今天，我們進行狀態檢測防火墻的原理介紹。同時附送網絡地址轉換原理的簡單介紹！ 隨著華山派的不斷擴大，整個內部網絡也越來越龐大。每天都有大量的數據與外界交互，處于網關處的防火墻要處理的數據包越來越多，雖然能擋住很多***，但是處理效率確越來越慢，漸成為整個網絡的瓶頸。而且隨著網絡的擴大，門派里的計算機越來越多，當初五岳派分給華山的IP地址也出現嚴重不足。目前在華山，為了能搶到1個IP地址上網，好多弟子都是通宵等待，不停的使用“ipconfig/renew”，一旦獲得一個IP,基本就霸著不放，直到IP地址租期到期才肯罷休。為了能盡量使每個師兄弟都有機會上網，令狐沖已經把每個動態IP地址的租器調到1個小時，就是這樣，也還有很多弟子沒網上。現在在華山上網，真是比春運排隊買火車票還累。 現在華山弟子聯名上書岳不群，要求撤消防火墻，增加IP地址的數量，否則就退會。 岳不群急忙找來令狐沖，嚴令他趕快解決目前的問題。條件是：防火墻當然不能撤，IP地址盡量能多幾個。否則，就再也不許他見小師妹了。 令狐沖郁悶的走出師傅的房間，滿腦子的防火墻和IP地址。怎么辦啊？防火墻上的規則已經被他減少到了最少，如果規則再少的話，就起不到作用了；IP地址可以聯系電信公司五岳分公司，多申請幾個，不過還是杯水車薪啊。 “郁悶啊！！！！！！！”快瘋了的令狐沖奔進自己房間，抱起酒瓶開始狂灌。。。。。。 令狐沖被一陣陣嘈雜的聲音吵醒了！ “這是今天要送東西來的人的名單，他們要是來送東西了，你記到這張紙上，然后把單子交給邊門，叫送東西的人以后直接走邊門，不要走正門了。不然一會客人越來越多，就來不及接待了！”好像是師娘在吩咐弟子做事情呢。 令狐沖心里咯噔一下，忙開門出屋，外面已經是一片熱鬧，師娘在指揮大家干這干那呢。看到令狐沖出來，忙叫到：“沖兒，你怎么喝這么多酒啊？今天你師傅50大壽，還不快去幫忙干活！” “師娘，你剛才說什么記下來走什么邊門的我沒聽清楚，你再說下。” “你怎么關心起這個了？” “你先說說啊，急死我了” “你怎么怪怪的？我剛才說今天你師傅50大壽，我們定了很多東西，一會會有人送來，正門會有很多人，都擠到這里會很不方便。我就寫了個名單，叫門房看著，有人來就對一下單子，如果是送東西的，就叫他們記下來，然后以后就從邊門送東西，這樣一來，就會很快了。真不知道你一天想什么呢，喝這么多酒，搞的整個人怪怪的。” “對啊，這不就是我要得到的答案嗎？！在防火墻里也建個零時的表，把合法的訪問連接都放到這個表里，以后他們的訪問就直接對照這個表，而不匹配防火墻的規則，這樣，包過濾的速度不就大大加快了嗎？我真TMD是個天才啊！！”令狐沖一陣狂喜，大喊著：“謝謝師娘！！！！！！！！”然后一溜煙像自己的房間奔去。 “記得一會來給師傅敬酒！！！” “知道了。” …… 三天后，令狐沖把改良好的防火墻內核更新到防火墻上面。果然，整個網絡的訪問速度大大提高。新的防火墻就叫做“狀態檢測防火墻”。當然，他和以前的包過濾的區別是，在防火墻的核心中，會實時建立一長所有合法連接的狀態表，所有的合法連接只是在最開始訪問的時候去匹配防火墻的規則，當規則通過后，就把當前的連接寫到狀態表中去，這樣一來，以后這個連接的所有訪問都是只檢查一下狀態表，不去匹配規則庫，轉發效率大大的提高了！！ 華山弟子一片歡騰！ 但IP地址不夠的問題該怎么解決呢？ 回去看看rfc文檔吧。令狐沖一邊思考一邊走進資料室中。 從資料室出來，沖哥查到不少東西。Rfc上不是說保留了3個IP地址網段，分別是A,B,C類地址中的一個。A類10．0．0．0/8B類172.16.0.0/12C類192．168．0.0/16。如果我用這三類中的一類來組網，那么華山派可以做到沒臺計算機都能有一個IP地址。可是這些地址不能用于和外界通訊，只能在華山派的自己網絡中使用。怎么才能使得所有的弟子使用保留的IP地址上網呢？？？真是頭通的問題啊！ 令狐沖決定再仔細研究下TCP/IP協議，看看有沒有解決的方法！ 經過1周的苦苦研究，令狐沖終于找到了解決方法。他發現有了防火墻以后，所有外出的數據包都要經過防火墻處理轉發。 數據包在網絡中的傳送，是根據數據包中的包頭信息進行傳遞的。就是說根據ip地址和端口號進行轉發的。那個如果我們更改了數據包的發送地址（源地址），數據包同樣可以在網絡中進行傳送的。 對于內部網絡中的專用的地址，他發過來的數據包，在通過防火墻的時候，我們替換他的發送IP地址和端口號，使他的源IP地址變成一個合法的IP地址，并從新分個端口號，然后把這個改變紀錄下來，等返回來的數據包過防火墻時，把地址再替換回來，不就可以了嗎？ 明白了轉發的原理，令狐沖馬上把這個地址轉換(NAT)的功能加如到了防火墻中！！ 經過了網絡改造的華山派，每個弟子都可以自由的網上沖浪了。 “天才就是天才！！！”令狐沖一邊散步一邊搖頭。 今日知識點 狀態檢測防火墻： 狀態/動態檢測防火墻，試圖跟蹤通過防火墻的網絡連接和包，這樣防火墻就可以使用一組附加的標準，以確定是否允許和拒絕通信。它是在使用了基本包過濾防火墻的通信上應用一些技術來做到這點的。 當包過濾防火墻見到一個網絡包，包是孤立存在的。它沒有防火墻所關心的歷史或未來。允許和拒絕包的決定完全取決于包自身所包含的信息，如源地址、目的地址、端口號等。包中沒有包含任何描述它在信息流中的位置的信息，則該包被認為是無狀態的；它僅是存在而已。 一個有狀態包檢查防火墻跟蹤的不僅是包中包含的信息。為了跟蹤包的狀態，防火墻還記錄有用的信息以幫助識別包，例如已有的網絡連接、數據的傳出請求等。 例如，如果傳入的包包含視頻數據流，而防火墻可能已經記錄了有關信息，是關于位于特定IP地址的應用程序最近向發出包的源地址請求視頻信號的信息。如果傳入的包是要傳給發出請求的相同系統，防火墻進行匹配，包就可以被允許通過。 一個狀態/動態檢測防火墻可截斷所有傳入的通信，而允許所有傳出的通信。因為防火墻跟蹤內部出去的請求，所有按要求傳入的數據被允許通過，直到連接被關閉為止。只有未被請求的傳入通信被截斷。 如果在防火墻內正運行一臺服務器，配置就會變得稍微復雜一些，但狀態包檢查是很有力和適應性的技術。例如，可以將防火墻配置成只允許從特定端口進入的通信，只可傳到特定服務器。如果正在運行Web服務器，防火墻只將80端口傳入的通信發到指定的Web服務器。 狀態/動態檢測防火墻可提供的其他一些額外的服務有： 將某些類型的連接重定向到審核服務中去。例如，到專用Web服務器的連接，在Web服務器連接被允許之前，可能被發到SecutID服務器（用一次性口令來使用）。 拒絕攜帶某些數據的網絡通信，如帶有附加可執行程序的傳入電子消息，或包含ActiveX程序的Web頁面。 跟蹤連接狀態的方式取決于包通過防火墻的類型： TCP包。當建立起一個TCP連接時，通過的第一個包被標有包的SYN標志。通常情況下，防火墻丟棄所有外部的連接企圖，除非已經建立起某條特定規則來處理它們。對內部的連接試圖連到外部主機，防火墻注明連接包，允許響應及隨后再兩個系統之間的包，直到連接結束為止。在這種方式下，傳入的包只有在它是響應一個已建立的連接時，才會被允許通過。 UDP包。UDP包比TCP包簡單，因為它們不包含任何連接或序列信息。它們只包含源地址、目的地址、校驗和攜帶的數據。這種信息的缺乏使得防火墻確定包的合法性很困難，因為沒有打開的連接可利用，以測試傳入的包是否應被允許通過。可是，如果防火墻跟蹤包的狀態，就可以確定。對傳入的包，若它所使用的地址和UDP包攜帶的協議與傳出的連接請求匹配，該包就被允許通過。和TCP包一樣，沒有傳入的UDP包會被允許通過，除非它是響應傳出的請求或已經建立了指定的規則來處理它。對其他種類的包，情況和UDP包類似。防火墻仔細地跟蹤傳出的請求，記錄下所使用的地址、協議和包的類型，然后對照保存過的信息核對傳入的包，以確保這些包是被請求的。

轉載于:https://blog.51cto.com/litiejun/21663

總結

以上是生活随笔為你收集整理的《笑傲网湖》第五回 状态检测防火墙的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。