防火墙是如何工作的

　　如果你使用互联网已经有一段时间了，尤其是你为大公司工作时会上上网，你可能会听说过防火墙这个名词。比如说，你经常会听公司的同事说“我不能访问那个网站因为他们不许它通过防火墙”。

　　如果你家里有一条快速的互联网连接线路（ＤＳＬ连接或有线调制解调器），你也许会发现自己听说过家庭网络也有防火墙。小小的家庭网络也有着跟大公司网络一样的安全问题。你可以使用防火墙来保护你家里的网络和家庭于恶意网站及潜在的黑客之间。

　　基本上，防火墙可视为一道围栏组织阻止恶意者远离你的财产。实际上，这正是为什么它被称为防火墙的原因。它的工作实际上类似于现实的防火墙，阻止大火扩散到其他区域。在你通读本文时，你将会了解到更多有关防火墙的东西，知晓它们是如何工作的，它们可以保护你免受哪些威胁。　　　　

　　２.它们都干些啥？　　

　　防火墙其实就是一个程序或硬件设备，可以过滤来自互联网的信息进入你的私有网络或计算机系统。如果信息的流入数据包被过滤规则打上记号，它将不被允许通过。　　如果你已经读过How Web Servers Work这篇文章的话，关于数据在互联网是如何移动的，你已经懂得好些情况了，并且你也将很容易明白防火墙是如何帮助保护一个大公司内部的计算机的。打个比方假如你是在一个有５００员工的公司干活的。该公司将有几百台带网卡可将他们联系在一起的计算机。另外，该公司将有１到多条类似Ｔ１或Ｔ３的互联网连接线路。如果没有防火墙的话，那一堆计算机对于互联网上的任何人都将是可直接访问的（译者：对此表示怀疑）。熟悉技术的人可以探测那些计算机，尝试与其建立FTP连接，Telnet远程登录等等。如果其中一个员工犯错留下了安全漏洞，黑客就会进入机器并利用该漏洞。　　有了防火墙，情况就大不一样了。公司会在所有互联网连接上安装防火墙（比如在每一条进入公司的Ｔ１线路上）。防火墙可以实现安全规则，比如说公司内部其中的一条安全规则可能是这样的：　　在公司内部的５００台计算机当中，只有１台被允许接收公共ＦＴＰ的流量。ＦＴＰ连接只能连接到那一台计算机其他均被阻止。　　公司可为ＦＴＰ服务器、ＷＥＢ服务器、Telnet服务器等建立类似规则。除此之外，公司还可控制员工访问Web网站，是否允许文件从公司流出互联网等等。在控制人们如何使用网络方面，防火墙赋予公司无比的控制力。     防火墙使用下属三种方法中的1到多个来控制进出网络的流量：

• 包过滤－数据包被利用了一组过滤器进行分析。通过过滤器的抱被发送给请求它的系统，而所有其他的被忽略。
• 代理服务－互联网的信息有防火墙获取，然后发送给请求它们的系统，反之亦然。
• 特征检测－这是新一点的方法，他不检查每一数据包的内容，而是把包特定的关键部分与可行信息数据库进行比较。从防火墙内部流出到外部的信息将与这些特征比较。如果结果是合理匹配的，信息就可以通过，否则将被丢弃。

 　　3.让防火墙合身

　　防火墙是可定制的。这意味着你可以基于某些条件添加或删除过滤规则。以下是部分参数：

• IP地址－互联网上的每台机器都被分配了一个唯一的地址，称为IP地址。IP地址是32位（译者：二进制）的数字。通常为4个字节用带点的十进制数表示。典型的IP地址看上去像这样：“216.27.61.137”。举个例子：如果公司以外的特定IP地址读取公司的文件过多的话，防火墙就可以阻塞所有源地址或目标地址为该IP地址的流量。
• 域名－由于有数字串成的IP地址难以记忆，且有时候IP地址需要改变，互联网上所有服务器均拥有可读性强的名字，称为域名。你看，对于我们大多数人而言，记住www.howstuffworks.com就比记住216.27.61.137容易吧。公司（利用防火墙）可以阻止对特定域名的访问，或者仅允许访问特定域名。
• 协议－协议是某项服务的使用者与该服务对话的预先定义的方式。（译者：不解释比解释还好:)）。这个使用者可以是一个人，当然更通常是一个计算机程序如Web浏览器。协议通常是文本方式的，仅描述客户端于服务器端如何对话。http是Web的协议。用防火墙可以过滤的一些常用协议包括：
  • IP (Internet Protocol互联网协议)－互联网主要的传输系统
  • TCP (Transmission Control Protocol传输控制协议)－用于把互联网上传输的信息拆解和重组。
  • HTTP (Hyper Text Transfer Protocol超文本传输协议)－用于网页
  •  FTP (File Transfer Protocol，文件传输协议)－用于上下传文件
  •  UDP (User Datagram Protocol用户数据流协议)－用于无需响应的信息，如音视频流。
  •  ICMP (Internet Control Message Protocol互联网控制消息协议)－用于路由器间交换信息
  •  SMTP (Simple Mail Transport Protocol简单邮件传输协议)－用于发送基于文本的信息（e-mail）
  •  SNMP (Simple Network Management Protocol简单网络管理协议)－用于从远程计算机收集系统信息
  •  Telnet －用于从远程计算机执行命令

原文转自：http://www.ltesting.net