手机网站
手机网站
防火墙是如何工作的?
所有互联网通信都是通过交换独立的数据包进行的。 每个数据包都从源主机转发到目标主机。 数据包是互联网上信息传输的基本单位,我们经常称之为个人计算机之间的“连接”,这个“连接”实际上是由在“连接”的两台个人计算机之间传输的独立数据包构成的。 基本上,它们同意“相互的“连接”,分别向发送者发布“响应分组”,通知发送者已经接收到数据。
为了到达目的地,无论两台计算机相距两步还是位于不同的大陆,因特网分组都必须包含目的地地址和端口号以及源主机的IP地址和端口号,接收方可以知道该分组是谁发行的 也就是说,在网络上转发的每个包含源地址和目的地址。 IP地址始终指向互联网上的单个计算机,端口号与计算机上的服务或会话相关联。
这意味着什么?
防火墙检查到达您计算机的所有数据包,因此防火墙具有完全拒绝权限,直到您看到在此包中运行的软件为止,您可以禁止计算机接收互联网上的内容。
当计算机响应第一个请求建立连接的包时,TCP/IP端口将打开。 如果到达的包没有被接受的话,这个端口会立刻从网上消失,没有人想连接。
但是,防火墙的真正力量就是选择应该拦截哪个包,应该释放哪个包。 防火墙根据源主机的IP地址和端口号以及目的地主机的IP地址和端口号的组合来“过滤”到达的分组,因为每个到达的分组包括接收方发送响应分组的正确发送方的IP地址
例如,如果运行的是web服务器,则远程主机必须能够通过80端口( http )连接到计算机。 防火墙检查每个到达的包,并且只允许从80端口进行连接。 所有其他端口都拒绝新连接。 即使您的计算机错误地加载到“特洛伊木马”程序中并且外部打开了监听端口,禁止“特洛伊木马”通行的扫描也可以检测到“特洛伊木马”的存在,并且所有联系系统中的“特洛伊木马”程序的企图都没有了
您可能希望在互联网上建立一条“安全隧道”,以便家庭和办公室的计算机可以共享文件而不会被外界侵入。 防火墙使这一点成为可能并且相对简单。 您可以在办公室计算机的防火墙上设置它。 只允许从家庭计算机连接IP地址,使用NetBios文件共享端口137-139。同样,家庭计算机的防火墙只允许从您的办公室计算机连接IP地址,并使用137-139端口 因此,两台机器能够看到彼此的NetBios端口,互联网上的其他人不能在这两台机器之间建立“安全隧道”。
