網(wǎng)絡(luò)技術(shù)是從1990年代中期發(fā)展起來的新技術(shù),它把互聯(lián)網(wǎng)上分散的資源融為有機(jī)整體���,實現(xiàn)資源的全面共享和有機(jī)協(xié)作����,使人們能夠透明地使用資源的整體能力并按需獲取信息����。資源包括高性能計算機(jī)����、存儲資源、數(shù)據(jù)資源�、信息資源�、知識資源�、專家資源、大型數(shù)據(jù)庫���、網(wǎng)絡(luò)����、傳感器等����。 當(dāng)前的互聯(lián)網(wǎng)只限于信息共享,網(wǎng)絡(luò)則被認(rèn)為是互聯(lián)網(wǎng)發(fā)展的第三階段���。
客戶機(jī)也有TCP/UDP端口
TCP/IP是一種端對端協(xié)議���,每個網(wǎng)絡(luò)節(jié)點(diǎn)都具有唯一的地址�。網(wǎng)絡(luò)節(jié)點(diǎn)的應(yīng)用層也是這樣�,處于應(yīng)用層的每個應(yīng)用程序和服務(wù)都具有自己的對應(yīng)“地址”�,也就是端口號。地址和端口都具備了才能建立客戶機(jī)和服務(wù)器的各種應(yīng)用之間的有效通信聯(lián)系���。比如,telnet服務(wù)器在端口23偵聽入站連接���。同時telnet客戶機(jī)也有一個端口號�,否則客戶機(jī)的IP棧怎么知道某個數(shù)據(jù)包是屬于哪個應(yīng)用程序的呢����?
由于歷史的原因���,幾乎所有的TCP/IP客戶程序都使用大于1023的隨機(jī)分配端口號�。只有UNIX計算機(jī)上的root用戶才可以訪問1024以下的端口���,而這些端口還保留為服務(wù)器上的服務(wù)所用����。所以,除非我們讓所有具有大于1023端口號的數(shù)據(jù)包進(jìn)入網(wǎng)絡(luò)�,否則各種網(wǎng)絡(luò)連接都沒法正常工作���。
這對防火墻而言可就麻煩了���,如果阻塞入站的全部端口,那么所有的客戶機(jī)都沒法使用網(wǎng)絡(luò)資源����。因為服務(wù)器發(fā)出響應(yīng)外部連接請求的入站(就是進(jìn)入防火墻的意思)數(shù)據(jù)包都沒法經(jīng)過防火墻的入站過濾。反過來���,打開所有高于1023的端口就可行了嗎����?也不盡然�。由于很多服務(wù)使用的端口都大于1023,比如X client���、基于RPC的NFS服務(wù)以及為數(shù)眾多的非UNIX IP產(chǎn)品等(NetWare/IP)就是這樣的���。那么讓達(dá)到1023端口標(biāo)準(zhǔn)的數(shù)據(jù)包都進(jìn)入網(wǎng)絡(luò)的話網(wǎng)絡(luò)還能說是安全的嗎?連這些客戶程序都不敢說自己是足夠安全的�。
雙向過濾
OK,咱們換個思路���。我們給防火墻這樣下命令:已知服務(wù)的數(shù)據(jù)包可以進(jìn)來�,其他的全部擋在防火墻之外�。比如����,如果你知道用戶要訪問Web服務(wù)器,那就只讓具有源端口號80的數(shù)據(jù)包進(jìn)入網(wǎng)絡(luò):
不過新問題又出現(xiàn)了�。首先,你怎么知道你要訪問的服務(wù)器具有哪些正在運(yùn)行的端口號呢����? 象HTTP這樣的服務(wù)器本來就是可以任意配置的,所采用的端口也可以隨意配置���。如果你這樣設(shè)置防火墻���,你就沒法訪問哪些沒采用標(biāo)準(zhǔn)端口號的的網(wǎng)絡(luò)站點(diǎn)了!反過來����,你也沒法保證進(jìn)入網(wǎng)絡(luò)的數(shù)據(jù)包中具有端口號80的就一定來自Web服務(wù)器。有些黑客就是利用這一點(diǎn)制作自己的入侵工具���,并讓其運(yùn)行在本機(jī)的80端口!
網(wǎng)絡(luò)的神奇作用吸引著越來越多的用戶加入其中���,正因如此,網(wǎng)絡(luò)的承受能力也面臨著越來越嚴(yán)峻的考驗―從硬件上����、軟件上、所用標(biāo)準(zhǔn)上......���,各項技術(shù)都需要適時應(yīng)勢���,對應(yīng)發(fā)展,這正是網(wǎng)絡(luò)迅速走向進(jìn)步的催化劑����。
