早在上大學時就有乙個疑問,為什麼防火牆看起來像是一台路由器,為了引入乙個防火牆,你起碼要多申請2個ip位址,還要配置複雜的路由保證通路,為了上述保證,你不得不重新規劃你的網路,最最麻煩的就是為你的那個防火牆分配的那個ip位址,該位址可能會成為攻擊者進入內部網的入口。到底是誰在保護誰啊?
真正意義的純粹的防火牆應該就是乙個過濾裝置,沒有ip位址,對流量完全透明,你可以把它看成是一根比較昂貴的線纜,線纜而已,它可以熱插拔到你的網路的任何地方,不需要對已有的拓撲進行任何改造,本質上,它類似乙個鏈路層裝置,也就是和乙個橋很類似,和橋不同的就是它比較智慧型。說實話,難道防火牆本來不就應該是這樣嗎?只要乙個裝置能「看到包的五元素或者更多的資訊」,那麼該裝置就能根據這些資訊進行包過濾,如果該裝置還能維護乙個流的資訊,那麼它就可以實現基於狀態的包過濾,這有什麼難的,和該裝置有沒有ip位址有關係嗎,和它工作在第幾層有關係嗎?如果該裝置工作在三層,那麼叫它路由防火牆二合一產品比較合適。
純粹的防火牆應該是鏈路層的透明防火牆,在乙太網交換機中加入包過濾功能即可,或者更純粹的,乙個只有兩個口的橋裝置,加入包過濾功能,然後串聯在內部網的出口處即可。關於透明防火牆的功能,當然可以在包過濾之外進行擴充套件,它還可以是乙個nat裝置,nat裝置並不一定非得需要乙個ip位址。透明防火牆沒有ip位址,這確實是乙個亮點,使得所有的基於ip的攻擊都束手無策。關於透明防火牆的實現,我覺得比較簡單,乙個很簡單的demo可以用linux快速做出來,在做這個demo之前,必須要有所了解的就是linux的netfilter包過濾機制,特別是它在鏈路層都實現了什麼,資料報進入流出的具體流程是什麼,都經過了哪些路徑,知道了這些,你才能在關鍵的地點設定過濾器,其次,你必須要明白的是如何優化它,如何提高其可用性,最終如何產品化它,這就涉及到了很多的內容,比如我可以用硬體網絡卡加速器來優化效能,實現乙個基於狀態的透明防火牆,我還必須確保板子支援網絡卡掉電bypass以及watchdog晶元實現的故障bypass...
防火牆 防火牆安全
作為計算機的第一道屏障,防火牆的重要性不言而喻,儘管防火牆在面臨網路攻擊時仍有很大的缺陷,不如無法阻止自內而外的攻擊,對複雜多變的網路攻擊攻擊無法預警和像ids所做的那樣。但防火牆依然是伺服器乃至個人機的一道不可或缺的屏障。木桶原理 本文將對防火牆做乙個初步的簡介,顯然像我們知道的那樣,防火牆是一款...
防火牆透明模式
1,特性介紹 防火牆作為一實際存在的物理裝置,其本身也起到路由的作用,所以在為使用者安裝防火牆時,就需要考慮如何改動其原有的網路拓撲結構或修改連線防火牆的路由表,以適應使用者的實際需要,這樣就增加了工作的複雜程度和難度。但如果防火牆採用了透明模式,即採用無ip方式執行,使用者將不必重新設定和修改路由...
防火牆透明模式
1,特性介紹 防火牆作為一實際存在的物理裝置,其本身也起到路由的作用,所以在為使用者安裝防火牆時,就需要考慮如何改動其原有的網路拓撲結構或修改連線防火牆的路由表,以適應使用者的實際需要,這樣就增加了工作的複雜程度和難度。但如果防火牆採用了透明模式,即採用無ip方式執行,使用者將不必重新設定和修改路由...