防御攻擊者和未授權(quán)訪問服務(wù)器的第一層次是防火墻。防火墻能分析服務(wù)器上的網(wǎng)絡(luò)通信，并決定應(yīng)該允許哪些通信通過或應(yīng)該停止哪些通信。

防火墻怎樣工作?

防火墻的決策通常是由網(wǎng)絡(luò)連接本身的信息驅(qū)動(dòng)的，而不是由所發(fā)送的數(shù)據(jù)內(nèi)容驅(qū)動(dòng)的。因素可能包括通信正在經(jīng)過哪個(gè)網(wǎng)絡(luò)設(shè)備，計(jì)算機(jī)發(fā)送或接收數(shù)據(jù)的IP地址以及發(fā)送或接收數(shù)據(jù)的傳輸協(xié)議和端口。

盡管其中大多數(shù)都是不言而喻的，但協(xié)議和端口通常會(huì)讓人感到困惑。協(xié)議被定義為標(biāo)準(zhǔn)，由兩臺(tái)計(jì)算機(jī)將數(shù)據(jù)傳輸?shù)綌?shù)據(jù)包中，并將數(shù)據(jù)發(fā)送給彼此，以便雙方都能理解并能夠讀取所發(fā)送的數(shù)據(jù)。最常使用的協(xié)議是傳輸控制協(xié)議(TCP)和用戶數(shù)據(jù)報(bào)協(xié)議(UDP)。端口是操作系統(tǒng)的網(wǎng)絡(luò)軟件所使用的數(shù)字，用來識(shí)別通過網(wǎng)絡(luò)上接收到的任何數(shù)據(jù)應(yīng)該給予哪一部分的軟件。當(dāng)需要在網(wǎng)絡(luò)上進(jìn)行通信的軟件運(yùn)行時(shí)，它將請(qǐng)求使用網(wǎng)絡(luò)軟件中的端口號(hào)，然后將任何接收到的數(shù)據(jù)發(fā)送給該軟件。

標(biāo)準(zhǔn)端口和協(xié)議

一些軟件使用預(yù)先定義的標(biāo)準(zhǔn)端口和協(xié)議。這使得交流變得更加容易，因?yàn)橛脩舨恍枰獡?dān)心這些細(xì)節(jié)。例如，web服務(wù)器技術(shù)人員通常會(huì)監(jiān)聽TCP端口80來接收HTTP通信。他們還使用TCP端口443來進(jìn)行HTTPS通信。這種行為通常由連續(xù)運(yùn)行的服務(wù)器軟件所使用。客戶端軟件，如計(jì)算機(jī)上的web瀏覽器，將對(duì)其進(jìn)行的每一個(gè)連接都使用一個(gè)隨機(jī)的端口。

防火墻通?？梢耘渲枚喾N規(guī)則，它的通信可以與上面給出的選項(xiàng)相匹配，然后被告知該如何處理該匹配，即是否允許通信或阻斷通信。通過使用這些規(guī)則，我們可以限制誰能夠與我們服務(wù)器上的各種網(wǎng)絡(luò)支持的軟件進(jìn)行通信。

除了需要在新服務(wù)器的安裝上執(zhí)行的手動(dòng)防火墻配置之外，還有一些工具，它們能夠自動(dòng)添加防火墻規(guī)則，以便在IP地址上執(zhí)行似乎正在對(duì)服務(wù)器進(jìn)行攻擊的額外塊。這些工具可以幫助確保您需要保留的對(duì)internet開放的服務(wù)是安全的。