|
|
|
|
|
|
|
|
于1024的数据包通过,则只要端口符合该条件,数据包便可以通过此防火墙。如果配置的规则比较符合实际应用的话,在这一层能够过滤掉很多有安全隐患的数据包。
④ 代理(proxy):通常情况下指的是地址代理,一般位于一台代理服务器或路由器上。它的机制是将网内主机的IP地址和端口替换为服务器或路由器的IP地址和端口。举例来说,一个公司内部网络的地址是129.0.0.0网段,而公司对外的正式IP地址是202.138.160.2~202.38.160.6,则内部的主机129.9.10.100以WWW方式访问网外的某一台服务器时,在通过代理服务器后,IP地址和端口可能为202.138.160.2:6080。在代理服务器中维护着一张地址对应表。当外部网络的WWW服务器返回结果时,代理服务器会将此IP地址及端口转化为内部网络的IP地址和端口80。使用代理服务器可以让所有的外部网络的主机与内部网络之间的访问都必须通过它来实现。这样可以控制对内部网络带有重要资源的机器的访问。
路由器中的防火墙主要是指包过滤加地址转换。
2.2包过滤
包过滤应用在路由器中,就为路由器增加了对数据包的过滤功能。一般情况下,指的是对IP数据包的过滤。对路由器需要转发的数据包,先获取包头信息,包括IP层所承载的上层协议的协议号,数据包的源地址、目的地址、源端口、目的端口等,然后和设定的规则进行比较,根据比较的结果对数据包进行转发或者丢弃。
包过滤在IP数据包中所取的用来判断的元素如图3所示(图中IP所承载的上层协议为TCP):
图3 包过滤元素
大多数数据包过滤系统在数据本身上不做任何事:它们不做基于内容的决定。有了数据包过滤,你可以说:
不让任何人从外界使用Telnet登录。
或者:
让每个人经由SMTP向我们发送电子页码:[1] [2] [3] [4] [5] [6] [7] 第2页、共7页 |
|
|
|
|
设为首页 | 加入收藏 | 广告服务 | 友情链接 | 版权申明
Copyriht 2007 - 2008 © 科普之友 All right reserved |
