Linux防火墻入門:簡(jiǎn)介

前言

　　一旦連上網(wǎng)絡(luò)，就充滿各種危機(jī)。

　　許多人基于各式各樣的理由，想侵入你的系統(tǒng)，這種人俗稱為 cracker。尤有甚者，近年來，cracker 圈里流行一種結(jié)合病毒行為及系統(tǒng)漏洞的入侵工具，稱為網(wǎng)蟲(Netwrom)，它以類似網(wǎng)絡(luò)機(jī)器人(robot)的模式，到處掃射咬噬，已形成泛濫。比如：Lion、CodeRed、Nimda 等?，F(xiàn)在你只要將一臺(tái)新安裝好的Win平臺(tái)的機(jī)器連上網(wǎng)絡(luò)，不消幾分鐘之內(nèi)，即可釣中一堆 CoreRed 或 Nimda 咬噬的封包。

　　傳統(tǒng)上，為了保護(hù)自身內(nèi)部網(wǎng)絡(luò)的安全，另一方面，也為了可以做 網(wǎng)絡(luò)進(jìn)出交通 的控管，通常所采用的方法是建構(gòu)一層網(wǎng)絡(luò)防火墻系統(tǒng)，在外部網(wǎng)絡(luò)和內(nèi)部網(wǎng)絡(luò)之間，構(gòu)筑一道屏障，以做為安全的區(qū)隔，使得特定的封包才能進(jìn)入我們的內(nèi)部網(wǎng)絡(luò)，而將大部份奇奇怪怪的封包，如 Nimda 網(wǎng)蟲掃射的封包，完全隔離在外，但同時(shí)，又可允許內(nèi)部網(wǎng)絡(luò)的機(jī)器自在地對(duì)外聯(lián)機(jī)，內(nèi)部的使用者上網(wǎng)的行為甚少需要有任何改變。

　　換言之，防火墻系統(tǒng)可區(qū)隔網(wǎng)絡(luò)封包，使內(nèi)部網(wǎng)絡(luò)中流通的封包十分干凈，更讓網(wǎng)絡(luò)管理者在安裝新機(jī)器時(shí)，比如 NT/W2K，不致于一裝好、連上網(wǎng)絡(luò)就中標(biāo)。單就這點(diǎn)，防火墻系統(tǒng)對(duì)校園網(wǎng)絡(luò)管理者而言，就十分有價(jià)值。

　　不過，防火墻系統(tǒng)十分昂貴，平民百姓及小單位的我們實(shí)在買不起，而且其功能也未必就如其所宣稱的那樣足以符合我們的需求。因此許多前賢開始尋找其它替代的方案，在低成本、高效益、彈性大的考量下，使用 FreeBSD/OpenBSD/Linux 來建構(gòu)小型防火墻系統(tǒng)蔚為流行。甚至許多公司拿 FreeBSD/Linux的防火墻機(jī)制為基礎(chǔ)，制造出商用的防火墻系統(tǒng)；國(guó)內(nèi)某一知名的防火墻公司，其防火核心即源自于 Linux。

　　什么是網(wǎng)絡(luò)防火墻？

　　根據(jù)前述，在此我給防火墻一個(gè)簡(jiǎn)單的定義 (這是OLS3自己的說法，若有誤謬，請(qǐng)不吝指正)。

　　防火墻 是指一套用來明顯區(qū)隔兩個(gè)(或以上)網(wǎng)絡(luò)之間的一組軟硬件裝置，使網(wǎng)管人員得以事先制定種種安全規(guī)則，針對(duì)網(wǎng)絡(luò)交通及安全程度，進(jìn)行過濾控制和調(diào)整，最大的目的在于防止網(wǎng)絡(luò)遭受入侵。

　　防火墻的種類？

　　防火墻大概可以分為以下三種：

　　? 封包過濾式 (Packet Filtering Firewall)
　　? 網(wǎng)關(guān)式
　　? 代理式

　　簡(jiǎn)單說明如下:

　　所謂封包過濾式防火墻是指：利用操作系統(tǒng)，在 IP 層及傳輸層運(yùn)作，藉由檢查封包的 IP 表頭，來決定該封包的路由(放行/轉(zhuǎn)向/丟棄/拒絕)，而達(dá)到保護(hù)自身網(wǎng)絡(luò)的功能。本次研習(xí)要介紹的防火墻，即屬于封包過濾式的。這種防火墻的優(yōu)點(diǎn)是：效能好、控管性高、成本低廉。

　　所謂網(wǎng)關(guān)式防火墻是指：所有外部網(wǎng)絡(luò)可以到達(dá)的地方，僅止于這臺(tái)網(wǎng)關(guān)主機(jī)，而內(nèi)部網(wǎng)絡(luò)的使用者欲連至外部網(wǎng)絡(luò)，需要先登入這臺(tái)網(wǎng)關(guān)主機(jī)。

　　所謂代理式防火墻是指：針對(duì)每一種應(yīng)用服務(wù)程序，做代理伺服的工作，clietn端的使用者其實(shí)是和這臺(tái)代理主機(jī)連接，而非外部網(wǎng)絡(luò)的主機(jī)，但卻可使client端的使用者，感覺到他真的在取用外部網(wǎng)絡(luò)的主機(jī)服務(wù)一樣，此種特性，稱為 Proxy。代理式防火墻的優(yōu)點(diǎn)是：可確保資料的完整性，只有特定的服務(wù)才會(huì)被交換，并可針對(duì)其內(nèi)容做過濾防毒，可進(jìn)行高階的存取控制。
　　現(xiàn)代功能完備的的防火墻，經(jīng)常結(jié)合封包過濾及Proxy代理這二種特性，不過價(jià)格相常地高。以中小學(xué)校園網(wǎng)絡(luò)而言，封包過濾式的防火墻，其實(shí)已足敷需要了。