第76章 丹语程序（2/2）

由于龙丹的络公司的业务量剧增，这就需要海量的服务器容量来为客户服务。龙丹让葛嘉伟联系通讯公司的机房，租用了一个整间的机房，用矩阵服务器来适应游戏玩家的带宽需求，但是由于通讯公司的技术不是那么的先进，防火墙技术还是差上那么一截，通讯公司的机房经常受到黑客的攻击。这就使龙丹的的智能游戏的玩家受到了损失。

龙丹与通讯公司达成协议，由龙丹用“丹语言”设计出一款强大的防火墙程序，并维护升级，而通讯公司付出的代价就是降低对龙丹络公司带宽的费用，由此以来，相得益彰，从此以后，通讯公司的机房再也没有黑客攻破过，而龙丹也大大的减少了开支。通讯公司只是象征性的收取了龙丹络公司一点费用。就这一件事，给龙丹大大的启发，龙丹思考了许久，准备开发一款世界上独一无二的防火墙程序。

防火墙指的是一个由软件和硬件设备组合而成、在内部和外部之间、专用与公共之间的界面上构造的保护屏障.是一种获取安全性方法的形象说法，它是一种计算机硬件和软件的结合，使ateway），从而保护内部免受非法用户的侵入，防火墙主要由服务访问规则、验证工具、包过滤和应用关4个部分组成，防火墙就是一个位于计算机和它所连接的络之间的软件或硬件。该计算机流入流出的所有络通讯和数据包均要经过此防火墙。　在络中，所谓“防火墙”，是指一种将内部和公众访问(如)分开的方法，它实际上是一种隔离技术。防火墙是在两个络通讯时执行的一种访问控制尺度，它能允许你“同意”的人和数据进入你的络，同时将你“不同意”的人和数据拒之门外，最大限度地阻止络中的黑客来访问你的络。换句话说，如果不通过防火墙，公司内部的人就无法访问上的人也无法和公司内部的人进行通信。

防火墙分络层防火墙和应用层防火墙：络层防火墙可视为一种　ip　封包过滤器，运作在底层的　tcpip　协议堆栈上。我们可以以枚举的方式，只允许符合特定规则的封包通过，其余的一概禁止穿越防火墙（病毒除外，防火墙不能防止病毒侵入）。这些规则通常可以经由管理员定义或修改，不过某些防火墙设备可能只能套用内置的规则。我们也能以另一种较宽松的角度来制定防火墙规则，只要封包不符合任何一项“否定规则”就予以放行。现在的操作系统及络设备大多已内置防火墙功能。较新的防火墙能利用封包的多样属性来进行过滤，例如：来源　ip　地址、来源端口号、目的　ip　地址或端口号、服务类型(如　　或是　ftp)。也能经由通讯协议、ttl　值、来源的域名称或段...等属性来进行过滤。应用层防火墙是在　tcpip　堆栈的“应用层”上运作，您使用浏览器时所产生的数据流或是使用　ftp　时的数据流都是属于这一层。应用层防火墙可以拦截进出某应用程序的所有封包，并且封锁其他的封包。理论上，这一类的防火墙可以完全阻绝外部的数据流进到受保护的机器里。防火墙借由监测所有的封包并找出不符规则的内容，可以防范电脑糥虫或是木马程序的快速蔓延。不过就实现而言，这个方法既烦且杂，所以大部分的防火墙都不会考虑以这种方法设计。

防火墙在络中经常是以两种图标出现的。一种图标非常形象，真正像一堵墙一样。而另一种图标则是从防火墙的过滤机制来形象化的，在图标中有一个二极管图标。而二极管我们知道，它具有单向导电性，这样也就形象地说明了防火墙具有单向导通性。这看起来与现在防火墙过滤机制有些矛盾，不过它却完全体现了防火墙初期的设计思想，同时也在相当大程度上体现了当前防火墙的过滤机制。因为防火最初的设计思想是对内部络总是信任的，而对外部络却总是不信任的，所以最初的防火墙是只对外部进来的通信进行过滤，而对内部络用户发出的通信不作限制。当然目前的防火墙在过滤机制上有所改变，不仅对外部络发出的通信连接要进行过滤，对内部络用户发出的部分连接请求和数据包同样需要过滤，但防火墙仍只对符合安全策略的通信通过，也可以说具有“单向导通”性。防火墙的本义是指古代构筑和使用木制结构房屋的时候，为防止火灾的发生和蔓延，人们将坚固的石块堆砌在房屋周围作为屏障，这种防护构筑物就被称之为“防火墙”。其实与防火墙一起起作用的就是“门”。如果没有门，各房间的人如何沟通呢，这些房间的人又如何进去呢？当火灾发生时，这些人又如何逃离现场呢？这个门就相当于我们这里所讲的防火墙的“安全策略”，所以在此我们所说的防火墙实际并不是一堵实心墙，而是带有一些小孔的墙。这些小孔就是用来留给那些允许进行的通信，在这些小孔中安装了过滤机制，也就是上面所介绍的“单向导通性”。　我们通常所说的络防火墙是借鉴了古代真正用于防火的防火墙的喻义，它指的是隔离在本地络与外界络之间的一道防御系统。防火可以使企业内部局域与之间或者与其他外部络互相隔离、限制络互访用来保护内部络。

龙丹设计出了“丹语言”的防火墙软件，是真正意义上的防火墙。他跳出了现在所有防火墙的设计思路，把络防火墙的涵义跨进了一个新的时代。