網絡防火牆與 OSI 七層協議
封包過濾式的網絡防火牆
可以抵擋掉一些可能有問題的封包, Linux 系統上面是怎麼擋掉封包的呢?其實說來也是很簡單,既然封包的表頭上面已經有這麼多的重要信息,
那麼我就利用一些防火牆機制與軟件來進行封包表頭的分析,並且設定分析的規則,當發現某些特定的 IP 、特定的埠口或者是特定的封包信息(SYN/ACK 等等),那麼就將該封包給他丟棄,
那就是最基本的防火牆原理了!舉例來說,大家都知道 Telnet 這個服務器是挺危險的,而 Telnet 使用的 port number 爲 23 ,所以,當我們使用軟件去分析要送進我們主機的封包時, 只要發現該封包的目的地是我們主機的
port 23 ,就將該封包丟掉去!那就是最基本的防火牆案例啦! 如果以 OSI 七層協議來說,每一層可以抵擋的數據有:
第二層:可以針對來源與目標的 MAC 進行抵擋;
第三層:主要針對來源與目標的 IP ,以及 ICMP 的類別 (type) 進行抵擋;
第四層:針對 TCP/UDP 的埠口進行抵擋,也可以針對 TCP 的狀態 (code) 來處理。