BBS水木清华站∶精华区

发信人: tjb (老六), 信区: Linux
标  题: Firewall HOWTO 1.1
发信站: BBS 水木清华站 (Tue Jul  7 19:51:27 1998)

welcome http://202.200.37.100/

防火墙和代理伺服器 - HOWTO : 什么是防火墙
Previous: 导言
Next: 设置防火墙
  ------------------------------------------------------------------------

2. 什么是防火墙

防火墙是汽车中一个部件的名称。在汽车中，利用防火墙把乘客和引擎隔开，以便汽车
引擎一旦著火，防火墙不但能保护乘客安全，而同时还能让司机继续控制引擎。在电
脑中，防火墙是一种装置，可使个别网路不受公共部分（整个网际网路）的影响。此
後，文中将防火墙电脑称为“防火墙”，它能同时连接受到保护的网路和网际网路两
端。但受到保护的网路无法接到网际网路，网际网路也无法接到受到保护的网路。如
果要从受到保护的网路内部接到网际网路，就得telnet到防火墙，然後从防火墙联上网
际网路。最简单的防火墙是dual homed系统（具有两个网路联结的系统）。如果你能
相信所有你的用户，那你只要装设一台Linux（设定时将 IP forwarding/gatewaying
设为 OFF），并让每人设一帐户。他们随後能登录这一系统，使用telnet、FTP，阅读
电子函件和使用所有你提供的任何其他服务。根据这项设置，这一网路中唯一能与外界
联系的电脑便是这个防火墙。在这个网路中的其他电脑甚至不需要一条公用的路径。
需要再次说明∶要使上述防火墙发挥作用，就必须相信所有用户！不过，我可不敢这么
建议。

2.1. 防火墙的缺陷

用于过滤之用的防火墙的问题是这种防火墙不让网际网路进入你的网路。只有通过过滤
防火墙才能取用功能。在有代理伺服器的情况下，用户可登录到防火墙，然後进入私有
网路内的任何系统。此外，目前几乎每天都有新型客户机和伺服器上市。因此，得要
有新的方法进入网路才能调用这些功能。

2.2. 防火墙的种类

防火墙有两种。

  1. IP过滤防火墙 - 除一些网路功能外阻挡一切联网功能。
  2. 代理伺服器 - 替你进行网路联结。

2.2.1. IP过滤防火墙

IP过滤防火墙在数据包一层工作。它依据起点、终点、埠号和每一数据包中所含的数据
包种类信息控制数据包的流动。这种防火墙非常安全，但是缺少有用的登录记录。它
阻挡别人进入个别网路，但也不告诉你何人进入你的公共系统，或何人从内部进入网际
网路。过滤防火墙是绝对性的过滤系统。即使你要让外界的一些人进入你的私有伺服
器，你也无法让每一个人进入伺服器。 Linux从1.3.x版开始就在内核中包含了数据包
过滤软件。

2.2.2. 代理伺服器

代理伺服器允许通过防火墙间接进入网际网路。最好的例子是先telnet系统，然後从该
处再telnet另一个系统。在有代理伺服器的系统中，这项工作就完全自动。利用客户端
软件连接代理伺服器後，代理伺服器启动它的客户端软件（代理），然後传回数据。
由于代理伺服器重复所有通讯，因此能够记录所有进行的工作。只要配置正确，代理
伺服器就绝对安全，这最它最可取之处。它阻挡任何人进入，因为没有直接的IP通路。

  ------------------------------------------------------------------------
防火墙和代理伺服器 - HOWTO : 什么是防火墙
Previous: 导言
Next: 设置防火墙

--

      一壶浊酒喜相逢
   古今多少事均赋笑谈中



※ 来源:·BBS 水木清华站 bbs.net.tsinghua.edu.cn·[FROM: 202.200.37.100]