返回
freebsd防火墙技术

freebsd防火墙技术

ID:9668588

大小:51.50 KB

页数:4页

时间:2018-05-05

freebsd防火墙技术_第1页
freebsd防火墙技术_第2页
freebsd防火墙技术_第3页
freebsd防火墙技术_第4页
资源描述:

《freebsd防火墙技术》由会员上传分享,免费在线阅读,更多相关内容在应用文档-天天文库

1、FreeBSD防火墙技术  将本地网络连接到Inter之后,Inter上的计算机就能自由访问本地网络中的计算机了。显然,由于本地网络属于同一个组织,本地网络中的计算机相互之间都可以信任,而外部Inter上的计算机可能来自任意地方,因此不可信任。如何给可信任的本地网络中的计算机提供资源,而不给其他Inter上的计算机提供访问或入侵的机会,同时又不妨碍本地网络中的计算机正常访问Inter,就成为了建立内部网络的一个要求。  当然,针对每个计算机进行设置,也可以达到屏蔽外部网络访问的目的。然而这样做一方面不太方便,对每个计算机都要进行设置,另一方面不太安

2、全,内部网络中不是每台计算机使用的操作系统都具备良好的保护措施,而外部网络中的计算机可以通过这些不安全的操作系统进入内部网络,提供了攻击的途径。因此更好的办法是御入侵者于网络之外,在内部网络和外部网络中架设一个防火墙,所有的访问都需要经过它进行验证,对内部网络提供了保护作用。包过滤技术  为了对内部网络提供保护,就有必要对通过防火墙的数据包进行检查,例如检查其源地址和目的地址、端口地址、数据包的类型等,根据这些数据来判断这个数据包是否为合法数据包,如果不符合预定义的规则,就不将这个数据包发送到其目的计算机中去。由于包过滤技术要求内外通信的数据包必须

3、通过使用这个技术的计算机,才能进行过滤,因而包过滤技术必须用在路由器上。因为只有路由器才是连接多个网络的桥梁,所有网络之间交换的数据包都得经过它,所以路由器就有能力对每个数据包进行检查。  通常的路由器都支持基本的包过滤能力,路由器在转发IP数据包的时候,缺省状态并不涉及数据包中的内容,只是按照IP包的目的地址和本身的路由表进行转发。为了使得它进行包过滤,就必须定义一系列过滤规则,使得路由器能进行过滤。通常情况下,过滤能针对IP地址、端口地址、连接类型等进行设定,还能够针对数据包进行转发,将数据包转发到合适的计算机中。  在包过滤的条件下,内部网络

4、的计算机还是直接和外部计算机相通信的。由于这是直接在IP层工作,可以适合所有的应用服务,灵活性和效率都较高。但也存在缺点,比如不能了解应用协议的具体形式,也不能提供清晰的日志记录等。代理服务  代理服务是另一种防火墙技术,与包过滤不同,它直接和应用服务程序打交道。它不会让数据包直接通过,而是自己接收了数据包,并对其进行分析。当代理程序理解了连接请求之后,它将自己启动另一个连接,向外部网络发送同样的请求,然后将返回的数据发送回那个提出请求的内部网计算机。  虽然代理服务器不必连接到两个网络上就能提供代理服务,然而要想通过代理服务器限制网络之间的通信,

5、提供代理服务的计算机必须连接到两个网络上,所有的网络之间通信都需要通过它的代理才行,而不能直接连接到Inter上。因此代理服务器也不能打开包转发能力,如果代理服务器同时也是路由器,那么内部计算机就可以通过它的路由能力而非代理能力在不同的网络之间通信,代理服务器就起不到防火墙的作用。除非特定情况下,才能设置路由能力,此时也应该配置了更严格的包过滤规则,以保护网络安全。  在有代理服务的情况下,内部网络的计算机必须配置具体的代理服务使用的代理服务器,它只同代理服务器打交道,而由代理服务器发送请求并返回结果。代理服务器必须要了解它要代理的服务,并为每一种

6、服务都提供详细的访问日志记录,并能针对不同的使用者进行认证。  一般来讲,由于代理服务器要针对一个请求启动一个代理服务连接,因此代理服务器效率不高,但是如果针对具体的服务应用,可以在代理服务器上配置大量的缓冲区,通过缓冲区可以提高其工作效率,提供更高的性能。例如对于使用HTTP代理服务器时,代理服务器就能在缓冲区中查找到同样的数据,因而不必再次访问Inter,减少了对宝贵的Inter带宽的占用。代理服务器不仅是一个防火墙技术,它还能用来提高访问Inter的效率。  常用的代理服务器有http代理,ftp代理等,所有的代理服务能力都需要客户软件的支持

7、,这也意味着当用户要使用代理功能的时候,需要设置客户软件,如浏览器,如果客户软件不支持代理功能,就无法使用代理服务器。然而,为了减轻配置负担、利用代理服务器的缓冲能力,可以设置一种透明代理服务器,这种方式不需要设置客户软件,通过设置路由器,将本来发送到其他计算机的IP数据包,依据IP地址和端口转发到代理服务器中。网络地址翻译  在TCP/IP开始开发的时候,没有人会想象到它发展的如此之快。当前使用的IPv4地址空间为32位大小,因而地址资源已经十分紧张了。而下一代的IPv6还没有得到大家的认可。FreeBSD虽然有支持IPv6的开发计划,正由于整个

8、Inter上IPv6还没有实施,因此FreeBSD还没有将以开发的IPv6合并入正式发布的系统中去。  为了解决地址紧张的

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。