的区域
不受公用部份的侵害, 做法是:

1. 找一部有Routing能力的电脑(例如Linux)
2. 加入两个界面(例如: 序列埠、Ethernet、Token Ring等等)
3. 关掉IP forwarding的功能
4. 把其中一个界面接上Internet
5. 把受保护的网路接在另一个界面上

    现在你使电脑接到两个不同的网路上。这部Firewall电脑, 现在就称为Firewall
了, 可以接到Internet上, 也可以接到保护网路(Protected Network) 上。但保护网
路无法连上 Internet, Internet也连不上保护网路。

    如果要从保护网路内连上Internet, 必须要先telnet到Firewall, 从那里使用
Internet。同样的, Internet上的人要进入保护网路, 也必须先透过Firewall。

    这种作法对於Internet上的攻击有很优秀的免疫作用。如果有人企图对受保护的
网路进行攻击, 则必须先穿过Firewall, 攻击必须分成两步骤, 难度也增加了。如果
有人想藉著使用一般的手法, 如邮件炸弹(MAIL BOMB)或"Internet Worm", 来攻击受
保护的网路, 他们可能是无法如愿的。

2.1.  Firewall的缺点

    Firewall最大的问题在於由内部Access Internet的困难。基本上, Firewall
利用Dial-Up Shell 的帐号来减少对於Internet的使用, 必须先login Firewall
才能做其他对Internet的Access动作。因此一些需要直接连接Internet的程式(如
Netscape) 便无法在Firewall後方顺利动作, 解决的办法——Proxy Server。

2.2.  Proxy Server

    Proxy Server可用来协助由Firewall後方直接Access到Internet。它们的工作是
在Server上开启一个Socket, 作为和Internet沟通的管道。举例来说, 我的电脑drig
是在保护网路内, 当我要使用Netscape去浏览Web 时, 我得在Firewall上建个Proxy
Server, 这个Proxy Server设定好可以接受我的电脑的请求, 把要连上Port 80请求
转接到它的Port 1080上。

    任何用过TIA 或TERM的人应该对这个观念不会太陌生, 在这两个程式里, 你可以
对一个Port做转向的动作。我的一个朋友用TIA 设定允许大家用192.251.139.21 port
4024去连上他的web server。这里提到的Proxy Server原理也差不多, 只是恰好相反,
让你使用port 1080(或某特定值)去连接其他人的port 80。Proxy Server最了不起的
地方在於它的安全性, 如果你设定正确的话, 它不会允许任何人逾越它。

--
※ 来源:．BBS 荔园晨风站 bbs.szu.edu.cn．[FROM: 192.168.1.89]

荔园在线首页友情链接：深圳大学深大招生荔园晨风BBS S-Term软件网络书店