防火墙就是一种过滤塞（现在您这么理解不算错），您能够让您喜欢的东西通过这个塞子，别的玩意都统统过滤掉。在网络的世界里，要由防火墙过滤的就是承载通信数据的通信包。

　　天下的防火墙至少都会说两个词：Yes或No。直接说就是接受或拒绝。最简单的防火墙是以太网桥。但几乎没有人会认为这种原始防火墙能管多大用。大多数防火墙采用的技术和标准可谓五花八门。这些防火墙的形式多种多样：有的取代系统上已装备的TCP/IP协议栈；有的在已有的协议栈上建立自己的软件模块；有的干脆就是单独的一套操作系统。更有一些应用型的防火墙只对特定类型的网络连接提供保护（比如SMTP或HTTP协议等）。更有一些基于硬件的防火墙产品其实应该归入安全路由器一类。以上的产品都能够叫做防火墙，因为他们的工作方式都是相同的：分析出入防火墙的数据包，决定放行还是把他们扔到一边。

　　任何的防火墙都具备IP地址过滤功能。这项任务要检查IP包头，根据其IP源地址和目标地址作出放行/丢弃决定。看看下面这张图，两个网段之间隔了一个防火墙，防火墙的一端有台UNIX电脑，另一边的网段则摆了台PC客户机。

　　当PC客户机向UNIX电脑发起telnet请求时，PC的telnet客户程式就产生一个TCP包并把他传给本地的协议栈准备发送。接下来，协议栈将这个TCP包“塞”到一个IP包里，然后通过PC机的TCP/IP栈所定义的路径将他发送给UNIX电脑。在这个例子里，这个IP包必须经过横在PC和UNIX电脑中的防火墙才能到达UNIX电脑。

　　现在我们“命令”（用专业术语来说就是配制）防火墙把任何发给UNIX电脑的数据包都给拒了，完成这项工作以后，“心肠”比较好的防火墙还会通知客户程式一声呢！既然发向目标的IP数据没法转发，那么只有和UNIX电脑同在一个网段的用户才能访问UNIX电脑了。

　　更有一种情况，您能够命令防火墙专给那台可怜的PC机找茬，别人的数据包都让过就他不行。这正是防火墙最基本的功能：根据IP地址做转发判断。但要上了大场面这种小伎俩就玩不转了，由于黑客们能够采用IP地址欺骗技术，伪装成合法地址的电脑就能够穿越信任这个地址的防火墙了。但是根据地址的转发决策机制还是最基本和必需的。另外要注意的一点是，不要用DNS主机名建立过滤表，对DNS的伪造比IP地址欺骗要容易多了。

　　服务器TCP/UDP 端口过滤

　　仅仅依靠地址进行数据过滤在实际运用中是不可行的，更有个原因就是目标主机上往往运行着多种通信服务，比方说，我们不想让用户采用 telnet的方式连到系统，但这绝不等于我们非得同时禁止他们使用SMTP/POP邮件服务器吧？所以说，在地址之外我们还要对服务器的TCP/ UDP端口进行过滤。

　　比如，默认的telnet服务连接端口号是23。假如我们不许PC客户机建立对UNIX电脑（在这时我们当他是服务器）的telnet连接，那么我们只需命令防火墙检查发送目标是UNIX服务器的数据包，把其中具备23目标端口号的包过滤就行了。这样，我们把IP地址和目标服务器TCP/UDP端口结合起来不就能够作为过滤标准来实现相当可靠的防火墙了吗？不，没这么简单。

　　客户机也有TCP/UDP端口

　　TCP/IP是一种端对端协议，每个网络节点都具备唯一的地址。网络节点的应用层也是这样，处于应用层的每个应用程式和服务都具备自己的对应“地址”，也就是端口号。地址和端口都具备了才能建立客户机和服务器的各种应用之间的有效通信联系。比如，telnet服务器在端口23侦听入站连接。同时telnet客户机也有一个端口号，否则客户机的IP栈怎么知道某个数据包是属于哪个应用程式的呢？

　　由于历史的原因，几乎任何的TCP/IP客户程式都使用大于1023的随机分配端口号。只有UNIX电脑上的root用户才能够访问1024以下的端口，而这些端口还保留为服务器上的服务所用。所以，除非我们让任何具备大于1023端口号的数据包进入网络，否则各种网络连接都没法正常工作。

　　这对防火墙而言可就麻烦了，假如阻塞入站的全部端口，那么任何的客户机都没法使用网络资源。因为服务器发出响应外部连接请求的入站（就是进入防火墙的意思）数据包都没法经过防火墙的入站过滤。反过来，打开任何高于1023的端口就可行了吗？也不尽然。由于很多服务使用的端口都大于1023，比如X client、基于RPC的NFS服务连同为数众多的非UNIX IP产品等（NetWare/IP）就是这样的。那么让达到1023端口标准的数据包都进入网络的话网络还能说是安全的吗？连这些客户程式都不敢说自己是足够安全的。

　　双向过滤

　　OK，咱们换个思路。我们给防火墙这样下命令：已知服务的数据包能够进来，其他的全部挡在防火墙之外。比如，假如您知道用户要访问Web服务器，那就只让具备源端口号80的数据包进入网络：

　　但是新问题又出现了。首先，您怎么知道您要访问的服务器具备哪些正在运行的端口号呢？ 象HTTP这样的服务器本来就是能够任意配置的，所采用的端口也能够随意配置。假如您这样配置防火墙，您就没法访问哪些没采用标准端口号的的网络站点了！反过来，您也没法确保进入网络的数据包中具备端口号80的就一定来自Web服务器。有些黑客就是利用这一点制作自己的入侵工具，并让其运行在本机的80端口！

　　检查ACK位

　　源地址我们不相信，源端口也信不得了，这个不得不和黑客共舞的疯狂世界上更有什么值得我们信任呢？还好，事情还没到走投无路的地步。对策还是有的，但是这个办法只能用于TCP协议。

　　TCP是一种可靠的通信协议，“可靠”这个词意味着协议具备包括纠错机制在内的一些特别性质。为了实现其可靠性，每个TCP连接都要先经过一个“握手”过程来交换连接参数。更有，每个发送出去的包在后续的其他包被发送出去之前必须获得一个确认响应。但并不是对每个TCP包都非要采用专门的ACK包来响应，实际上仅仅在TCP包头上配置一个专门的位就能够完成这个功能了。所以，只要产生了响应包就要配置ACK位。连接会话的第一个包不用于确认，所以他就没有配置ACK位，后续会话交换的TCP包就要配置ACK位了。

　　举个例子，PC向远端的Web服务器发起一个连接，他生成一个没有配置ACK位的连接请求包。当服务器响应该请求时，服务器就发回一个配置了ACK位的数据包，同时在包里标记从客户机所收到的字节数。然后客户机就用自己的响应包再响应该数据包，这个数据包也配置了ACK位并标记了从服务器收到的字节数。通过监控ACK位，我们就能够将进入网络的数据限制在响应包的范围之内。于是，远程系统根本无法发起TCP连接但却能响应收到的数据包了。

　　这套机制还不能算是无懈可击，简单地举个例子，假设我们有台内部Web服务器，那么端口80就不得不被打开以便外部请求能够进入网络。更有，对UDP包而言就没法监控ACK位了，因为UDP包压根就没有ACK位。更有一些TCP应用程式，比如FTP，连接就必须由这些服务器程式自己发起。

　　FTP带来的困难

　　一般的Internet服务对任何的通信都只使用一对端口号，FTP程式在连接期间则使用两对端口号。第一对端口号用于FTP的“命令通道”提供登录和执行命令的通信链路，而另一对端口号则用于FTP的“数据通道”提供客户机和服务器之间的文档传送。

　　在通常的FTP会话过程中，客户机首先向服务器的端口21（命令通道）发送一个TCP连接请求，然后执行LOGIN、DIR等各种命令。一旦用户请求服务器发送数据，FTP服务器就用其20端口 (数据通道)向客户的数据端口发起连接。问题来了，假如服务器向客户机发起传送数据的连接，那么他就会发送没有配置ACK位的数据包，防火墙则按照刚才的规则拒绝该数据包同时也就意味着数据传送没戏了。通常只有高级的、也就是够聪明的防火墙才能看出客户机刚才告诉服务器的端口，然后才许可对该端口的入站连接。

　　UDP端口过滤

　　好了，现在我们回过头来看看怎么解决UDP问题。刚才说了，UDP包没有ACK位所以不能进行ACK位过滤。UDP 是发出去不管的“不可靠”通信，这种类型的服务通常用于广播、路由、多媒体等广播形式的通信任务。NFS、DNS、WINS、NetBIOS-over-TCP/IP和 NetWare/IP都使用UDP。

　　看来最简单的可行办法就是不允许建立入站UDP连接。防火墙配置为只许转发来自内部接口的UDP包，来自外部接口的UDP包则不转发。现在的问题是，比方说，DNS名称解析请求就使用UDP，假如您提供DNS服务，至少得允许一些内部请求穿越防火墙。更有IRC这样的客户程式也使用UDP，假如要让您的用户使用他，就同样要让他们的UDP包进入网络。我们能做的就是对那些从本地到可信任站点之间的连接进行限制。但是，什么叫可信任！假如黑客采取地址欺骗的方法不又回到老路上去了吗？

　　有些新型路由器能够通过“记忆”出站UDP包来解决这个问题：假如入站UDP包匹配最近出站UDP包的目标地址和端口号就让他进来。假如在内存中很难找到匹配的UDP包就只好拒绝他了！但是，我们怎样确信产生数据包的外部主机就是内部客户机希望通信的服务器呢？假如黑客诈称DNS服务器的地址，那么他在理论上当然能够从附着DNS的UDP端口发起攻击。只要您允许DNS查询和反馈包进入网络这个问题就必然存在。办法是采用代理服务器。

　　所谓代理服务器，顾名思义就是代表您的网络和外界打交道的服务器。代理服务器不允许存在任何网络内外的直接连接。他本身就提供公共和专用的DNS、邮件服务器等多种功能。代理服务器重写数据包而不是简单地将其转发了事。给人的感觉就是网络内部的主机都站在了网络的边缘，但实际上他们都躲在代理的后面，露面的但是是代理这个假面具。

　　小结

　　IP地址可能是假的，这是由于IP协议的源路有机制所带来的，这种机制告诉路由器不要为数据包采用正常的路径，而是按照包头内的路径传送数据包。于是黑客就能够使用系统的IP地址获得返回的数据包。有些高级防火墙能够让用户禁止源路由。通常我们的网络都通过一条路径连接ISP，然后再进入Internet。这时禁用源路由就会迫使数据包必须沿着正常的路径返回。

　　更有，我们需要了解防火墙在拒绝数据包的时候还做了哪些其他工作。比如，防火墙是否向连接发起系统发回了“主机不可到达”的ICMP消息？或防火墙真没再做其他事？这些问题都可能存在安全隐患。ICMP“主机不可达”消息会告诉黑客“防火墙专门阻塞了某些端口”，黑客立即就能够从这个消息中闻到一点什么气味。假如ICMP“主机不可达”是通信中发生的错误，那么老实的系统可能就真的什么也不发送了。反过来，什么响应都没有却会使发起通信的系统不断地尝试建立连接直到应用程式或协议栈超时，结果最终用户只能得到一个错误信息。当然这种方式会让黑客无法判断某端口到底是关闭了还是没有使用。