【IT168 专稿】谈到“网络入侵”，人们首先想到防火墙。的确，防火墙确实能够增加网络入侵的难度。就防火墙本身而言，它可以是一套纯软件系统，使用时，安装在置于网关位置的普通计算机上即可，如Check Point公司的FireWall-1；也可以是软硬件的结合，如思科公司的带防火墙功能的路由器、3COM公司的第三层交换机等。

一、Internet信息传递过程

    我们知道，TCP／IP是应用于Internet的一个协议簇。它已经成了Internet协议的代称。TCP／IP协议在国际互联网中的使用迅速崛起，使Internet风靡全球。最初定义、设计的通信协议，是基于用户和主机之间互相信任，可以进行自由开放的信息交换。当今世界，黑客、病毒肆虐，Internet的安全问题成了关注的焦点。

    尽管众说纷纭，但有一点是肯定的：就是Internet需要更多更好的安全机制。参照国际标准化组织（ISO）的开放系统互联参考模型（OSI／RM），Internet协议可以分为五个层次：即应用层、传输层、IP层、协议接口层和物理网络层。

    假如有二台相连的主机A和B，当主机A上的某一个面向用户的服务程序需要与主机B的某个用户服务程序交换信息时，主机A的服务程序并不是仅仅按照应用层的协议约定组织数据，而是这些信息首先被传送给本机的传输层，然后经由IP层和协议接口层，最后由物理网络实现信息传输。

    因此，假如没有类似Sniffer这样的网络应用程序，用户将不会发觉它们的工作过程。不同的协议层具有不同的功能，协议数据报的格式也各不相同。

    1、传输层协议

    负责为应用层提供端对端的数据传输服务，它通过用整数表示“端口号”识别同一台主机上的多个应用程序，使它们能够独立地进行数据的发送和接收。UDP仅提供不可靠的无联接的数据报传输服务，它不提供报文到达确认、排序以及流量控制等功能，由使用UDP服务的应用程序来检查报文是否丢失、重复和乱序。TCP则提供可靠的面向联接的数据传输服务，负责确保数据正确传送和接收。

    2、IP层协议

    负责提供不同机器之间的通信服务，它通过IP地址识别不同的机器，使用某种路由算法为数据包选择通往目标机器的适当路径，并负责检查接收到的IP数据包的正确性。

    3、网络接口层

    一般也称为数据链路层，它通常包括一个设备驱动程序。其主要功能是把在物理网络中传输的比特流转换为有意义的数据帧，检查、纠错数据在传输过程中发生的差错，并负责提供数据帧的流控制功能，以确保数据发送的速度在数据接收方的处理能力范围之内。由网络接口层组织的数据报经过一定的措施转换为光电信号，在物理网络上进行传输。