企业通常防火墙原理

大家好,还记得我是谁吗?对了对了对了,我就是你们的好朋友——去收快递回来的Ovear君~
要说起昨天的快递啊,那可是非常的赞~双十二买的Dr pepper划算超值!就是不知道为什么为什么会有一个伞的标志,Ovear记得以前没有的呀Σ(っ °Д °;)っ,就是这样的
228550
Ovear感觉喝起来味道有点奇怪呀~为什么有一股奇葩的味道=。=
好了好了,不扯了,接下来进入今天的正题-0-

-0-上班的时候,大家一定都知道老板购买了一个奇怪的设备~然后就可以监控咱们看了什么网页,看了什么东西,跟谁聊天,发了什么邮件。甚至能屏蔽我们访问一些网站,那么这是怎么做到的呢?

答案就是——企业通常防火墙,(Ovear在这里给他取一个别名General Fire Wall, ”请勿“对号入座)
QQ截图20140122143558
想必大家经常见到的都是这种以一个防火墙模模糊糊带过的~看完也是云里雾里的┑( ̄Д  ̄)┍,那么作为科普(作死)专家,自然要给大家刨根问底,这个防火墙的原理到底是什么呢~
我们来看一张图~
QQ截图20140122144425
这里的[防火墙],已经被替换为[镜像交换机]和一台[监控服务器]了~
这就是这个监控防火墙的关键,也是实现原理~
那么什么是[镜像交换机]呢~其实很简单,说白了就是把你上网的所有数据,都拷贝一份然后传送给旁边的[监控服务器]
然后这台[监控服务器]再分析里面的内容,这也是网络中所谓的[旁路监控]。所以自然我们的什么信息都被看到了。

我们再来看一下[监控服务器]所使用的技术。
1、IP封锁
这个功能就比较好实现了~直接在[镜像交换机]处检测数据发往的目标,如果发现是封锁目标的话就拦截下来,不转给[光纤交换机],自然也就到不了Intelnet啦~
简单的说就是Ovear海淘了一份Kindle,然后在海关处被查了(QAQ希望别真被查哭哭),海关又不联系Ovear,这个Kindle就这样被扣留下来了,Ovear就收不到了~
2、域名封锁
QQ截图20140122145628
纳尼!Ovear的博客怎么跪了!老板抽什么风!竟然封了窝域名!嘿嘿,幸好窝还有备用域名,啧啧啧~
明明是一个IP,但是有些域名可以访问,而有些域名访问不了这是怎么回事呢?
其实,Ovear在上一篇博客也说过,在互联网中是只有[IP地址]的~那么电脑是怎么判断你是通过哪个域名访问的呢?答案就是,电脑在传送数据的时候,顺便告诉对面你是通过哪个[域名]访问的~这样对面就可以根据对应的域名做出回应。
QQ截图20140122150054
所以数据包中,不但含有目标IP,而且还含有Ovear需要访问的域名~这样监控服务器就可以看到Ovear是准备访问哪个域名了~

可能又有同学会出来问:不对啊!数据都不会经过[监控服务器],他怎么可以阻断我们的连接呢?他只是拷贝了一份而已呀。
没错,这就是旁路监控的重点了~~
上一篇文章我们说过,网络协议分成[TCP][UDP],TCP是会保证可靠性的,所以在通讯之前会确认是不是连接上了的~而且还规范了一定的协议。
打个比方
Ovear打电话给朋友,一般都会在说正式内容前问一句:听到了嘛?
朋友听到后在告诉Ovear:恩,听到了,肿么了?
经过这样一个过程,才会真正传送数据。这就是所谓的[TCP握手]
当然Ovear在挂电话的时候也会这样说一句,所以自然[TCP关闭连接]的时候也有一个规定,也就是[RESET指令]。旁路[监控服务器]正是利用了这一点,在检查到数据包后,利用自己离Ovear比较近,抢先一步欺骗Ovear说目标服务器关闭了连接,同时会[过滤]目标服务器发过来的那个包,并且在发送相同的内容给[目标服务器],让目标服务器认为是Ovear主动关闭了连接。
可能有些没有计算机网络概念的同学还是没有听懂,这里Ovear就再来打个比方~
Ovear准备打电话给”女朋友”,叫她今晚出来吃饭~可是不幸的是Ovear的[母上](监控服务器)并不喜欢Ovear跟她交往,所以在Ovear的手机里装了个木马,这样Ovear的[母上]就可以听到Ovear跟女朋友说的话啦,同时还可以控制Ovear的手机。
只要Ovear一给女朋友打电话,木马就马上告诉Ovear的手机是”女朋友”挂断了电话,同时告诉”女朋友”是Ovear挂断电话的。
这样Ovear就打不通啦~

3、内容监控
接上面话题,Ovear的”女朋友”知道这件事后,换了个[母上](监控服务器)不知道的电话号码(域名)。但是不小心被[母上]知道,于是[母上]很生气。就实时监控Ovear的通话内容,只要一出现[女朋友],就马上截断这句话,并且冒充女朋友说不方便,要挂断电话。然后在女朋友那边,又冒充Ovear说不方便,也挂断了电话。电话被成功截断~

为什么可以这样做呢?因为其实我们上网都是明文的,大家都知道,就像汉语一样。那么只要有服务器想监听是非常容易的。
所以解决方法嘛,就是加密,跟女朋友打电话的时候换一种[母上](监控服务器)听不懂的语言,这样自然就没办法解密了。。

(其实还有一种方法是DNS污染,但是之前讲过了,就不在这里重复了,简单的说就是木马把Ovear通讯录里面 “女朋友”的电话改成了另外的,这样Ovear就打不通了=。=)

啊肚子好痛啊,喝了昨天送过来的Dr pepper之后感觉胃里好难受,Ovear先去厕所一趟。。明天再码。。。
……………………………………………………..

企业通常防火墙原理 有 47 个评论

  1. 博主,你卖得一手好萌啊,
    特意注册号来关注你,
    现在的技术宅不光要懂技术还要会卖萌啊!

  2. 特别喜欢你写的文章,虽然我也是学网络的,但是能把这个写到这种境界的我见过的也只是第一个。

  3. 安布雷拉的产品啊~楼主喝完有没有感觉皮肤瘙痒,食欲大增,脾气暴躁有打人毁物倾向?

  4. 发现博主的博客有如下问题:
    评论提交需要好长时间,然后返回服务器无响应
    刷新之,无评论,再提交一次,提示检测到重复评论
    再刷新之,评论出现鸟。。。

  5. 胡椒博士不但培养了狂气科学家 也养育了萌萌的博主w 之前看到乃说去收快递 好担心啊QAQ 看来担心都是多余的_(xз」∠)_

  6. 萌萌的博主,你这废话太多了,看着都费劲,找了半天都找不到重点,但文章写的很不错,很有意思的原创啊!支持下!

  7. 为何不放点解析的网络包出来瞅瞅,这样不是更加高大上了?

  8. 好萌的博主,密切关注~这样麻麻再也不担心我的计算机网络课不懂啦~嘿嘿

  9. 这个东西二层桥部署进去的多一点儿吧。毕竟旁路无法做到流量控制,P2P大多为UDP的传输。

    1. UDP传输可以通过镜像交换机解决。而且作为旁路设备,可以非常迅速的返回UDP,以及控制链路。是比较理想的选择,同时对延迟要求不会很高。目前流控一般是路由的QOS做,如果要限制,像网路岗等软件都是需要装客户端的。

  10. 亲,你人呢?是不是喝的东西变质了?我还等着你写东西呢!

  11. ovear你的dns的ytb的穿透黑科技是怎么实现啊,能不能给个联系方式啊!

  12. 博主真是“十块钱我卖个萌好吗”,大爱技术+萌点文,博主懂得好多呀~好多呀~有空教几手~

    1. _(:з」∠)_其实窝是小白啦~所以才敢出来作死(wwwww笑
      PS:嗷嗷,大大的博客主题好赞!窝这个主题都丑死了OAQ

发表评论

电子邮件地址不会被公开。 必填项已用*标注