BSBY_f007

思科防火墻第一品牌【眾誠鑫，王先生，13724320505】眾誠鑫科技自成立以來，憑借優異的服務和精湛的技術，贏得了客戶的尊重，公司業務快速發展，目前業務覆蓋系統集成、IT外包服務、產品分銷/直銷三大領域，并積累了大量成功案例和成功經驗。

　　cisco防火墻的工作原因不是一句兩句話就能說清楚的，不過cisco代理商可以告訴大家：工作原理防火墻就是一種過濾塞(目前你這么理解不算錯)，你可以讓你喜歡的東西通過這個塞子，別的玩意都統統過濾掉。在網絡的世界里，要由防火墻過濾的就是承載通信數據的通信包。

　　防火墻至少都會說兩個詞：Yes或者No。直接說就是接受或者拒絕。最簡單的防火墻是以太網橋。但幾乎沒有人會認為這種原始防火墻能管多大用。大多數防火墻采用的技術和標準可謂五花八門。這些防火墻的形式多種多樣：有的取代系統上已經裝備的TCP/IP協議棧 有的在已有的協議棧上建立自己的軟件模塊 有的干脆就是獨立的一套操作系統。還有一些應用型的防火墻只對特定類型的網絡連接提供保護(比如SMTP或者HTTP協議等)。還有一些基于硬件的防火墻產品其實應該歸入安全路由器一類。以上的產品都可以叫做防火墻，因為他們的工作方式都是一樣的：分析出入防火墻的數據包，決定放行還是把他們扔到一邊。

　　所有的防火墻都具有IP地址過濾功能。這項任務要檢查IP包頭，根據其IP源地址和目標地址作出放行/丟棄決定。看看下面這張圖，兩個網段之間隔了一個防火墻，防火墻的一端有臺UNIX計算機，另一邊的網段則擺了臺PC客戶機。

　　當PC客戶機向UNIX計算機發起telnet請求時，PC的telnet客戶程序就產生一個TCP包并把它傳給本地的協議棧準備發送。接下來，協議棧將這個TCP包“塞”到一個IP包里，然后通過PC機的TCP/IP棧所定義的路徑將它發送給UNIX計算機。在這個例子里，這個IP包必須經過橫在PC和UNIX計算機中的防火墻才能到達UNIX計算機。

　　現在我們“命令”(用專業術語來說就是配制)防火墻把所有發給UNIX計算機的數據包都給拒了，完成這項工作以后，“心腸”比較好的防火墻還會通知客戶程序一聲呢!既然發向目標的IP數據沒法轉發，那么只有和UNIX計算機同在一個網段的用戶才能訪問UNIX計算機了。

　　還有一種情況，你可以命令防火墻專給那臺可憐的PC機找茬，別人的數據包都讓過就它不行。這正是防火墻最基本的功能：根據IP地址做轉發判斷。但要上了大場面這種小伎倆就玩不轉了，由于黑客們可以采用IP地址欺騙技術，偽裝成合法地址的計算機就可以穿越信任這個地址的防火墻了。不過根據地址的轉發決策機制還是最基本和必需的。另外要注意的一點是，不要用DNS主機名建立過濾表，對DNS的偽造比IP地址欺騙要容易多了。

　　服務器TCP/UDP 端口過濾

　　　　這套機制還不能算是無懈可擊，簡單地舉個例子，假設我們有臺內部Web服務器，那么端口80就不得不被打開以便外部請求可以進入網絡。還有，對UDP包而言就沒法監視ACK位了，因為UDP包壓根就沒有ACK位。還有一些TCP應用程序，比如FTP，連接就必須由這些服務器程序自己發起。

公司名稱：深圳市眾誠鑫科技有限公司
cisco防火墻：http://www.zcxtec.com　http://www.zcxtec.com.cn　http://www.zcxtec.cn　
負責人：王先生 
電話：0755-82840597     
手機：13724320505 13631600109 
傳真：0755-82840507 
郵箱：wangbinliang@zcxtec.com                   
Q  Q：2230716125       
地址：深圳市福田區車公廟天安數碼城天濟大廈4棟A座302

　　本文出處：http://www.zcxtec.com.cn/news/544.shtml