Linux防火墙伪装机制抵抗恶意黑客的详细介绍
短信预约 -IT技能 免费直播动态提醒
防火墙可分为几种不同的安全等级。在linux中,由于有许多不同的防火墙软件可供选择,安全性可低可高,最复杂的软件可提供几乎无法渗透的保护能力。不过,Linux核心本身内建了一种称作”伪装”的简单机制,除了最专门的黑客攻击外,可以抵挡住绝大部分的攻击行动。
当我们拨号接连上Internet后,我们的计算机会被赋给一个IP地址,可让网上的其他人回传资料到我们的计算机。黑客就是用你的IP来存取你计算机上的资料。Linux所用的”IP伪装”法,就是把你的IP藏起来,不让网络上的其他人看到。有几组IP地址是特别保留给本地网络使用的,Internet骨干路由器并不能识别。像作者计算机的IP是192.168.1.127,但如果你把这个地址输入到你的浏览器中,相信什么也收不到,这是因为Internet骨干是不认得192.168.X.X这组IP的。在其他Intranet上有数不清的计算机,也是用同样的IP,由于你根本不能存取,当然不能侵入或破解了。
那么,解决Internet上的安全问题,看来似乎是一件简单的事,只要为你的计算机选一个别人无法存取的IP地址,就什么都解决了。错!因为当你浏览Internet时,同样也需要服务器将资料回传给你,否则你在屏幕上什么也看不到,而服务器只能将资料回传给在Internet骨干上登记的合法IP地址。
”IP伪装”就是用来解决此两难困境的技术。当你有一部安装Linux的计算机,设定要使用”IP伪装”时,它会将内部与外部两个网络桥接起来,并自动解译由内往外或由外至内的IP地址,通常这个动作称为网络地址转换。
实际上的”IP伪装”要比上述的还要复杂一些。基本上,”IP伪装”服务器架设在两个网络之间。如果你用模拟的拨号调制解调器来存取Internet上的资料,这便是其中一个网络;你的内部网络通常会对应到一张以太网卡,这就是第二个网络。若你使用的是DSL调制解调器或缆线调制解调器(CableModem),那么系统中将会有第二张以太网卡,代替了模拟调制解调器。而Linux可以管理这些网络的每一个IP地址,因此,如果你有一部安装Windows的计算机(IP为192.168.1.25),位于第二个网络上(Etherneteth1)的话,要存取位于Internet(Etherneteth0)上的缆线调制解调器(207.176.253.15)时,Linux的”IP伪装”就会拦截从你的浏览器所发出的所有TCP/IP封包,抽出原本的本地地址(192.168.1.25),再以真实地址(207.176.253.15)取代。接着,当服务器回传资料到207.176.253.15时,Linux也会自动拦截回传封包,并填回正确的本地地址(192.168.1.25)。
Linux可管理数台本地计算机(如Linux的”IP伪装”示意图中的192.168.1.25与192.168.1.34),并处理每一个封包,而不致发生混淆。作者有一部安装SlackWareLhttp://www.cppcns.cominux的老486计算机,可同时处理由四部计算机送往缆线调制解调器的封包,而且速度不减少。
在第二版核心前,”IP伪装”是以IP发送管理模块(IPFWADM,IPfwadm)来管理。第二版核心虽然提供了更快、也更复杂的IPCHAINS,但仍旧提供了IPFWADMwrapper来保持向下兼容性,因此,作者在本文中会以IPFWADM为例,来解说如何设定”IP伪装”。
另外,某些应用程序如RealAudio与CU-SeeME所用的非标准封包,则需要特殊的模块,您同样可从上述网站得到相关信息。
就是这样!您系统的”IP伪装”现在应该可以正常工作了。如果您想得到更详细的信息,可以参考上面所提到的HOWTO。
半年来,56K模拟数据卡的价格突然跌降了不少。不过,大多数新的数据卡,其实是拿掉了板子上的控制用微处理器,因此会对系统的主CPU造成额外的负荷,而Linux并不支持这些”WinModem”卡。虽然Linux核心高手们,还是有能力为WinModem卡撰写驱动程序,但他们也很明白,为了省10元美金而对系统效能造成影响,绝对不是明智之举。
请确定您所使用的Modem卡,有跳脚可用来设定COM1、COM2、COM3与COM4,如此一来,这些数据卡才可在Linux下正常工作。您可找到与Linux兼容的数据卡的完整列表。
当作者在撰写本篇文章时,曾花了点时间测试各种不同的数据卡。Linux支持即插即用装置,所以我买了一块由Amjet生产的无跳脚数据卡,才又发现另一个令人困扰的问题。
作者测试用的PC是一部老旧的486,用的是1994年版的A地址,但价钱非常昂贵。
在追求速度时,请别忽略了Linux防火墙的效率。在作者办公室有六位使用者通过”IP伪装”防火墙,去存取一部56K模拟调制解调器,工作情况十分良好,只有在有人下载大文件时速度才会变慢。在您决定要加装多条ISP拨号线之前,可以先架设一部”IP伪装”服务器试试。windows处理多重IP的方式并非十分有效率,而将Windows网络与调制解调器隔开,效能的增进将会让您惊讶不已。
简而言之,Linux所用的”IP伪装”法,就是把你的IP藏起来,不让网络上的其他人看到。
当我们拨号接连上Internet后,我们的计算机会被赋给一个IP地址,可让网上的其他人回传资料到我们的计算机。黑客就是用你的IP来存取你计算机上的资料。Linux所用的”IP伪装”法,就是把你的IP藏起来,不让网络上的其他人看到。有几组IP地址是特别保留给本地网络使用的,Internet骨干路由器并不能识别。像作者计算机的IP是192.168.1.127,但如果你把这个地址输入到你的浏览器中,相信什么也收不到,这是因为Internet骨干是不认得192.168.X.X这组IP的。在其他Intranet上有数不清的计算机,也是用同样的IP,由于你根本不能存取,当然不能侵入或破解了。
那么,解决Internet上的安全问题,看来似乎是一件简单的事,只要为你的计算机选一个别人无法存取的IP地址,就什么都解决了。错!因为当你浏览Internet时,同样也需要服务器将资料回传给你,否则你在屏幕上什么也看不到,而服务器只能将资料回传给在Internet骨干上登记的合法IP地址。
”IP伪装”就是用来解决此两难困境的技术。当你有一部安装Linux的计算机,设定要使用”IP伪装”时,它会将内部与外部两个网络桥接起来,并自动解译由内往外或由外至内的IP地址,通常这个动作称为网络地址转换。
实际上的”IP伪装”要比上述的还要复杂一些。基本上,”IP伪装”服务器架设在两个网络之间。如果你用模拟的拨号调制解调器来存取Internet上的资料,这便是其中一个网络;你的内部网络通常会对应到一张以太网卡,这就是第二个网络。若你使用的是DSL调制解调器或缆线调制解调器(CableModem),那么系统中将会有第二张以太网卡,代替了模拟调制解调器。而Linux可以管理这些网络的每一个IP地址,因此,如果你有一部安装Windows的计算机(IP为192.168.1.25),位于第二个网络上(Etherneteth1)的话,要存取位于Internet(Etherneteth0)上的缆线调制解调器(207.176.253.15)时,Linux的”IP伪装”就会拦截从你的浏览器所发出的所有TCP/IP封包,抽出原本的本地地址(192.168.1.25),再以真实地址(207.176.253.15)取代。接着,当服务器回传资料到207.176.253.15时,Linux也会自动拦截回传封包,并填回正确的本地地址(192.168.1.25)。
Linux可管理数台本地计算机(如Linux的”IP伪装”示意图中的192.168.1.25与192.168.1.34),并处理每一个封包,而不致发生混淆。作者有一部安装SlackWareLhttp://www.cppcns.cominux的老486计算机,可同时处理由四部计算机送往缆线调制解调器的封包,而且速度不减少。
在第二版核心前,”IP伪装”是以IP发送管理模块(IPFWADM,IPfwadm)来管理。第二版核心虽然提供了更快、也更复杂的IPCHAINS,但仍旧提供了IPFWADMwrapper来保持向下兼容性,因此,作者在本文中会以IPFWADM为例,来解说如何设定”IP伪装”。
另外,某些应用程序如RealAudio与CU-SeeME所用的非标准封包,则需要特殊的模块,您同样可从上述网站得到相关信息。
就是这样!您系统的”IP伪装”现在应该可以正常工作了。如果您想得到更详细的信息,可以参考上面所提到的HOWTO。
半年来,56K模拟数据卡的价格突然跌降了不少。不过,大多数新的数据卡,其实是拿掉了板子上的控制用微处理器,因此会对系统的主CPU造成额外的负荷,而Linux并不支持这些”WinModem”卡。虽然Linux核心高手们,还是有能力为WinModem卡撰写驱动程序,但他们也很明白,为了省10元美金而对系统效能造成影响,绝对不是明智之举。
请确定您所使用的Modem卡,有跳脚可用来设定COM1、COM2、COM3与COM4,如此一来,这些数据卡才可在Linux下正常工作。您可找到与Linux兼容的数据卡的完整列表。
当作者在撰写本篇文章时,曾花了点时间测试各种不同的数据卡。Linux支持即插即用装置,所以我买了一块由Amjet生产的无跳脚数据卡,才又发现另一个令人困扰的问题。
作者测试用的PC是一部老旧的486,用的是1994年版的A
在追求速度时,请别忽略了Linux防火墙的效率。在作者办公室有六位使用者通过”IP伪装”防火墙,去存取一部56K模拟调制解调器,工作情况十分良好,只有在有人下载大文件时速度才会变慢。在您决定要加装多条ISP拨号线之前,可以先架设一部”IP伪装”服务器试试。windows处理多重IP的方式并非十分有效率,而将Windows网络与调制解调器隔开,效能的增进将会让您惊讶不已。
简而言之,Linux所用的”IP伪装”法,就是把你的IP藏起来,不让网络上的其他人看到。
免责声明:
① 本站未注明“稿件来源”的信息均来自网络整理。其文字、图片和音视频稿件的所属权归原作者所有。本站收集整理出于非商业性的教育和科研之目的,并不意味着本站赞同其观点或证实其内容的真实性。仅作为临时的测试数据,供内部测试之用。本站并未授权任何人以任何方式主动获取本站任何信息。
② 本站未注明“稿件来源”的临时测试数据将在测试完成后最终做删除处理。有问题或投稿请发送至: 邮箱/279061341@qq.com QQ/279061341
