構(gòu)建防火墻防火墻的主要目標(biāo)是控制內(nèi)部網(wǎng)絡(luò)和外部Internet之間的連接，有限制的允許內(nèi)部網(wǎng)絡(luò)中的計算機(jī)訪問Internet上的服務(wù)，但限制外部網(wǎng)絡(luò)訪問內(nèi)部計算機(jī) 。為了實現(xiàn)這個目的，至少需要一個具有兩個（或更多）網(wǎng)絡(luò)界面的計算機(jī)，它的一個網(wǎng)絡(luò)界面連接外部網(wǎng)絡(luò)，另一個網(wǎng)絡(luò)界面連接內(nèi)部網(wǎng)絡(luò) 。然而如何實現(xiàn)限制網(wǎng)絡(luò)訪問的方法卻有所不同，主要就可以分為基于IP數(shù)據(jù)包過濾的防火墻和基于代理的防火墻 。ipfw/natd和ipfilter都是基于包過濾和網(wǎng)絡(luò)地址轉(zhuǎn)換的軟件工具，而代理服務(wù)器通常通過代理服務(wù)器軟件來實現(xiàn) 。
FreeBSD下用于防火墻的最重要的代理軟件是fwtk，它提供了多種代理服務(wù)器和統(tǒng)一的認(rèn)證方式 。FreeBSD上也能運行其他的代理服務(wù)器，然而那些代理服務(wù)器主要用于代理單個協(xié)議，不能單獨用于構(gòu)建全面功能的防火墻系統(tǒng)，而fwtk則提供了多種代理服務(wù)器，為構(gòu)建一個完整的防火墻系統(tǒng)提供了基礎(chǔ) 。然而fwtk不是一個設(shè)置完好的防火墻系統(tǒng)，而只是一組構(gòu)建防火墻的組件 。因此要使用fwtk來設(shè)定防火墻，仍然是一個復(fù)雜的任務(wù) 。雖然在FreeBSD下可以使用Ports Collection很方便的編譯安裝fwtk，但問題的關(guān)鍵是針對具體的服務(wù)進(jìn)行設(shè)置 。
fwtk能在多種Unix系統(tǒng)上運行，很多資料和書籍都已經(jīng)介紹了其使用和設(shè)置方法，這里就不再介紹fwtk的使用和設(shè)置 。這里主要介紹基于包過濾和NAT的防火墻系統(tǒng) 。
選擇防火墻的類型
早期的包過濾防火墻只是建立在路由器的基礎(chǔ)上，只支持有限的過濾規(guī)則，并且不能保持網(wǎng)絡(luò)連接狀態(tài) 。更關(guān)鍵的問題是，基于路由器的防火墻不能隱藏內(nèi)部網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)，這樣入侵者就比較容易利用包括IP欺騙在內(nèi)的方式對內(nèi)部計算機(jī)進(jìn)行攻擊 。然而，網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù)可以改變這種情況，使用ipfw/natd或ipfilter可以建立更安全、更高性能的防火墻系統(tǒng) 。
由于NAT改變了內(nèi)部計算機(jī)的IP地址，因此這種方式也可以稱作網(wǎng)絡(luò)層代理 。而其他直接支持應(yīng)用程序的代理服務(wù)器，如squid，fwtk等，被稱為應(yīng)用層代理，應(yīng)用層代理的好處是可以定義更復(fù)雜的訪問控制形式，例如針對用戶進(jìn)行認(rèn)證等，并能提供較詳細(xì)的日志記錄 。然而應(yīng)用層代理的缺點是不方便用戶使用，需要對客戶端軟件進(jìn)行其他設(shè)置，并且不一定會具有所有種類的應(yīng)用程序的代理程序 。
代理型防火墻的另一個問題是，無法向外部提供網(wǎng)絡(luò)服務(wù) 。這也可以算一個優(yōu)點，因為向外提供網(wǎng)絡(luò)服務(wù)就必然降低網(wǎng)絡(luò)安全性，然而實際上網(wǎng)絡(luò)使用者也希望通過自己的網(wǎng)絡(luò)向外發(fā)布信息，而不只是簡單的瀏覽Internet 。當(dāng)然在提供服務(wù)的同時也要保證發(fā)布信息服務(wù)器的安全，因此希望將其放入防火墻內(nèi)部 。對于需要發(fā)布信息的要求，NAT通過映射端口（或地址）就能滿足要求，但代理服務(wù)器不能 。
然而，也能設(shè)計這樣一種代理服務(wù)器，它接收Internet上任意（或受限）主機(jī)的訪問，而將代理這些訪問請求訪問內(nèi)部的服務(wù)器，這種代理服務(wù)器稱為反向代理服務(wù)器 。
在不同類型的防火墻之間進(jìn)行選擇主要依賴于不同的需要，一般的情況下，內(nèi)部網(wǎng)絡(luò)的使用希望防御外部網(wǎng)絡(luò)上的入侵者，但又希望能夠最大可能的使用各種網(wǎng)絡(luò)應(yīng)用程序來訪問Internet，而同時也希望系統(tǒng)配置比較簡單，這樣直接利用FreeBSD提供的ipfw/natd或ipfilter均能滿足這種要求，網(wǎng)絡(luò)地址轉(zhuǎn)換類型的防火墻配置簡潔、性能更高，并且對應(yīng)用程序的支持相當(dāng)強(qiáng) 。
有些網(wǎng)絡(luò)內(nèi)部計算機(jī)的使用比較混亂，因此希望針對用戶進(jìn)行認(rèn)證控制，此后才允許用戶能訪問Internet，并還希望能限制用戶使用訪問Internet的應(yīng)用種類，進(jìn)行更復(fù)雜的日志記錄，這些情況下就應(yīng)該選用應(yīng)用層代理服務(wù)器fwtk 。極端的情況下，只打算對內(nèi)部用戶提供有限種類的Internet服務(wù)，那么設(shè)置一個專用的應(yīng)用代理服務(wù)器也就滿足要求了，例如設(shè)置squid代理WWW訪問 。

推薦閱讀

• 

  a4紙尺寸英寸 a4紙尺寸是多少寸
• 

  父母投靠子女落戶呼市怎么辦理？
• 

  一樹梨花壓海棠原詩 一樹梨花壓海棠全詩
• 

  東方夏威夷指的是哪
• 

  吃完燒烤吃什么刮油吃完燒烤適合吃什么
• 

  怎么燉排骨湯才好喝
• 

  一個雞蛋灌餅有多重
• 

  Adobe After Effects創(chuàng)建立方體的方法
• 

  九月份吃什么水果應(yīng)季
• 

  愛莎玫瑰適合送哪些人
• 

  堅果R1揚聲器沙啞
• 

  聯(lián)想集團(tuán)股權(quán)分配情況 聯(lián)想工會持股怎么變了
• 

  惡霸幾個月長胸爆頭
• 

  怎樣快速消除身體水腫 浮腫怎么消除
• 

  如何殺死蜱蟲最有效
• 

  雀魂無役是什么意思

• 61 FreeBSD連載：其他內(nèi)核設(shè)置選項
• FreeBSD目錄結(jié)構(gòu)一覽
• 12 FreeBSD連載：用戶管理-增加用戶
• FreeBSD 系統(tǒng)安裝全過程
• FreeBSD網(wǎng)站平臺建設(shè)全過程　第一步
• 84 FreeBSD連載：配置Apache服務(wù)器(1)
• 37 FreeBSD連載：DNS的體系結(jié)構(gòu)
• FreeBSD中的物理內(nèi)存管理
• 如何在FreeBSD4.9平臺上安裝Darwin Streaming Server 5.0
• 85 FreeBSD連載：配置Apache服務(wù)器(2)