Linux系統(tǒng)防火墻偽裝機制的詳細介紹

本篇內(nèi)容主要講解“Linux系統(tǒng)防火墻偽裝機制的詳細介紹”，感興趣的朋友不妨來看看。本文介紹的方法操作簡單快捷，實用性強。下面就讓小編來帶大家學(xué)習(xí)“Linux系統(tǒng)防火墻偽裝機制的詳細介紹”吧!

防火墻可分為幾種不同的安全等級。在Linux中，由于有許多不同的防火墻軟件可供選擇，安全性可低可高，最復(fù)雜的軟件可提供幾乎無法滲透的保護能力。不過，Linux核心本身內(nèi)建了一種稱作”偽裝”的簡單機制，除了最專門的黑客攻擊外，可以抵擋住絕大部分的攻擊行動。

　　當(dāng)我們撥號接連上Internet后，我們的計算機會被賦給一個IP地址，可讓網(wǎng)上的其他人回傳資料到我們的計算機。黑客就是用你的IP來存取你計算機上的資料。Linux所用的”IP偽裝”法，就是把你的IP藏起來，不讓網(wǎng)絡(luò)上的其他人看到。有幾組IP地址是特別保留給本地網(wǎng)絡(luò)使用的，Internet骨干路由器并不能識別。像作者計算機的IP是192.168.1.127，但如果你把這個地址輸入到你的瀏覽器中，相信什么也收不到，這是因為Internet骨干是不認得192.168.X.X這組IP的。在其他Intranet上有數(shù)不清的計算機，也是用同樣的IP，由于你根本不能存取，當(dāng)然不能侵入或破解了。

　　那么，解決Internet上的安全問題，看來似乎是一件簡單的事，只要為你的計算機選一個別人無法存取的IP地址，就什么都解決了。錯!因為當(dāng)你瀏覽Internet時，同樣也需要服務(wù)器將資料回傳給你，否則你在屏幕上什么也看不到，而服務(wù)器只能將資料回傳給在Internet骨干上登記的合法IP地址。

　　”IP偽裝”就是用來解決此兩難困境的技術(shù)。當(dāng)你有一部安裝Linux的計算機，設(shè)定要使用”IP偽裝”時，它會將內(nèi)部與外部兩個網(wǎng)絡(luò)橋接起來，并自動解譯由內(nèi)往外或由外至內(nèi)的IP地址，通常這個動作稱為網(wǎng)絡(luò)地址轉(zhuǎn)換。

　　實際上的”IP偽裝”要比上述的還要復(fù)雜一些。基本上，”IP偽裝”服務(wù)器架設(shè)在兩個網(wǎng)絡(luò)之間。如果你用模擬的撥號調(diào)制解調(diào)器來存取Internet上的資料，這便是其中一個網(wǎng)絡(luò);你的內(nèi)部網(wǎng)絡(luò)通常會對應(yīng)到一張以太網(wǎng)卡，這就是第二個網(wǎng)絡(luò)。若你使用的是DSL調(diào)制解調(diào)器或纜線調(diào)制解調(diào)器(CableModem)，那么系統(tǒng)中將會有第二張以太網(wǎng)卡，代替了模擬調(diào)制解調(diào)器。而Linux可以管理這些網(wǎng)絡(luò)的每一個IP地址，因此，如果你有一部安裝windows的計算機(IP為192.168.1.25)，位于第二個網(wǎng)絡(luò)上(Etherneteth2)的話，要存取位于Internet(Etherneteth0)上的纜線調(diào)制解調(diào)器(207.176.253.15)時，Linux的”IP偽裝”就會攔截從你的瀏覽器所發(fā)出的所有TCP/IP封包，抽出原本的本地地址(192.168.1.25)，再以真實地址(207.176.253.15)取代。接著，當(dāng)服務(wù)器回傳資料到207.176.253.15時，Linux也會自動攔截回傳封包，并填回正確的本地地址(192.168.1.25)。

　　Linux可管理數(shù)臺本地計算機(如Linux的”IP偽裝”示意圖中的192.168.1.25與192.168.1.34)，并處理每一個封包，而不致發(fā)生混淆。作者有一部安裝SlackWareLinux的老486計算機，可同時處理由四部計算機送往纜線調(diào)制解調(diào)器的封包，而且速度不減少。

　　在第二版核心前，”IP偽裝”是以IP發(fā)送管理模塊(IPFWADM，IPfwadm)來管理。第二版核心雖然提供了更快、也更復(fù)雜的IPCHAINS，但仍舊提供了IPFWADMwrapper來保持向下兼容性，因此，作者在本文中會以IPFWADM為例，來解說如何設(shè)定”IP偽裝”。

　　另外，某些應(yīng)用程序如RealAudio與CU-SeeME所用的非標(biāo)準(zhǔn)封包，則需要特殊的模塊，您同樣可從上述網(wǎng)站得到相關(guān)信息。

　　就是這樣!您系統(tǒng)的”IP偽裝”現(xiàn)在應(yīng)該可以正常工作了。如果您想得到更詳細的信息，可以參考上面所提到的HOWTO。

　　半年來，56K模擬數(shù)據(jù)卡的價格突然跌降了不少。不過，大多數(shù)新的數(shù)據(jù)卡，其實是拿掉了板子上的控制用微處理器，因此會對系統(tǒng)的主CPU造成額外的負荷，而Linux并不支持這些”WinModem”卡。雖然Linux核心高手們，還是有能力為WinModem卡撰寫驅(qū)動程序，但他們也很明白，為了省10元美金而對系統(tǒng)效能造成影響，絕對不是明智之舉。

　　請確定您所使用的Modem卡，有跳腳可用來設(shè)定COM1、COM2、COM3與COM4，如此一來，這些數(shù)據(jù)卡才可在Linux下正常工作。您可找到與Linux兼容的數(shù)據(jù)卡的完整列表。

　　當(dāng)作者在撰寫本篇文章時，曾花了點時間測試各種不同的數(shù)據(jù)卡。Linux支持即插即用裝置，所以我買了一塊由Amjet生產(chǎn)的無跳腳數(shù)據(jù)卡，才又發(fā)現(xiàn)另一個令人困擾的問題。

　　作者測試用的PC是一部老舊的486，用的是1994年版的AMIBIOS。在插上這塊即插即用數(shù)據(jù)卡后，計算機便無法開機了，畫面上出現(xiàn)的是”主硬盤發(fā)生故障”(Primaryharddiskfailure)。經(jīng)檢查，發(fā)現(xiàn)即插即用的BIOS居然將原應(yīng)保留給硬盤控制器的15號中斷，配給了數(shù)據(jù)卡。最后作者放棄了在舊計算機上使用即插即用產(chǎn)品，因為不值得為這些事花時間。所以，請您注意在購買數(shù)據(jù)卡之前，先看清楚是否有調(diào)整COM1到COM4的跳腳。

　　在作者的布告板上，看到有幾位朋友詢問是否可以用多條撥號線來改善Internet的上網(wǎng)速度。這里最好的例子是128KISDN，它同時運用兩條56K通道，以達到128K的速度。當(dāng)ISP提供這樣的服務(wù)時，其實會配置兩條獨立的線路連到同一個IP上。

　　您可以看到，雖然Linux上有EQL這類模塊，可讓您在計算機上同時使用兩塊數(shù)據(jù)卡，但除非ISP對兩組撥號連線提供同一個IP，否則這兩塊數(shù)據(jù)卡也只是對送出資料有幫助而已。

　　如果您撥接的是一般的ISPPPP線路，那么您會得到一個IP地址，從服務(wù)器回傳的封包才能在數(shù)百萬臺計算機中找到您;而您每次撥入ISP時，都會得到一個不同的IP地址。

　　你的瀏覽器所送出的封包中，也包含供服務(wù)器資料回傳的本地IP地址。EQL可將這些外傳的封包，分散到不同的ISP線路上，但當(dāng)資料回傳時，卻只能通過一個IP地址接收，也就是瀏覽器認為正在使用的那個地址。若是使用ISDN，那么ISP會處理這個問題;一些ISP會為多組線路的撥號接入提供相應(yīng)的IP地址，但價錢非常昂貴。

　　在追求速度時，請別忽略了Linux防火墻的效率。在作者辦公室有六位使用者通過”IP偽裝”防火墻，去存取一部56K模擬調(diào)制解調(diào)器，工作情況十分良好，只有在有人下載大文件時速度才會變慢。在您決定要加裝多條ISP撥號線之前，可以先架設(shè)一部”IP偽裝”服務(wù)器試試。windows處理多重IP的方式并非十分有效率，而將Windows網(wǎng)絡(luò)與調(diào)制解調(diào)器隔開，效能的增進將會讓您驚訝不已。

　　簡而言之，Linux所用的”IP偽裝”法，就是把你的IP藏起來，不讓網(wǎng)絡(luò)上的其他人看到。

到此，相信大家對“Linux系統(tǒng)防火墻偽裝機制的詳細介紹”有了更深的了解，不妨來實際操作一番吧！這里是億速云網(wǎng)站，更多相關(guān)內(nèi)容可以進入相關(guān)頻道進行查詢，關(guān)注我們，繼續(xù)學(xué)習(xí)！