我想,你应该常常会听到防火墙这个东西吧!他是什么咚咚呀!?刚刚上面也提到很多了,所以你可以约略的了解到『防火墙的功能就在于杜绝一些不受欢迎的 TCP 封包,并进而保障主机或者是主机内部网域的安全』,那么既然要杜绝一些不受欢迎的封包,则最少就有两种基本的方式啦,一种是利用代理服务器,将所有可行的协议限制的很少很少,并且由于内部与外部计算机的 IP 并不能互通,而达到良好的保护效果;另一种则是上面提到的 IP fileter 啦!利用封包过滤的方式来达到防火墙的目的!
· Proxy :
这是属于网络『应用层』的咚咚了,这个 Proxy ( 代理服务器 ) 基本上就是一种『服务』喔!他的功能可以如下图来表示:
 |
当 Client 有要求的时候, Proxy Server 会帮 Client 去外面捉取资料,然后再将资料丢回给 Client 端!请注意,此时真正出去 Internet 的,其实是 Proxy Server ,而不是 Client 端呦!( 这个跟 NAT 并不一样,会在下一章 NAT主机设定时再提到。) 由于 Client 端并不是直接出去,加上 Proxy Server 一般仅开放 80 及 21, 20 port 而已,因此可以较为安全!相对的,对于 Client 端的限制自然就较多了!
· IP fileter :
直接以 IP filter 例如 iptables 来进行封包的过滤!这个时候会由 TCP 的 header 分析起来,再决定是否可以让该 TCP 封包进入主机。这个时候, iptables 的『规则』就显的很重要啦!
底下我们先不谈 Proxy 这个东西,仅来分析一下最基础的两个防火墙设备,一个是 iptables ,另一个则是 TCP_Wrappers !
