⒈什么是防火墙
防火墙是阻止外面的人对你的网络进行访问的任何设备，此设备通常是软件和硬件和组合体，它通常根据一些规则来挑选想要或不想要的地址。为了更好地理解防火墙的工作原理，我们且以本书前面曾讨论过的一些主题为例进行说明。
首先绝大多数简单的身份验证过程都是以IP地址为根据的。IP地址是Internet网上最普遍的身份索引，它有静态和动态之分。
■静态IP地址即固定不变的IP地址；它可以是某台连在Internet网上的主机地址。静态IP地址分在几类。其中一类能通过Whois查询命令得到；并且此类地址主要是Internet网上最高层的主机的IP地址，这些主机可以是域名服务器、Web服务器和“根”主机，并且在InterNIC的Whois数据库中都有它们的注册主机名。另一类静态IP地址被分配给Internet网中的第二和第三层主机（这些机器还有固定的物理地址），然而这些机器不一定拥有注册主机名。但不管怎样它们有注册的IP地址。
■动态IP地址是指每次强制分配给不同的上网主机的地址。ISP的拔号服务器中经常使用动态IP地址－－节点机每次拔号上网，都会被分配一个不同的IP地址。
无论IP地址是静态还是动态的，它都被用于网络传输中。
当你的计算机和一台远程计算机建立联连（Connection）时，各种对话随之产生。我已在第６章“TCP/IP快速入门”对其中的一些进行了说明，其中最常见的一种－－是TCP/IP的三次握手方式。对方可在三次握手过程中得知你主机的IP地址。

⒉防火墙由哪些组成部分构成？
防火墙最基本的构件既不是软件也不是硬件，而是构造防火墙的人的思想。
尽管防火墙有各种不同的类型，但所有的防火墙都有一个共同的特征：基于源地址基础上的区分或拒绝某些访问的能力。

⒊防火墙的各种类型
目前存在着许多类型的防火墙，每种都有各自的优缺点，最常见的一种上称为“网络层防火墙”的防火墙。网络层防火墙通常以路由器为基础，换句话说路由器决定“谁”和“什么”能访问你的网络。这种方案采用了一种所谓的“数据报过滤”技术，即检查到达路由器的外部数据报并作出选择的技术。
以路由器为基础的防火墙要对每个联结请求的源地址（即发出数据报的主机的IP地址）进行检查。确认了每个IP源地址后，防火墙构造者所制定的规则将被实施。基于路由器的防火墙有很快的速度，这是因为它被草草地检查一下源地址，没有发挥路由器的真正作用，并根本不判断地址是否是假的或伪装的。然而速度的加快是有代价的，基于路由器防火墙将源地址作为索引，这就意味着带有伪造源地址的数据报能在一定程度对你的服务器进行访问。
庆幸的是许多数据报过滤技术能弥补基于路由器的防火墙的缺陷。数据报的IP地址域并不是路由器唯一能捕捉的域。随着数据报过滤技术变得越来越复杂，系统管理员可使用的规则和方案也越来越复杂。现在系统管理员甚至能数据报中的车家信息作为过滤条件，当然还能以时间、协议、端口等作为过滤条件。
对照参考： http://www.unix.geek.org.uk/~arny/pktfilt.ps http://www.telstra.com.au/pub/docs/security/800-10/node51.html http://www.alw.nih.gov/security/first/papers．firewall/cstater.ps

⑴数据报过滤工具
不需要构造一个完整的防火墙就可实现数据报过滤的功能。
■TCP_Wrappers
此工具以系统守护程序的形式运行并记录所有的联接请求、联结时间和最重要的信息－－联接发起者，因此TCP_Wrapper是最重要的证据收集工具之一。同时它还能挑出不想要的网络IP地址并阻止用户从这些地址上和你的机器建立联接。 http://ftp.win.tue.al/pub/security/tcp_wrappers_7.4.tar.gz
■NetGate
是一种基于规则的数据报过滤工具，用于运行SunOS4.1X的SPARC系统上。
http:/hosaka.smallworks.com/netgate/packetfiltering.html
■Internet数据报过滤器
用于SunOS中。
ftp://coombs.anu.edu.au/pub/net/kernel/ip_fil3.0.4.tar.gz

⑵审计和日志工具
当数据报过滤工具和功能强大的审计联合起来使用时，它们能更好地保护网络和更快更准确地定位入侵者。并且恰当地综合使用这几种类型的工具能获得和商业防火墙相同的效果（而且其整体价值比商业防火墙的低很多）。下面所列的一些工具都是很好的审计工具。
■Argus
适用于网络监视、发现潜在的风格问题和验证访问控制方案的可和性。
ftp://ftp.sei.cmu/edu/pub/argus-1.5/
■Netlog
能对所有的TCP和UDP通讯作日志记录。同时还支持ICMP消息的日志记录。
ftp://coast.cs.purdue/edu/pub/tools/unix/tama/
■Netman
ftp://ftp.cs.curtin.edu.au/pub/netman
■NOCOL/NetConsole V4.0
用于AppletTalk和NetWare网。
ftp://ftp.navya.com/pub/vikas/nocol.tar.gz

⑶应用代理（Application-Proxy）防火墙/应用网关（Application Gateways）还有一种常见的防火墙是应用代理防火墙（有时也称为应用网关）。这些防火墙的工作方式和过滤数据报的防火墙、以路由器为基础的防火墙的工作方式稍有不同。它是基于软件的；当某远程用户想和一个运行应用网关的网络建立联系时，此应用网关会阻塞这个远程联接，然后对联接请求的各个域进行检查。如果此联接请求符合预定的规则，网关便会在远程主机和内部主机之间建立一个“桥”，“桥”是指两种协议之间的转换器。例如，一个典型的网关一般不将IP数据报转发给内部网络，而是自己作为转换器和解释器进行转换过程。这种方式的时被称之为man-in-the-middle configuration。这种应用网关代理模型的长处是不进行IP报文转发，更为重要的是可以在“桥”上设置更多的控制，而且这种工具还能提供非常成熟的日志功能。然而所有的这些优点都是通过牺牲速度换取的，因为每次联接请求和所有发往内部网的报文在网关上经历接受、分析、转换和再转发等几个过程，完成这些过程所需时间显然比完成以路由器为基础的数据报过滤
的时间长得多。
IP转发（IP forwarding）是指收到一个外部请求的服务器将此请求信息以IP报文的格式转发给内部网。让IP转交功能有效是一个严重的错误：如果你允许IP转发，那么入侵者便能从外部进入你的内部网络并访问其上的工作站。
应用网关另一个不足之处是，必须为每个网络服务创建一个应用代理。 http://www.telstra.com.au/pub/docs/security/800-1-/node52.html

⑷TIS FWTK
应用网关式防火墙软件包的典型代表是Trusted Information Systens（TIS） Firewall Tools Kit（简称为FWTK）。此软件包的早期版本是免费的，包含了许多独立的组件。大部分的组件是代理应用程序，包括以下几种服务的代理：
■Telnet
■FTP
■rlogin
■sendmail
■HTTP
■X窗口系统
可从下面地址下载
ftp://ftp.tis.com/pub/firewalls/toolkit/dist/

相关资源参考： http://www.micrognosis.com/~nreadwin/fwth/history.txt http://www.ssc.com/lj/issue25/1204.html
ftp://ftp.tisl.ukans.edu/pub/security/firewalls/fwtkpatches.tgz http://hp735c.csc.cuhk.hk/thinkingfirewalls.html http://www.socks.nec.com/introduction.html

⒋防火墙的普通意义
从理论上讲，防火墙的作用之一是使你的网络对未授权联接的任何人而言是不可见的（或至少是不可达的），通过防火墙的排它性方案可使此过程得以实现。
警告：安装完防火墙后网络并不是完全不可见，至少有一个扫描器，被称为Jakal，能搜索到运行在防火墙后面的各种服务。Jakal一个具有隐蔽性的扫描器，它能扫描某域（在防火墙后面）而不留任何痕迹。
对一些组织来说，使用防火墙是不切实际的，ISP就是其中之一。如果ISP采取严格的安全策略，那它很快会失去客户。实际上一些人提出不要使用防火墙，健全的系统管理带来的安全性和使用防火墙所带来的一样好，而且还不会减缓网络速度或使得联接困难。

⒌构造防火墙：你需要知道什么？
并不是任何人都能构造出一个防火墙，只有这些系统管理员（或其他的人）才能构造出合适的防火墙，因为他们非常熟悉自己的网络。构造过程并不简单，包括以下几个步骤：
⑴判别网络拓朴和使用的协议
⑵形成策略
⑶寻找足够的工具
⑷充分利用这些工具
⑸测试配置

⒍商业防火墙 http://www.raptor.com/products/brochure/40broch.html http://www.checkpoint.com/products/firewall/intro.html http://www.sun.com/security/overview.html http://www.ics.raleigh.ibm.com/firewall/info.htm

对于一般的人来说，防火墙技术太复杂，如果要把它讲清楚，可能要另外写一本书，所以感兴趣的朋友，请参考相关的资料。

转自黑客帝国