防火墙是一种旨在阻止火势蔓延的结构。建筑物设有由砖墙构成的防火墙,将建筑物完全分隔开来。在汽车中,防火墙是分隔发动机舱和乘客舱的金属壁。
互联网防火墙旨在将互联网地狱的火焰挡在您的私人局域网之外。或者,通过拒绝他们访问所有邪恶的互联网诱惑,来保持您局域网成员的纯洁和贞洁。 ;-)
第一个计算机防火墙是一台非路由的 Unix 主机,连接到两个不同的网络。一块网卡连接到互联网,另一块连接到私人局域网。要从专用网络访问互联网,您必须登录到防火墙 (Unix) 服务器。然后,您可以使用系统的资源来访问互联网。例如,您可以使用 X-windows 在防火墙系统上运行 Netscape 浏览器,并将显示输出到您的工作站上。由于浏览器在防火墙上运行,它可以访问两个网络。
如果您可以信任所有用户,那么这种双宿主系统(具有两个网络连接的系统)非常棒。您可以简单地设置一个 Linux 系统,并为每个需要访问互联网的人提供帐户。通过这种设置,您的专用网络上唯一了解外部世界的计算机就是防火墙。 任何人都无法下载到他们的个人工作站。他们必须先将文件下载到防火墙,然后再从防火墙将文件下载到他们的工作站。
重要提示:99% 的所有入侵都是从获得被攻击系统上的帐户级访问权限开始的。因此,我不推荐这种类型的防火墙。它也非常受限。
您不应该认为一台防火墙机器就是您所需要的一切。首先制定策略。
防火墙用于两个目的。
当我开始研究防火墙时,我惊讶地发现我工作的公司更感兴趣的是“监视”他们的员工,而不是阻止黑客进入他们的网络。
至少在我的州(俄克拉荷马州),只要雇主告知员工他们正在这样做,他们就有权监控电话和互联网活动。
老大哥不是政府。老大哥 = 大企业。
别误会我的意思。人们应该工作,而不是在工作中玩耍。而且我觉得职业道德一直在受到侵蚀。但是,我也观察到,管理层是他们自己制定的规则的最大滥用者。我曾见过小时工因使用互联网查找上班的公交路线而受到斥责,而同一位经理却花费数小时的工作时间寻找高级餐厅和夜总会来招待潜在客户。
我对这种滥用行为的解决方法是将防火墙日志发布在网页上供所有人查看。
安全业务可能很可怕。如果您是防火墙管理员,请注意自己的安全。
我见过一些关于如何创建安全策略的真正高深的文档。经过多年的经验,我现在可以说,不要相信他们说的任何话。创建安全策略很简单。
您的策略会随着时间的推移变得更加复杂,但现在不要试图涵盖太多内容。使其简单明了。
防火墙有两种类型。
数据包过滤是内置于 Linux 内核中的防火墙类型。
过滤防火墙在网络级别工作。只有在防火墙规则允许的情况下,数据才被允许离开系统。当数据包到达时,它们会根据其类型、源地址、目标地址以及每个数据包中包含的端口信息进行过滤。
许多网络路由器都具有执行某些防火墙服务的能力。过滤防火墙可以被认为是路由器的一种类型。因此,您需要深入了解 IP 数据包结构才能使用它。
由于分析和记录的数据很少,因此过滤防火墙占用更少的 CPU,并在您的网络中产生更少的延迟。
过滤防火墙不提供密码控制。用户无法识别自己。用户拥有的唯一身份是分配给其工作站的 IP 号码。如果您要使用 DHCP(动态 IP 分配),这可能会成为问题。这是因为规则基于 IP 号码,您必须在分配新的 IP 号码时调整规则。我不知道如何自动化这个过程。
过滤防火墙对用户来说更透明。用户不必在其应用程序中设置规则即可使用互联网。对于大多数代理服务器来说,情况并非如此。
代理主要用于控制或监视出站流量。某些应用程序代理会缓存请求的数据。这降低了带宽要求,并减少了下一个用户访问相同数据的时间。它还提供了对传输内容的无可置疑的证据。
代理服务器有两种类型。
最好的例子是一个人 telnet 到另一台计算机,然后从那里 telnet 到外部世界。使用应用程序代理服务器,该过程是自动化的。当您 telnet 到外部世界时,客户端首先将您发送到代理。然后,代理连接到您请求的服务器(外部世界)并将数据返回给您。
由于代理服务器处理所有通信,因此它们可以记录它们(您)所做的一切。对于 HTTP(Web)代理,这包括您看到的每个 URL。对于 FTP 代理,这包括您下载的每个文件。它们甚至可以过滤掉您访问的站点中的“不当”词语或扫描病毒。
应用程序代理服务器可以验证用户身份。在建立与外部的连接之前,服务器可以要求用户首先登录。对于 Web 用户来说,这将使每个站点看起来都像需要登录。
SOCKS 服务器很像旧的交换机。它只是通过系统将您的连接交叉连接到另一个外部连接。
大多数 SOCKS 服务器仅适用于 TCP 类型连接。并且像过滤防火墙一样,它们不提供用户身份验证。但是,它们可以记录每个用户连接到哪里。