天融信防火墻配置指南
一、對象與規則
現在大多防火墻都采用了面向對象的設計。
針對對象的行為進行的快速識別處理,
就是
規則。
比如:甲想到
A
城市
B
地點。由這個行為就可以制定一些規則進行約束,例如:
1
)用戶身份識別,是不是甲用戶(說明:在實際應用中,甲用戶可能是一群人或所有
的人)
。
2
)用戶當前的目標是不是
A
城市,是不是
B
地點。
3
)用戶當前狀態中是否符合規定,比如,是不是帶了危險品什么的。
用戶、城市、地點等等均可以看作為一個個的對象。在防火墻中我們可以這樣來比喻:
用戶
-->
訪問者
城市
-->
主機
地點
-->
端口
為了安全,我們就可以制定一個規則:如果用戶甲或所有的人到達
A
城市
B
地點,并
且沒有攜帶任何危險品,
就允許他或他們通過,
否則就禁止通行。
翻譯成防火墻的規則就是:
如果訪問者訪問目標區域中的開放主機中的允許訪問的端口,
并且訪問的過程中沒有防火墻
禁止的惡意行為,就允許通過。
二、路由功能與地址轉換
現在防火墻都集成了路由功能。
路由功能簡單的說法就是告訴訪問者怎么走,
相當于引
路。比如:甲要到美國洛杉磯,甲城市的路由器就告訴甲,你應該先到上海,然后上海的路
由器再告訴甲,該乘飛機到洛杉磯。
我們使用的互聯網是基于
TCP/IP
協議的。
所有在網絡上的主機都是有
IP
地址的,
相當
于在互聯網上的用戶身份,沒有
IP
地址是無法進行網絡訪問的。互聯網中的主機中(包括
訪問者與被訪問者)是不可能存在兩個相同的
IP
的。
當前互聯網中應用的大都是
IPV4
。比如:我們姜堰教育城域網的
IP
是
58.222.239.1
到
58.222.239.254
。由于當初的
IP
規劃沒想到后來會有這么多的計算機,所以發展到現在,
IP
地址是非常緊缺的。目前,已不可能為世界上的所有的計算機都分配一個
IP
地址,這就產
生了源地址轉換又稱為源地址偽裝技術(
SNA
T
)
。比如
A
學校有
100
臺計算機,但是只有
)
的方法)
)
