防火墙入门:让流流动

数字版的守夜人——防火墙——保护网络免受不必要的流量, 窥探的眼睛和恶意的黑客. 但是，当流媒体被引入等式时，防火墙可能会带来一些特殊的问题. 下面是防火墙技术的入门教程, 它与流媒体的互动, 以及如何设置公司或个人防火墙以允许访问流媒体.

长城

防火墙——通常是在计算机上运行的专用硬件设备或软件应用程序——被安置在互联网和它要保护的设备之间. 防火墙在两边各有一只脚，可以监听所有进出网络的流量. 防火墙如何处理流量取决于具体的防火墙技术及其配置. 防火墙市场可以分为两大阵营, 基于功能:针对企业的解决方案和针对个人的解决方案.

在前一类中, 像英特尔这样的公司和服务提供商, 数字岛, 康柏, 福特实施了专门的, 单一用途的防火墙装置，例如思科系统公司(www.思科.com)及SonicWall (www.sonicwall.com). 这些解决方案的主要目标是保护计算机及其内容免受试图获得未经授权访问的破解者的攻击. 企业还试图减轻大规模拒绝服务攻击的影响, 当大量的流量被定向到网络中的一个点上，以使其超出功能范围的名义饱和时，会发生什么.

对于每个数据包, 防火墙评估报头中的所有内容:流量类型(Web, FTP, RTSP流, MMS流, 等等), 源IP地址, 目的IP地址, 连接类型(现有的或新的). 较新的防火墙也会检查数据包的内容, 以阻止基于URL的特定流剪辑, 例如.

告诉防火墙应该允许和拒绝哪种流量, 管理员进行了创建规则的操作. 例如, 规则可能只允许Web流量通过, 而另一个则可以允许从员工的家庭DSL线路连接, 第三种可能会拒绝其他一切. 防火墙按顺序验证每条规则，并根据第一次匹配接受或拒绝流量. 可以创建更复杂的规则集, 例如，允许FTP流量仅从地址192通过.168.1.4 to 10.3.1.2.

这对流媒体意味着什么?

窥探一个典型的流媒体服务提供商的幕后, 人们会在每个服务器群中发现防火墙设备，这些设备被配置为检查从Internet进入的流量. 它将接受选定数量的服务的连接, 比如HTTP (Web流量), RTSP (RealMedia和QuickTime流媒体协议), MMS (Windows Media), 和PNM (RealMedia遗留协议). 最后一条包罗万象的规则是拒绝所有其他的连接.

在公司办公环境中, 拒绝所有传入的连接是标准的，这样员工就不能在他们的台式机上运行服务器软件. 对出站交通进行限制也是很正常的, 限制用户允许使用的服务. 这通常包括流媒体内容.

然而, 希望允许员工访问流媒体的公司可以离开端口554 (RTSP), 允许RealMedia G2和QuickTime流媒体), 1755 (MMS, 允许Windows媒体流), 7070 (PNM), 允许皇马的旧版本5.0流)打开. 其他公司选择防火墙所有UDP(用户数据报协议)通信, 将流媒体降级为不那么灵活的同类, TCP(传输控制协议).

仍然, 所有特定于流的端口通常都受到限制, 流媒体软件供应商不得不创造性地允许他们的内容通过公司的防火墙. RealNetworks是第一个在HTTP请求中嵌入流媒体流量的公司, 这使得防火墙很难区分流媒体和普通Web浏览. HTTP流传输和一般的Web浏览都使用端口80, 并且两者都符合相同的HTTP规范, 所以只过滤一个几乎是不可能的. 不久之后，微软在Windows Media中实现了HTTP流，苹果发布了QuickTime 4.内置HTTP支持.

个人主义

跟随企业防火墙的脚步, 个人防火墙软件解决方案最近如雨后春笋般涌现. 诺顿互联网保安(www.赛门铁克.com)、黑冰(www.networkice.com)和区域警报(www.zonelabs.com)是为使用DSL、电缆调制解调器和拨号连接的个人用户设计的. 它们提供开箱即用的预设，以过滤拒绝服务攻击，否则可能会使计算机崩溃.

同时对系统保护和临时安全监控很有用, 这些程序的监视器偶尔会被用于流式传输的UDP流量绊倒. 防火墙软件将报文记录为UDP分片攻击, 端口扫描, 或者其他潜在的安全问题, 而实际上播放的是一个无害的流媒体片段. 使用此类软件时, 在播放流媒体时，不要太认真地对待防火墙的UDP流量报告.