在Internet 上面混,安全措施还是要保证好的,不然就有晚节不保的危险,茫茫人海整天的裸奔这出去,进来的, 也不合适,所以得有一条遮羞布,不能把所有东西都漏出来吧。
这条”内裤“的作用呢,就是在本地网络建立一个访问点,检查所有进出该访问的业务流程通常是非常有必要的,再说白了位于Internet 和本地网络之间的一些硬件和软件会检查所有进出的数据,以保证其合法型。
其他作用:
网络地址转换,当然防火墙也可以是单独的机器。
内置的个人防火墙:Linux,Mac os,都有自己的内置防火墙。接收和发送哪些数据这家伙获得算。谁让人家有这个权限呢。
linux防火墙的主要类别:基本上区分为网域型与单一主机型,单一主机主要是防火墙有封包过滤型的NetFilter 与依据服务软件程序作为分析的TCP Wrappers两种,若以区域型的防火墙而言,由于此类防火墙都是当做路由器的角色,因此防火墙主要有封包过滤的NetFilter与利用代理服务器(proxy server)进行存取代理的方式了。
NetFilter(封包过滤机制)
原理是把封包的表头数据拿出来进行分析,已决定该机器是否为放行或者抵挡的机制。由于这种方式可以直接分析封包的表头数据,所以包括硬件地址(MAC),软件地址(IP),TCP,UDP,ICMP等封包的信息都可以进行过滤分析的功能,因此用途非常广泛。(其实主要分析的是OSI七层协议的2,3,4层)也叫做三次封包过滤。
Proxy (代理服务器)
代理服务器运作原理(如图):
上图的意思是,当client想要前往网上获取Google的数据时,它取得数据的流程是这样的:
①,client会向代理服务器(Proxy server)要求数据,请Proxy帮忙处理
②,proxy可以分析使用者IP来源是否合法?使用者想要去的Google服务器是否合法?如果这个Client的要求都合法的话,那么Proxy就会主动的帮助client前往Google获取资料;
③,Google所回传的数据是给Proxy server的,所以Google服务器上面看到的是Proxy server的IP地址;
④,最后由proxy将Google回传的数据送给client。