手机网站
手机网站
防火墙是如何工作的?
所有互联网通信都是通过交换独立的数据包完成的每个数据包都从源主机传输到目标主机数据包是互联网上信息传输的基本单位。虽然我们常说计算机之间的“连接”,但这种“连接”实际上是由两台“连接”的计算机之间传输的独立数据包组成的本质上,它们“同意”彼此的“连接”,并各自向发送者发送“响应包”,让发送者知道数据已被接收。
为了到达目的地-无论两台计算机是在两步之外还是在不同的大陆上-每个互联网数据包必须包含目的地地址和端口号,以及源主机的IP地址和端口号,以便接收方知道是谁发送了数据包。换句话说,通过互联网传输的每个数据包都必须包含源地址和目的地址。IP地址总是指向互联网上的一台单独的机器,而端口号与机器上的服务或会话相关联。那么,这是什么意思?
由于防火墙会检查到达您计算机的每个数据包,因此防火墙拥有完全的否决权来禁止您的计算机在互联网上接收任何内容,直到您计算机上运行的任何软件看到该数据包。
当您的计算机响应第一个请求连接的数据包时,会打开一个TCP/IP端口。如果到达的数据包不被接受,这个端口将很快从互联网上消失,没有人想连接到它。
,但防火墙的真正优势在于选择应该拦截哪些数据包以及应该释放哪些数据包。由于每个到达的数据包都包含正确的发送方的IP地址(以便接收方可以发送响应数据包),因此防火墙可以根据源主机的IP地址和端口号以及目标主机的IP地址和端口号的某种组合来“过滤”一些到达的数据包。
例如,如果您运行的是网络服务器,并且需要允许远程主机通过端口80 (http)连接到您的计算机,防火墙可以检查每个到达的数据包,并且只允许从端口80开始的连接新连接将在所有其他端口上被拒绝即使您的计算机意外加载了特洛伊木马程序并打开了外部世界的监听端口,禁止特洛伊木马通过的扫描也可以检测到特洛伊木马,因为所有与系统中的特洛伊木马程序联系的尝试都会被防火墙阻止。
也许你想在互联网上建立一个“安全隧道”,这样你的家用电脑和办公电脑就可以在没有外来入侵的情况下共享文件。防火墙使这成为可能,并且相对简单您可以将其设置在办公室计算机的防火墙上,并且只允许家庭计算机的IP地址连接使用NetBios文件共享端口137-139。同样,可以在家庭计算机的防火墙上设置,只允许办公室计算机的IP地址连接使用端口137-139。这样,两台机器都可以看到彼此的NetBios端口,而互联网上的其他机器看不到在两台机器之间建立的“安全隧道”。
