基于路由器的包過濾類型的防火墻位于網絡的入口處�。路由器檢查進入網絡的每一個信息包并做出決定�,是允許它進入還是不允許��。這個決定是以網絡系統管理員的設置為依據的�����,通常依據信息包的源地址��。路由器可以設置成只允許接收某一網址的信息包����,而拒絕其他地址�。反過來�,也可以設置成允許每個數據進入網絡���,而排除其中的某一個�。
這種基于路由器的防火墻有速度快的優點����,但它也是很大的缺點�。信息包過濾僅檢查包的源地址��,而相對來講�����,張家口網站制作源地址對當解密高手來說很容易破譯�����。這樣����,如果有人使用偽造的地址���,這種防火墻所起的保護作用僅僅是一種假像了����。所以軟件設計人員為了提高信息包過濾器的功能�,通常還加進信息包的其他屬性和特點����,對通信協議�、端口�,甚于時間進行過濾���。一般來說���,如果用戶想查找網絡��,使用Ping命令就是一種方法�。例如黑客想侵入一個網站�����,那么需要的第一批信息的一個就是網絡服務器的IP地址�。為了找到這個地址�����,必須使用一臺支持IP協議的計算機���,里面裝有最基本的IP實用工作��,并且鍵入PingDNS服務器的名字��,這時���,系統就會收到某個地址發過來的信息���,說本機已經與服務器建立的通信關系�����。這次通信返回服務器的IP地址以及一些時間信息����。得到了IP地址����,黑客就可以對目標網站進行攻擊的下一步了工作了�����。要防止這種IP地址的泄漏�����,就需要對通信協議進行過濾��。如果防火墻設計為可以過濾TCP/IP協議序列中的用戶數據報協議(UDP)�,那么�����,Ping命令的攻擊就不能通過了��。
基于路由器的包過濾類型的防火墻一般是通過使用端口來提高安全性的����,張家口哪有做網站端口就是通過防火墻的一個窗口�。每個IP地址都有某些缺省的服務器程序使用某些端口����。例如�����,超文本傳輸協議(HTTP)使用端口80�����,文件傳輸協議(FTP)使用端口20和21����,遠程聯接服務器標準協議(Telnet)使用端口23�,簡單郵件轉輸協議(SMTP)使用端口25����,簡單網絡管理協議(SNMP)使用端口161�。這些服務程序就是對這些指定的端口進行監聽��,了按收到的信息進行工作�,而且這些端口有時是公開的����。解決有關端口問題的方法之一是對它進行重新賦值����,這項工作由系統管理員在配置防火墻時進行����。HTTP缺少的端口是80��,就像其他的缺省設置一樣����,它也是可以改變�。管理員可以根據自己的需要來設定端口號�。
具有應用軟件的網關是一種基于軟件的防火墻��。它采用的工作方式是完全不同的��。網關的工作是轉換數據�。當它收到PC機能理解的一串有效數據后�����,可將它轉換為大型機能理解的數據����,網關也可使用同樣的信息�����,并把它們轉換為只有Mac能處理的處理信息�����。具有應用程序的網關作為防火墻時��,也可以以這種方式進行工作�。它對了收到的信息進行處理�����,不但要判斷信息對網絡的有效性�,而且在送往目的地之前對信息進行轉換��。
這種網關的缺點在于增加了系統的負擔����,相應的影響了系統的速度��。一個具有應用程序的網關�,通常必須配置成能支持多種網絡服務�����。另外�����,由于所有的工作都以信息包的形式來完成�����。所以采用軟件防火墻系統�����,雖然可以達到非常安全的效果����,但是速度將是一個影響它的主要因素�。
|
