今天,我們進行狀態檢測防火牆的原理介紹。同時附送網路位址轉換原理的簡單介紹!
隨著華山派的不斷擴大,整個內部網路也越來越龐大。每天都有大量的資料與外界互動,處於閘道器處的防火牆要處理的資料報越來越多,雖然能擋住很多***,但是處理效率確越來越慢,漸成為整個網路的瓶頸。而且隨著網路的擴大,門派裡的計算機越來越多,當初五岳派分給華山的ip位址也出現嚴重不足。目前在華山,為了能搶到1個ip位址上網,好多**都是通宵等待,不停的使用「ipconfig/renew」,一旦獲得乙個ip,基本就霸著不放,直到ip位址租期到期才肯罷休。為了能盡量使每個師兄弟都有機會上網,令狐沖已經把每個動態ip位址的租器調到1個小時,就是這樣,也還有很多**沒網上。現在在華山上網,真是比春運排隊買火車票還累。
現在華山**聯名上書岳不群,要求撤消防火牆,增加ip位址的數量,否則就退會。
令狐沖鬱悶的走出師傅的房間,滿腦子的防火牆和ip位址。怎麼辦啊?防火牆上的規則已經被他減少到了最少,如果規則再少的話,就起不到作用了;ip位址可以聯絡電信公司五岳分公司,多申請幾個,不過還是杯水車薪啊。
「鬱悶啊!!!!!!!」快瘋了的令狐沖奔進自己房間,抱起酒瓶開始狂灌。。。。。。
令狐沖被一陣陣嘈雜的聲音吵醒了!
「這是今天要送東西來的人的名單,他們要是來送東西了,你記到這張紙上,然後把單子交給邊門,叫送東西的人以後直接走邊門,不要走正門了。不然一會客人越來越多,就來不及接待了!」好像是師娘在吩咐**做事情呢。
令狐沖心裡咯噔一下,忙開門出屋,外面已經是一片熱鬧,師娘在指揮大家幹這幹那呢。看到令狐沖出來,忙叫到:「沖兒,你怎麼喝這麼多酒啊?今天你師傅50大壽,還不快去幫忙幹活!」
「師娘,你剛才說什麼記下來走什麼邊門的我沒聽清楚,你再說下。」
「你怎麼關心起這個了?」
「你先說說啊,急死我了」
「你怎麼怪怪的?我剛才說今天你師傅50大壽,我們定了很多東西,一會會有人送來,正門會有很多人,都擠到這裡會很不方便。我就寫了個名單,叫門房看著,有人來就對一下單子,如果是送東西的,就叫他們記下來,然後以後就從邊門送東西,這樣一來,就會很快了。真不知道你一天想什麼呢,喝這麼多酒,搞的整個人怪怪的。」
「對啊,這不就是我要得到的答案嗎?!在防火牆裡也建個零時的表,把合法的訪問連線都放到這個表裡,以後他們的訪問就直接對照這個表,而不匹配防火牆的規則,這樣,包過濾的速度不就大大加快了嗎?我真***是個天才啊!!」令狐沖一陣狂喜,大喊著:「謝謝師娘!!!!!!!!」然後一溜煙像自己的房間奔去。
「記得一會來給師傅敬酒!!!」
「知道了。」
……三天後,令狐沖把改良好的防火牆核心更新到防火牆上面。果然,整個網路的訪問速度大大提高。新的防火牆就叫做「狀態檢測防火牆」。當然,他和以前的包過濾的區別是,在防火牆的核心中,會實時建立一長所有合法連線的狀態表,所有的合法連線只是在最開始訪問的時候去匹配防火牆的規則,當規則通過後,就把當前的連線寫到狀態表中去,這樣一來,以後這個連線的所有訪問都是只檢查一下狀態表,不去匹配規則庫,**效率大大的提高了!!
華山**一片歡騰!
但ip位址不夠的問題該怎麼解決呢?
回去看看rfc文件吧。令狐沖一邊思考一邊走進資料室中。
令狐沖決定再仔細研究下tcp/ip協議,看看有沒有解決的方法!
經過1周的苦苦研究,令狐沖終於找到了解決方法。他發現有了防火牆以後,所有外出的資料報都要經過防火牆處理**。
資料報在網路中的傳送,是根據資料報中的包頭資訊進行傳遞的。就是說根據ip位址和埠號進行**的。那個如果我們更改了資料報的傳送位址(源位址),資料報同樣可以在網路中進行傳送的。
對於內部網路中的專用的位址,他發過來的資料報,在通過防火牆的時候,我們替換他的傳送ip位址和埠號,使他的源ip位址變成乙個合法的ip位址,並從新分個埠號,然後把這個改變紀錄下來,等返回來的資料報過防火牆時,把位址再替換回來,不就可以了嗎?
明白了**的原理,令狐沖馬上把這個位址轉換(nat)的功能加如到了防火牆中!!
經過了網路改造的華山派,每個**都可以自由的網上衝浪了。
「天才就是天才!!!」令狐沖一邊散步一邊搖頭。
今日知識點
狀態檢測防火牆:
狀態/動態檢測防火牆,試圖跟蹤通過防火牆的網路連線和包,這樣防火牆就可以使用一組附加的標準,以確定是否允許和拒絕通訊。它是在使用了基本包過濾防火牆的通訊上應用一些技術來做到這點的。
當包過濾防火牆見到乙個網路包,包是孤立存在的。它沒有防火牆所關心的歷史或未來。允許和拒絕包的決定完全取決於包自身所包含的資訊,如源位址、目的位址、埠號等。包中沒有包含任何描述它在資訊流中的位置的資訊,則該包被認為是無狀態的;它僅是存在而已。
乙個有狀態包檢查防火牆跟蹤的不僅是包中包含的資訊。為了跟蹤包的狀態,防火牆還記錄有用的資訊以幫助識別包,例如已有的網路連線、資料的傳出請求等。
乙個狀態/動態檢測防火牆可截斷所有傳入的通訊,而允許所有傳出的通訊。因為防火牆跟蹤內部出去的請求,所有按要求傳入的資料被允許通過,直到連線被關閉為止。只有未被請求的傳入通訊被截斷。
如果在防火牆內正執行一台伺服器,配置就會變得稍微複雜一些,但狀態包檢查是很有力和適應性的技術。例如,可以將防火牆配置成只允許從特定埠進入的通訊,只可傳到特定伺服器。如果正在執行web伺服器,防火牆只將80埠傳入的通訊發到指定的web伺服器。
狀態/動態檢測防火牆可提供的其他一些額外的服務有:
將某些型別的連線重定向到審核服務中去。例如,到專用web伺服器的連線,在web伺服器連線被允許之前,可能被發到secutid伺服器(用一次性口令來使用)。
拒絕攜帶某些資料的網路通訊,如帶有附加可執行程式的傳入電子訊息,或包含activex程式的web頁面。
跟蹤連線狀態的方式取決於包通過防火牆的型別:
tcp包。當建立起乙個tcp連線時,通過的第乙個包被標有包的syn標誌。通常情況下,防火牆丟棄所有外部的連線企圖,除非已經建立起某條特定規則來處理它們。對內部的連線試圖連到外部主機,防火牆註明連線包,允許響應及隨後再兩個系統之間的包,直到連線結束為止。在這種方式下,傳入的包只有在它是響應乙個已建立的連線時,才會被允許通過。
udp包。udp包比tcp包簡單,因為它們不包含任何連線或序列資訊。它們只包含源位址、目的位址、校驗和攜帶的資料。這種資訊的缺乏使得防火牆確定包的合法性很困難,因為沒有開啟的連線可利用,以測試傳入的包是否應被允許通過。可是,如果防火牆跟蹤包的狀態,就可以確定。對傳入的包,若它所使用的位址和udp包攜帶的協議與傳出的連線請求匹配,該包就被允許通過。和tcp包一樣,沒有傳入的udp包會被允許通過,除非它是響應傳出的請求或已經建立了指定的規則來處理它。對其他種類的包,情況和udp包類似。防火牆仔細地跟蹤傳出的請求,記錄下所使用的位址、協議和包的型別,然後對照儲存過的資訊核對傳入的包,以確保這些包是被請求的。
IT餐館 第五回 專案
在老劉那檔子事兒之後,雨辰休息時就一直在想關於人過三十之後的問題,不過 在幾天後的週三快下班時,msn 上鄭偉發來訊息,說他之前接的乙個私活終於結了尾 款,要請哥兒幾個吃飯,因為別人都很忙,而老劉與老婆一起帶孩子回了娘家,所以 就只能拉著雨辰出來慶祝一下了。兩人約好還是在王利的餐館碰頭。下了班之後,...
第五回 e 的引入
假如你有 1 塊錢,存銀行,利率為 100 那麼一年後本息和為 1 1 2.如果你換種存法,存半年,把本息和取出來,再存半年,那麼一年後本息和為 left 1 frac right 2 frac 2.25.你會發現,你存款的期數越多,一年後的本息和越大.自然地,你會想問兩個問題?1 是不是隨著期數增...
《笑傲網湖》第二回 VLAN
但是幸福永遠是短暫的,接下來總是無盡的煩惱。隨著整個五岳劍派勢力的增大,路由器的速度越來越慢。令狐沖發現每次給小師妹講故事時,小師妹的回答總是珊珊來吃,而且話也很少,總是 嗯 噢 或者 我聽著呢 終於有一天,路由器再也ping不通的,令狐沖三天沒有得到小師妹的訊息,對著空空的顯示屏,再也忍不住,在乙...