防火墙的工作原理
防火墙的基本工作原理
防火墙的基本工作原理防火墙是一种设计用于保护计算机网络免受未经授权访问和恶意攻击的安全设备。
它通过控制网络流量的进出来阻挡未经授权的访问、筛选恶意数据包和监视网络活动等方式来实现网络安全。
1.包过滤:防火墙可以检查网络数据包的源和目的地址、端口号以及包含的特定协议,然后根据预设规则集决定接受或拒绝数据包。
这些规则可以针对特定的应用程序、协议或者IP地址,以及允许特定用户或网络安全策略。
2.访问控制列表(ACL):防火墙可以基于网络层、传输层和应用层的字段、协议类型和端口号等条件来创建访问控制列表。
ACL中的规则定义了允许或拒绝哪些源和目的IP地址、协议和端口的数据包通过防火墙。
3.状态检测:防火墙可以跟踪网络连接的状态,用于判断数据流是否符合网络安全策略。
例如,当一个TCP连接建立时,防火墙可以记录该连接,然后根据预设规则检查连接的数据流是否是被允许的。
如果发现不符合规定的数据流,则防火墙可以立即拦截数据包并丢弃,或发送警报通知管理员。
4.地址转换:防火墙可以用网络地址转换(NAT)技术将内部网络的私有IP地址转换为公共IP地址,以增加网络安全性和隐私性。
这样,外部网络只能看到被转换后的公共IP地址,而无法直接访问内部网络的真实IP地址。
5.VPN(虚拟专用网络)支持:防火墙可以提供VPN功能,用于安全地远程连接分支机构或远程用户到企业内部网络。
通过使用加密和认证技术,防火墙可以保护VPN连接的安全性,并允许通过被认为是可信任的网络连接到受限制的资源。
6.应用层网关(ALG):防火墙可以包含特定应用程序的应用层网关,用于监视和控制该应用程序的网络通信。
这些网关可以检查应用层协议如HTTP、FTP、SMTP等,以过滤不安全或恶意的数据包,并提供更严格的访问控制和策略管理。
7.日志记录和审计:防火墙可以记录和存储网络流量的日志,用于审计和分析网络活动。
管理员可以检查日志以确认发生的安全事件、调查潜在的入侵活动,并采取必要的响应措施。
防火墙的工作原理
防火墙的工作原理防火墙是网络系统的重要组成部分,用于保护计算机和网络免受来自外部网络的未经授权的访问、攻击和恶意软件的侵害。
它是一种网络安全设备,通过监控和控制网络流量的传入和传出来阻止不安全的数据包。
下面将详细介绍防火墙的工作原理。
1.包过滤防火墙:包过滤是防火墙的最基本工作原理之一、它根据预先设定的安全策略和防火墙的规则集对数据包进行检查和过滤。
通过分析数据包的源IP地址、目的IP地址、传输协议类型、端口号等信息,防火墙可以判断这些数据包是否允许进入或离开网络。
当数据包符合安全策略时,防火墙会允许其通过;反之,防火墙将阻止该数据包的传输。
2.状态检查防火墙:状态检查防火墙是基于包过滤防火墙进一步发展的一种防火墙技术。
它在包过滤的基础上,对传输层协议(如TCP和UDP)进行深入检查,维护一个连接状态表。
通过对数据包的源IP地址、目的IP地址、传输协议类型、端口号以及连接的状态等进行综合分析,防火墙可以识别合法的网络会话和非法的连接请求。
只有得到防火墙认可的网络会话才能通过防火墙。
3.应用层防火墙:应用层防火墙是防火墙的高级形式之一、它基于包过滤和状态检查的基础上,深入到应用层对数据包进行分析和过滤。
应用层防火墙能够检查数据包中的应用层协议和数据,以确保数据包中不含有恶意的或非法的内容。
例如,它可以检查HTTP请求的URL、GET和POST参数、Cookie等,检测并阻止非法的网页请求或恶意代码的传输。
4.网络地址转换(NAT):防火墙除了提供安全保护,还可以实现网络地址转换(NAT)。
NAT 是一种将私有IP地址转换为公共IP地址或将多个私有IP地址映射到一个公共IP地址的技术。
私有IP地址是在局域网中使用的IP地址,而公共IP地址是在Internet上使用的IP地址。
通过使用NAT,防火墙可以隐藏内部网络的真实IP地址,提高网络安全性,并实现多个设备共享一个公共IP地址的功能。
5.虚拟专用网络(VPN):防火墙可以通过支持虚拟专用网络(VPN)来提供安全的远程访问功能。
防火墙的工作原理
防火墙的工作原理防火墙的工作原理是通过对网络通信进行监控和过滤,以保障网络安全。
它起着防护网络免受未经授权的访问和恶意攻击的作用。
防火墙通常是网络安全架构中的重要组成部分,被广泛应用于企业、组织和个人的网络环境中。
一、工作原理概述防火墙基于各种规则和策略,通过对进出网络的数据流量进行检查和过滤,控制网络通信的访问权限。
其工作原理主要包括以下几个方面:1.包过滤(Packet Filtering):防火墙监测和分析通过网络传输的数据包,根据特定规则对数据包进行过滤和处理。
这些规则可由管理员配置,通常基于源IP地址、目标IP地址、端口号、协议类型等属性进行判断。
如果数据包符合规则,防火墙会根据配置的策略决定是否允许通过;否则,拒绝或丢弃该数据包。
2.状态检测(Stateful Inspection):防火墙还可以通过对数据包建立和维护状态表来判断数据包是否合法。
状态表记录了已经建立的网络连接的相关信息,包括源IP地址、目标IP地址、协议类型、端口号、连接状态等。
当一个数据包到达时,防火墙会先查询状态表,判断该数据包是否属于一个已经建立的合法网络连接。
如果是,防火墙会允许数据包通过;否则,防火墙会对数据包进行进一步处理。
3.应用层代理(Application Level Proxy):防火墙还可以作为应用层代理(Proxy)来工作,即充当客户端和服务器之间的中间人,对应用层数据进行检查和过滤。
当客户端与服务器之间建立连接时,防火墙会拦截连接请求,并对双方进行身份验证。
只有在身份验证通过后,防火墙才会建立实际的连接,并对数据进行检查和处理。
这种方式可以提供更高层次的访问控制和审核能力,但会影响网络通信的性能。
4.网络地址转换(Network Address Translation,NAT):防火墙还可以实现网络地址转换,将内部网络中的私有IP地址转换为外部网络的公共IP地址,以隐藏内部网络的真实拓扑结构。
防火墙的基本工作原理
防火墙的基本工作原理防火墙是一种网络安全设备,用于保护计算机网络免受未经授权的访问和恶意攻击。
它通过筛选网络流量,根据预设的安全策略允许或者阻挠数据包的传输,从而控制网络通信。
防火墙的基本工作原理包括数据包过滤、网络地址转换和应用层代理。
1. 数据包过滤防火墙通过检查数据包的源IP地址、目标IP地址、端口号和协议类型等信息来决定是否允许数据包通过。
它根据预设的规则集,将数据包与规则进行匹配,如果匹配成功,则根据规则的要求决定是否允许数据包通过。
例如,防火墙可以设置规则,只允许特定IP地址的计算机通过特定端口访问内部服务器,而阻挠其他IP地址的访问。
这样可以限制来自外部网络的未经授权访问。
2. 网络地址转换防火墙可以使用网络地址转换(NAT)技术来隐藏内部网络的真实IP地址,使外部网络无法直接访问内部网络中的计算机。
防火墙将内部网络的IP地址转换为公共IP地址,使外部网络只能看到公共IP地址。
这种方式可以增加内部网络的安全性,同时减少了攻击者对内部网络的直接攻击面。
它还可以解决IP地址不足的问题,允许多个计算机共享一个公共IP地址。
3. 应用层代理防火墙可以作为应用层代理,代表内部计算机与外部网络进行通信。
它可以检查应用层协议(如HTTP、FTP)的数据内容,并根据预设的规则进行过滤和修改。
例如,防火墙可以检查HTTP请求中的URL,并根据规则阻挠访问特定的网站或者限制上传或者下载的文件类型。
这样可以有效地防止恶意软件的传播和敏感数据的泄露。
防火墙的工作原理基于这些基本原则,通过筛选和控制网络流量,保护内部网络的安全。
它可以阻挠未经授权的访问、限制网络攻击、防止数据泄露和恶意软件的传播。
然而,防火墙并不能彻底保证网络的安全,因此还需要配合其他安全措施,如入侵检测系统和加密技术,来提高网络的整体安全性。
防火墙的工作原理
防火墙的工作原理
防火墙是网络安全的重要组成部分,它通过一系列技术手段来
保护网络不受未经授权的访问和攻击。
其工作原理主要包括数据包
过滤、代理服务和网络地址转换等几个方面。
首先,防火墙通过数据包过滤来控制数据的进出。
数据包是网
络传输中的基本单位,防火墙可以根据预先设定的规则,对数据包
进行检查和过滤。
这些规则可以包括源地址、目的地址、端口号、
协议类型等信息,根据这些信息来决定是否允许数据包通过防火墙。
通过数据包过滤,防火墙可以有效地阻止未经授权的访问和攻击。
其次,防火墙还可以通过代理服务来实现安全保护。
代理服务
可以看作是防火墙和外部网络之间的中间人,所有的网络请求都需
要经过代理服务进行转发。
在这个过程中,代理服务可以对请求进
行深度检查和过滤,确保网络中不会出现安全隐患。
同时,代理服
务还可以对数据进行加密和解密,保护数据的安全性。
另外,防火墙还可以通过网络地址转换来隐藏内部网络的真实
地址。
网络地址转换可以将内部网络的地址映射为公共地址,这样
外部网络就无法直接访问到内部网络的真实地址,从而提高了网络
的安全性。
同时,网络地址转换还可以实现多个内部主机共享一个公共地址,提高了网络的利用率。
综上所述,防火墙通过数据包过滤、代理服务和网络地址转换等技术手段来保护网络的安全。
它可以有效地防止未经授权的访问和攻击,保护网络中的数据和资源不受损害。
因此,在构建网络安全体系时,合理配置和使用防火墙是非常重要的。
防火墙工作原理
防火墙工作原理
防火墙是一种网络安全设备,用于保护计算机网络不受非法访问和恶意攻击。
它的工作原理主要有以下几个方面:
1. 访问控制:防火墙通过检查传入和传出网络数据包的源地址、目的地址、协议和端口号等信息,根据事先设定的规则来决定是否允许通过。
只有满足规则的数据包才能通过防火墙,而不符合规则的数据包将被阻止。
这样可以有效地控制网络流量,防止未经授权的访问和入侵。
2. 网络地址转换(NAT):防火墙可以在内部网络和外部网
络之间进行网络地址转换,将内部私有IP地址和外部公共IP
地址进行映射。
这样可以隐藏内部网络的真实IP地址,增加
网络安全性,同时可以解决IP地址不足的问题。
3. 数据包过滤:防火墙可以根据网络数据包的内容进行过滤和检测,通过比对数据包与已知的恶意代码、病毒特征、攻击签名等进行匹配,从而实现实时监测和阻止潜在的网络攻击。
4. 网络代理:防火墙可以作为网络代理,代替内部网络与外部网络进行通信。
这样可以隐藏内部网络的真实结构和拓扑,提高网络安全性。
同时,通过代理服务器可以对网络数据进行深层次的检查和过滤,加强安全防护。
5. 虚拟专用网络(VPN)支持:防火墙可以提供VPN功能,
允许远程用户通过Internet安全地访问内部网络。
它可以对远
程用户进行身份认证,并通过加密和隧道技术实现数据的安全
传输。
总之,防火墙通过访问控制、网络地址转换、数据包过滤、网络代理和VPN支持等技术手段,保护计算机网络免受未授权的访问和恶意攻击,维护网络的安全和稳定运行。
防火墙工作的原理
防火墙工作的原理
防火墙是一种网络安全设备,用于监控和控制网络流量。
它可以帮助保护计算机或网络不受来自Internet或其他公共网络的
未经授权的访问和有害流量的侵害。
防火墙的工作原理如下:
1. 包过滤:防火墙通过验证网络中传输的每个数据包,根据规则筛选出合法的数据包,将其传递到目标系统,而将不符合规则的数据包拦截或丢弃。
2. 端口过滤:防火墙可以根据端口号来控制网络流量。
例如,如果某个应用程序使用了一个特定的端口进行通信,防火墙可以限制该端口的访问权限,只允许被授权的用户进行访问。
3. IP地址过滤:防火墙可以根据源IP地址或目标IP地址进行
过滤。
例如,如果某个IP地址被认为是一个潜在的威胁,防
火墙可以阻止与该IP地址的通信,从而保护网络安全。
4. 应用层过滤:防火墙可以检测和控制特定应用程序或协议的流量。
它可以分析数据包的内容,识别出具体应用程序或协议,并采取相应的措施来保护网络安全。
5. VPN支持:某些防火墙还支持虚拟私人网络(VPN)功能。
它可以建立安全的加密通道,使远程用户能够安全地访问内部网络资源。
总之,防火墙通过不断监控和过滤网络流量的方式,可以帮助
防止未经授权的访问、恶意攻击和网络威胁,从而保护计算机和网络的安全。
防火墙是如何工作的原理
防火墙是如何工作的原理
防火墙是一种用来保护计算机或网络免受非授权访问和网络攻击的安全设备。
它基于一系列规则和策略对进出网络的流量进行控制和过滤,以确保只有符合规定的网络通信可以通过。
防火墙的工作原理主要包括以下几个步骤:
1. 包过滤:防火墙会检查每个进出的网络数据包,并根据预先设定的规则筛选出是否允许通过。
这些规则基于源IP地址、目标IP地址、端口号以及传输协议等。
2. 认证和授权:防火墙可以要求用户进行认证,例如输入用户名和密码,以验证其身份。
认证成功后,防火墙可以根据规则授权用户的访问权限,如允许或禁止访问特定的网络资源。
3. 网络地址转换(NAT):防火墙可以使用网络地址转换技术,将内部私有IP地址转换为公共IP地址,以隐藏内部网络的真实拓扑结构和IP地址。
这样可以提高网络的安全性。
4. 拒绝或通过流量:防火墙根据预先设定的规则判断数据包是否允许通过。
如果数据包符合规则,防火墙会将其转发到目标设备;否则,防火墙会拒绝该数据包,或者将其传送到设定的“黑洞”,从而阻止对内部网络的访问。
5. 日志记录和报警:防火墙可以记录所有进出网络的数据包,并生成日志文件。
这些日志文件可以用于分析网络活动、监测潜在的入侵行为,并提供有关网络安全事件的警报信息。
总之,防火墙通过定义合适的规则和策略,对网络流量进行控制和过滤,从而保护计算机和网络免受潜在的威胁和攻击。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
防火墙的工作原理文章来源:天极“黑客会打上我的主意吗?”这么想就对了,黑客就像钻鸡蛋缝的苍蝇一样,看到一丝从系统漏洞发出的光亮就会蠢蠢欲动!好,如何保护你的网络呢?计算机的高手们也许一张嘴就提议你安装网络的防火墙,那么第一个问题就来了:到底什么是防火墙呢?什么是防火墙?防火墙就是一种过滤塞(目前你这么理解不算错),你可以让你喜欢的东西通过这个塞子,别的玩意都统统过滤掉。
在网络的世界里,要由防火墙过滤的就是承载通信数据的通信包。
天下的防火墙至少都会说两个词:Yes或者No。
直接说就是接受或者拒绝。
最简单的防火墙是以太网桥。
但几乎没有人会认为这种原始防火墙能管多大用。
大多数防火墙采用的技术和标准可谓五花八门。
这些防火墙的形式多种多样:有的取代系统上已经装备的TCP/IP协议栈;有的在已有的协议栈上建立自己的软件模块;有的干脆就是独立的一套操作系统。
还有一些应用型的防火墙只对特定类型的网络连接提供保护(比如SMTP或者HTTP协议等)。
还有一些基于硬件的防火墙产品其实应该归入安全路由器一类。
以上的产品都可以叫做防火墙,因为他们的工作方式都是一样的:分析出入防火墙的数据包,决定放行还是把他们扔到一边。
所有的防火墙都具有IP地址过滤功能。
这项任务要检查IP包头,根据其IP源地址和目标地址作出放行/丢弃决定。
看看下面这张图,两个网段之间隔了一个防火墙,防火墙的一端有台UNIX计算机,另一边的网段则摆了台PC客户机。
当PC客户机向UNIX计算机发起telnet请求时,PC的telnet客户程序就产生一个TCP包并把它传给本地的协议栈准备发送。
接下来,协议栈将这个TCP包“塞”到一个IP包里,然后通过PC机的TCP/IP栈所定义的路径将它发送给UNIX计算机。
在这个例子里,这个IP包必须经过横在PC和UNIX计算机中的防火墙才能到达UNIX计算机。
现在我们“命令”(用专业术语来说就是配制)防火墙把所有发给UNIX计算机的数据包都给拒了,完成这项工作以后,“心肠”比较好的防火墙还会通知客户程序一声呢!既然发向目标的IP数据没法转发,那么只有和UNIX计算机同在一个网段的用户才能访问UNIX计算机了。
还有一种情况,你可以命令防火墙专给那台可怜的PC机找茬,别人的数据包都让过就它不行。
这正是防火墙最基本的功能:根据IP地址做转发判断。
但要上了大场面这种小伎俩就玩不转了,由于黑客们可以采用IP地址欺骗技术,伪装成合法地址的计算机就可以穿越信任这个地址的防火墙了。
不过根据地址的转发决策机制还是最基本和必需的。
另外要注意的一点是,不要用DNS主机名建立过滤表,对DNS的伪造比IP地址欺骗要容易多了。
服务器TCP/UDP 端口过滤仅仅依靠地址进行数据过滤在实际运用中是不可行的,还有个原因就是目标主机上往往运行着多种通信服务,比方说,我们不想让用户采用telnet的方式连到系统,但这绝不等于我们非得同时禁止他们使用SMTP/POP邮件服务器吧?所以说,在地址之外我们还要对服务器的TCP/ UDP端口进行过滤。
比如,默认的telnet服务连接端口号是23。
假如我们不许PC客户机建立对UNIX计算机(在这时我们当它是服务器)的telnet连接,那么我们只需命令防火墙检查发送目标是UNIX服务器的数据包,把其中具有23目标端口号的包过滤就行了。
这样,我们把IP地址和目标服务器TCP/UDP端口结合起来不就可以作为过滤标准来实现相当可靠的防火墙了吗?不,没这么简单。
客户机也有TCP/UDP端口TCP/IP是一种端对端协议,每个网络节点都具有唯一的地址。
网络节点的应用层也是这样,处于应用层的每个应用程序和服务都具有自己的对应“地址”,也就是端口号。
地址和端口都具备了才能建立客户机和服务器的各种应用之间的有效通信联系。
比如,telnet服务器在端口23侦听入站连接。
同时telnet客户机也有一个端口号,否则客户机的IP栈怎么知道某个数据包是属于哪个应用程序的呢?由于历史的原因,几乎所有的TCP/IP客户程序都使用大于1023的随机分配端口号。
只有UNIX计算机上的root用户才可以访问1024以下的端口,而这些端口还保留为服务器上的服务所用。
所以,除非我们让所有具有大于1023端口号的数据包进入网络,否则各种网络连接都没法正常工作。
这对防火墙而言可就麻烦了,如果阻塞入站的全部端口,那么所有的客户机都没法使用网络资源。
因为服务器发出响应外部连接请求的入站(就是进入防火墙的意思)数据包都没法经过防火墙的入站过滤。
反过来,打开所有高于1023的端口就可行了吗?也不尽然。
由于很多服务使用的端口都大于1023,比如X client、基于RPC的NFS服务以及为数众多的非UNIX IP产品等(NetWare/IP)就是这样的。
那么让达到1023端口标准的数据包都进入网络的话网络还能说是安全的吗?连这些客户程序都不敢说自己是足够安全的。
双向过滤OK,咱们换个思路。
我们给防火墙这样下命令:已知服务的数据包可以进来,其他的全部挡在防火墙之外。
比如,如果你知道用户要访问Web服务器,那就只让具有源端口号80的数据包进入网络:不过新问题又出现了。
首先,你怎么知道你要访问的服务器具有哪些正在运行的端口号呢?象HTTP这样的服务器本来就是可以任意配置的,所采用的端口也可以随意配置。
如果你这样设置防火墙,你就没法访问哪些没采用标准端口号的的网络站点了!反过来,你也没法保证进入网络的数据包中具有端口号80的就一定来自Web服务器。
有些黑客就是利用这一点制作自己的入侵工具,并让其运行在本机的80端口!检查ACK位源地址我们不相信,源端口也信不得了,这个不得不与黑客共舞的疯狂世界上还有什么值得我们信任呢?还好,事情还没到走投无路的地步。
对策还是有的,不过这个办法只能用于TCP 协议。
TCP是一种可靠的通信协议,“可靠”这个词意味着协议具有包括纠错机制在内的一些特殊性质。
为了实现其可靠性,每个TCP连接都要先经过一个“握手”过程来交换连接参数。
还有,每个发送出去的包在后续的其他包被发送出去之前必须获得一个确认响应。
但并不是对每个TCP包都非要采用专门的ACK包来响应,实际上仅仅在TCP包头上设置一个专门的位就可以完成这个功能了。
所以,只要产生了响应包就要设置ACK位。
连接会话的第一个包不用于确认,所以它就没有设置ACK位,后续会话交换的TCP包就要设置ACK位了。
举个例子,PC向远端的Web服务器发起一个连接,它生成一个没有设置ACK位的连接请求包。
当服务器响应该请求时,服务器就发回一个设置了ACK位的数据包,同时在包里标记从客户机所收到的字节数。
然后客户机就用自己的响应包再响应该数据包,这个数据包也设置了ACK位并标记了从服务器收到的字节数。
通过监视ACK位,我们就可以将进入网络的数据限制在响应包的范围之内。
于是,远程系统根本无法发起TCP连接但却能响应收到的数据包了。
这套机制还不能算是无懈可击,简单地举个例子,假设我们有台内部Web服务器,那么端口80就不得不被打开以便外部请求可以进入网络。
还有,对UDP包而言就没法监视ACK位了,因为UDP包压根就没有ACK位。
还有一些TCP应用程序,比如FTP,连接就必须由这些服务器程序自己发起。
FTP带来的困难一般的Internet服务对所有的通信都只使用一对端口号,FTP程序在连接期间则使用两对端口号。
第一对端口号用于FTP的“命令通道”提供登录和执行命令的通信链路,而另一对端口号则用于FTP的“数据通道”提供客户机和服务器之间的文件传送。
在通常的FTP会话过程中,客户机首先向服务器的端口21(命令通道)发送一个TCP连接请求,然后执行LOGIN、DIR等各种命令。
一旦用户请求服务器发送数据,FTP服务器就用其20端口(数据通道)向客户的数据端口发起连接。
问题来了,如果服务器向客户机发起传送数据的连接,那么它就会发送没有设置ACK位的数据包,防火墙则按照刚才的规则拒绝该数据包同时也就意味着数据传送没戏了。
通常只有高级的、也就是够聪明的防火墙才能看出客户机刚才告诉服务器的端口,然后才许可对该端口的入站连接。
UDP端口过滤好了,现在我们回过头来看看怎么解决UDP问题。
刚才说了,UDP包没有ACK位所以不能进行ACK位过滤。
UDP 是发出去不管的“不可靠”通信,这种类型的服务通常用于广播、路由、多媒体等广播形式的通信任务。
NFS、DNS、WINS、NetBIOS-over-TCP/IP和NetWare/IP 都使用UDP。
看来最简单的可行办法就是不允许建立入站UDP连接。
防火墙设置为只许转发来自内部接口的UDP包,来自外部接口的UDP包则不转发。
现在的问题是,比方说,DNS名称解析请求就使用UDP,如果你提供DNS服务,至少得允许一些内部请求穿越防火墙。
还有IRC这样的客户程序也使用UDP,如果要让你的用户使用它,就同样要让他们的UDP包进入网络。
我们能做的就是对那些从本地到可信任站点之间的连接进行限制。
但是,什么叫可信任!如果黑客采取地址欺骗的方法不又回到老路上去了吗?有些新型路由器可以通过“记忆”出站UDP包来解决这个问题:如果入站UDP包匹配最近出站UDP包的目标地址和端口号就让它进来。
如果在内存中找不到匹配的UDP包就只好拒绝它了!但是,我们如何确信产生数据包的外部主机就是内部客户机希望通信的服务器呢?如果黑客诈称DNS服务器的地址,那么他在理论上当然可以从附着DNS的UDP端口发起攻击。
只要你允许DNS查询和反馈包进入网络这个问题就必然存在。
办法是采用代理服务器。
所谓代理服务器,顾名思义就是代表你的网络和外界打交道的服务器。
代理服务器不允许存在任何网络内外的直接连接。
它本身就提供公共和专用的DNS、邮件服务器等多种功能。
代理服务器重写数据包而不是简单地将其转发了事。
给人的感觉就是网络内部的主机都站在了网络的边缘,但实际上他们都躲在代理的后面,露面的不过是代理这个假面具。
小结IP地址可能是假的,这是由于IP协议的源路有机制所带来的,这种机制告诉路由器不要为数据包采用正常的路径,而是按照包头内的路径传送数据包。
于是黑客就可以使用系统的IP地址获得返回的数据包。
有些高级防火墙可以让用户禁止源路由。
通常我们的网络都通过一条路径连接ISP,然后再进入Internet。
这时禁用源路由就会迫使数据包必须沿着正常的路径返回。
还有,我们需要了解防火墙在拒绝数据包的时候还做了哪些其他工作。
比如,防火墙是否向连接发起系统发回了“主机不可到达”的ICMP消息?或者防火墙真没再做其他事?这些问题都可能存在安全隐患。
ICMP“主机不可达”消息会告诉黑客“防火墙专门阻塞了某些端口”,黑客立即就可以从这个消息中闻到一点什么气味。