深圳市众诚鑫科技有限公司

BSBY_f007

思科防火墙第一品牌【众诚鑫，王先生，13724320505】众诚鑫科技自成立以来，凭借优异的服务和精湛的技术，赢得了客户的尊重，公司业务快速发展，目前业务覆盖系统集成、IT外包服务、产品分销/直销三大领域，并积累了大量成功案例和成功经验。

　　cisco防火墙的工作原因不是一句两句话就能说清楚的，不过cisco代理商可以告诉大家：工作原理防火墙就是一种过滤塞(目前你这么理解不算错)，你可以让你喜欢的东西通过这个塞子，别的玩意都统统过滤掉。在网络的世界里，要由防火墙过滤的就是承载通信数据的通信包。

　　防火墙至少都会说两个词：Yes或者No。直接说就是接受或者拒绝。最简单的防火墙是以太网桥。但几乎没有人会认为这种原始防火墙能管多大用。大多数防火墙采用的技术和标准可谓五花八门。这些防火墙的形式多种多样：有的取代系统上已经装备的TCP/IP协议栈 有的在已有的协议栈上建立自己的软件模块 有的干脆就是独立的一套操作系统。还有一些应用型的防火墙只对特定类型的网络连接提供保护(比如SMTP或者HTTP协议等)。还有一些基于硬件的防火墙产品其实应该归入安全路由器一类。以上的产品都可以叫做防火墙，因为他们的工作方式都是一样的：分析出入防火墙的数据包，决定放行还是把他们扔到一边。

　　所有的防火墙都具有IP地址过滤功能。这项任务要检查IP包头，根据其IP源地址和目标地址作出放行/丢弃决定。看看下面这张图，两个网段之间隔了一个防火墙，防火墙的一端有台UNIX计算机，另一边的网段则摆了台PC客户机。

　　当PC客户机向UNIX计算机发起telnet请求时，PC的telnet客户程序就产生一个TCP包并把它传给本地的协议栈准备发送。接下来，协议栈将这个TCP包“塞”到一个IP包里，然后通过PC机的TCP/IP栈所定义的路径将它发送给UNIX计算机。在这个例子里，这个IP包必须经过横在PC和UNIX计算机中的防火墙才能到达UNIX计算机。

　　现在我们“命令”(用专业术语来说就是配制)防火墙把所有发给UNIX计算机的数据包都给拒了，完成这项工作以后，“心肠”比较好的防火墙还会通知客户程序一声呢!既然发向目标的IP数据没法转发，那么只有和UNIX计算机同在一个网段的用户才能访问UNIX计算机了。

　　还有一种情况，你可以命令防火墙专给那台可怜的PC机找茬，别人的数据包都让过就它不行。这正是防火墙最基本的功能：根据IP地址做转发判断。但要上了大场面这种小伎俩就玩不转了，由于黑客们可以采用IP地址欺骗技术，伪装成合法地址的计算机就可以穿越信任这个地址的防火墙了。不过根据地址的转发决策机制还是最基本和必需的。另外要注意的一点是，不要用DNS主机名建立过滤表，对DNS的伪造比IP地址欺骗要容易多了。

　　服务器TCP/UDP 端口过滤

　　　　这套机制还不能算是无懈可击，简单地举个例子，假设我们有台内部Web服务器，那么端口80就不得不被打开以便外部请求可以进入网络。还有，对UDP包而言就没法监视ACK位了，因为UDP包压根就没有ACK位。还有一些TCP应用程序，比如FTP，连接就必须由这些服务器程序自己发起。

公司名称：深圳市众诚鑫科技有限公司
cisco防火墙：http://www.zcxtec.com　http://www.zcxtec.com.cn　http://www.zcxtec.cn　
负责人：王先生 
电话：0755-82840597     
手机：13724320505 13631600109 
传真：0755-82840507 
邮箱：wangbinliang@zcxtec.com                   
Q  Q：2230716125       
地址：深圳市福田区车公庙天安数码城天济大厦4栋A座302

　　本文出处：http://www.zcxtec.com.cn/news/544.shtml