论文部分内容阅读
防火墙可分为几种不同的安全等级。在Linux中,由于有许多不同的防火墙软件可供选择,安全性可高可低,最复杂的软件可提供几乎无法渗透的保护能力。不过,Linux核心本身内建了一种称做“伪装”的简单机制,除了专门的黑客攻击外,可以抵挡住绝大部分的攻击行动。
当我们拨号连接上Internet后,我们的计算机会被赋予一个IP地址,可让网上的其他人回传资料到我们的计算机上。黑客就是用你的IP来存取你计算机上的资料。Linux所用的“IP伪装法”,就是把你的IP藏起来,不让网络上的其他人看到。有几组IP地址是特别保留给本地网络使用的,Internet骨干路由器并不能识别。在其他Internet上有数不清的计算机,也是使用同样的IP地址,由于你根本不能存取,当然不能侵入或破解了。
那么,解决Internet上的安全问题,看来似乎是一件简单的事,只要为你的计算机选一个别人无法存取的IP地址,就什么都解决了。错!因为当你浏览Internet时,同样也需要服务器将资料回传给你,否则你在屏幕上什么也看不到,而服务器只能将资料回传给在Internet骨干路由器上登记的合法IP地址。
“IP伪装”就是用来解决此两难困境的技术。当你有一部安装Linux的计算机,设定要使用“IP伪装”时,它会将内部与外部两个网络桥接起来,并自动解译由内往外或由外至内的IP地址,通常这个动作被称为网络地址转换。
实际上的“IP伪装”要比上述的还要复杂一些。基本上,“IP伪装”服务器架设在两个网络之间。如果你用模拟的拨号调制解调器来存取Internet上的资料,这便是其中一个网络。你的内部网络通常会对应到一张以太网卡,这就是第二个网络。若你使用的是DSL调制解调器或缆线调制解调器,那么系统中将会有第二张以太网卡,代替了模拟调制解调器。而Linux可以管理这些网络的每一个IP系统地址,因此,如果你有—部安装Windows的计算机(IP为192.168.1.25),位于第二个网络上(Etherneteth 1)的话,要存取位于Internet(Etherneteth 0)上的缆线调制解调器(207.176,253.15)时,Linux的“IP伪装”就会拦截从你的浏览器所发出的所有TCPIP封包,抽出原本的本地地址(192.168.1.25),再以真实地址(207.176.253.15)取代。接着,当服务器回传资料到真实地址(207.176.253.15)时,Linux也会自动拦截回传封包,并填回正确的本地地址(192.168.1.25)。
Linux可管理数台本地计算机,并处理每一个封包,而不致发生混淆。
请确定你所使用的Hodem卡,是否可用来设定COMl、COM2、COM3与COH4,如此一来,这些数据卡才可在Linux下正常工作。
我们可以看到,虽然Linux上有EQL这类模块,可让我们在计算机上同时使用两块数据卡,但除非ISP对两组拨号连线提供同一个IP,否则这两块数据卡也只是对送出资料有帮助而已。
如果我们拨接的是一般的ISP线路,那么我们会得到一个IP地址,从服务器回传的封包才能在数百万台计算机中找到我们,而我们每次拨入rsP时,都会得到一个不同的IP地址。
个人浏览器所送出的封包中,也包含供服务器资料回传的本地IP地址。EQL可将这些外传的封包,分散到不同的ISP线路上,但当资料回传时,却只能通过一个IP地址接收,也就是浏览器认为正在使用的那个地址。若是使用ISDN,那么ISP会处理这个问题。一些ISP会为多组线路的拨号接入提供相应的IP地址,但价钱非常昂贵。
在追求速度时,请别忽略了Linux防火墙的效率。在我们决定要加装多条ISP拨号线之前,可以先架设一部"IP伪装”服务器试试。Windows处理多重IP的方式并非十分有效率,而将Windows网络与调制解调器隔开,效能的增进将会让我们惊讶不已。
简而言之,Linux所用的“IP伪装法”,就是把你的IP藏起来,不让网络上的其他人看到。
当我们拨号连接上Internet后,我们的计算机会被赋予一个IP地址,可让网上的其他人回传资料到我们的计算机上。黑客就是用你的IP来存取你计算机上的资料。Linux所用的“IP伪装法”,就是把你的IP藏起来,不让网络上的其他人看到。有几组IP地址是特别保留给本地网络使用的,Internet骨干路由器并不能识别。在其他Internet上有数不清的计算机,也是使用同样的IP地址,由于你根本不能存取,当然不能侵入或破解了。
那么,解决Internet上的安全问题,看来似乎是一件简单的事,只要为你的计算机选一个别人无法存取的IP地址,就什么都解决了。错!因为当你浏览Internet时,同样也需要服务器将资料回传给你,否则你在屏幕上什么也看不到,而服务器只能将资料回传给在Internet骨干路由器上登记的合法IP地址。
“IP伪装”就是用来解决此两难困境的技术。当你有一部安装Linux的计算机,设定要使用“IP伪装”时,它会将内部与外部两个网络桥接起来,并自动解译由内往外或由外至内的IP地址,通常这个动作被称为网络地址转换。
实际上的“IP伪装”要比上述的还要复杂一些。基本上,“IP伪装”服务器架设在两个网络之间。如果你用模拟的拨号调制解调器来存取Internet上的资料,这便是其中一个网络。你的内部网络通常会对应到一张以太网卡,这就是第二个网络。若你使用的是DSL调制解调器或缆线调制解调器,那么系统中将会有第二张以太网卡,代替了模拟调制解调器。而Linux可以管理这些网络的每一个IP系统地址,因此,如果你有—部安装Windows的计算机(IP为192.168.1.25),位于第二个网络上(Etherneteth 1)的话,要存取位于Internet(Etherneteth 0)上的缆线调制解调器(207.176,253.15)时,Linux的“IP伪装”就会拦截从你的浏览器所发出的所有TCPIP封包,抽出原本的本地地址(192.168.1.25),再以真实地址(207.176.253.15)取代。接着,当服务器回传资料到真实地址(207.176.253.15)时,Linux也会自动拦截回传封包,并填回正确的本地地址(192.168.1.25)。
Linux可管理数台本地计算机,并处理每一个封包,而不致发生混淆。
请确定你所使用的Hodem卡,是否可用来设定COMl、COM2、COM3与COH4,如此一来,这些数据卡才可在Linux下正常工作。
我们可以看到,虽然Linux上有EQL这类模块,可让我们在计算机上同时使用两块数据卡,但除非ISP对两组拨号连线提供同一个IP,否则这两块数据卡也只是对送出资料有帮助而已。
如果我们拨接的是一般的ISP线路,那么我们会得到一个IP地址,从服务器回传的封包才能在数百万台计算机中找到我们,而我们每次拨入rsP时,都会得到一个不同的IP地址。
个人浏览器所送出的封包中,也包含供服务器资料回传的本地IP地址。EQL可将这些外传的封包,分散到不同的ISP线路上,但当资料回传时,却只能通过一个IP地址接收,也就是浏览器认为正在使用的那个地址。若是使用ISDN,那么ISP会处理这个问题。一些ISP会为多组线路的拨号接入提供相应的IP地址,但价钱非常昂贵。
在追求速度时,请别忽略了Linux防火墙的效率。在我们决定要加装多条ISP拨号线之前,可以先架设一部"IP伪装”服务器试试。Windows处理多重IP的方式并非十分有效率,而将Windows网络与调制解调器隔开,效能的增进将会让我们惊讶不已。
简而言之,Linux所用的“IP伪装法”,就是把你的IP藏起来,不让网络上的其他人看到。