当前位置: 首页 > 图文教程 > 网络安全 > 安全产品 > 防火墙的技术与应用-相关知识(4)

安全产品
ARP攻击解决方案 ARP卫士防范效果测试
微软Forefront Client Security概述 Microsoft
128M内存如何安装并使用卡巴斯基7.0
为Solaris服务器配置款安全的防火墙
巧用Tcpreplay让攻击流量瞒天过海
15款免费好用的安全软件推荐
六款免费杀毒软件对比测试
6种在线杀毒扫描软件大比拼
网管秘籍 审核网络安全的十大必备工具
超级巡警2008试用:专杀高危流行病毒
6款文件加密软件残酷测试
企业选购指南:国内防火墙系统大比拼
2008年初优秀安全软件大比拼
病毒精准查杀“超级巡警”防病毒功能评测
企业内网安全产品选型问题
ESETNOD32安全套装的使用
网络安全的两个产品方案:防火墙和免疫墙
判断Web安全网关的性能
移动硬盘的数据安全问题
金山与索尼影视结盟 借终结者4推娱乐杀毒

安全产品 中的 防火墙的技术与应用-相关知识(4)


出处:互联网   整理: 软晨网(RuanChen.com)   发布: 2009-10-29   浏览: 39 ::
收藏到网摘: n/a

防火墙的工作原理(2)

    

  客户机也有TCP/UDP端口

  TCP/IP是一种端对端协议,每个网络节点都具有唯一的地址。网络节点的应用层也是这样,处于应用层的每个应用程序和服务都具有自己的对应“地址”,也就是端口号。地址和端口都具备了才能建立客户机和服务器的各种应用之间的有效通信联系。比如,telnet服务器在端口23侦听入站连接。同时telnet客户机也有一个端口号,否则客户机的IP栈怎么知道某个数据包是属于哪个应用程序的呢?

  由于历史的原因,几乎所有的TCP/IP客户程序都使用大于1023的随机分配端口号。只有UNIX计算机上的root用户才可以访问1024以下的端口,而这些端口还保留为服务器上的服务所用。所以,除非我们让所有具有大于1023端口号的数据包进入网络,否则各种网络连接都没法正常工作。

  这对防火墙而言可就麻烦了,如果阻塞入站的全部端口,那么所有的客户机都没法使用网络资源。因为服务器发出响应外部连接请求的入站(就是进入防火墙的意思)数据包都没法经过防火墙的入站过滤。反过来,打开所有高于1023的端口就可行了吗?也不尽然。由于很多服务使用的端口都大于1023,比如X client、基于RPC的NFS服务以及为数众多的非UNIX IP产品等(NetWare/IP)就是这样的。那么让达到1023端口标准的数据包都进入网络的话网络还能说是安全的吗?连这些客户程序都不敢说自己是足够安全的。


  双向过滤

  OK,咱们换个思路。我们给防火墙这样下命令:已知服务的数据包可以进来,其他的全部挡在防火墙之外。比如,如果你知道用户要访问Web服务器,那就只让具有源端口号80的数据包进入网络:

 

  不过新问题又出现了。首先,你怎么知道你要访问的服务器具有哪些正在运行的端口号呢? 象HTTP这样的服务器本来就是可以任意配置的,所采用的端口也可以随意配置。如果你这样设置防火墙,你就没法访问哪些没采用标准端口号的的网络站点了!反过来,你也没法保证进入网络的数据包中具有端口号80的就一定来自Web服务器。有些黑客就是利用这一点制作自己的入侵工具,并让其运行在本机的80端口!