然而，在FreeBSD上構(gòu)建防火墻系統(tǒng)是通過系統(tǒng)提供的各種組件進(jìn)行組合得到的，采取多種組件進(jìn)行組合，就能構(gòu)建更復(fù)雜的系統(tǒng) ?？梢愿鶕?jù)不同需要，同時利用包過濾、網(wǎng)絡(luò)地址轉(zhuǎn)換及各種不同應(yīng)用層代理等多種形式，設(shè)置不同復(fù)雜程度的防火墻系統(tǒng)，這就是FreeBSD系統(tǒng)的優(yōu)勢 。但在這些情況下，由于FreeBSD提供的這些組件并不是單一軟件，而是相互獨立的多個軟件，因此要設(shè)置一個完整的防火墻系統(tǒng)，還需要使用者進(jìn)行復(fù)雜的設(shè)置 ?；蛘哌€需要管理員使用一些簡單的腳本程序以輔助分析系統(tǒng)日志，發(fā)送警報，甚至對網(wǎng)絡(luò)狀態(tài)進(jìn)行實時監(jiān)控，通過迅速改變防火墻設(shè)置來保護(hù)內(nèi)部網(wǎng)絡(luò)系統(tǒng) 。
通過分析防火墻的日志記錄，甚至監(jiān)控通過防火墻的數(shù)據(jù)流模式，就可以尋找發(fā)生過或正在進(jìn)行的系統(tǒng)入侵行為（通常可能是服務(wù)阻塞、暴力攻擊甚至更復(fù)雜的特定攻擊模式），進(jìn)而反饋回防火墻系統(tǒng)，以重新調(diào)整設(shè)置，增強(qiáng)系統(tǒng)安全性 。
防火墻的拓?fù)浣Y(jié)構(gòu)
當(dāng)構(gòu)建防火墻系統(tǒng)時，首先就要考慮網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)，這將對防火墻的設(shè)置產(chǎn)生影響 。簡單的網(wǎng)絡(luò)可能只需要一臺防火墻設(shè)備，而復(fù)雜的網(wǎng)絡(luò)會需要更多的網(wǎng)絡(luò)設(shè)備，包括多個防火墻系統(tǒng) 。以下給出了最常使用的幾種使用防火墻的網(wǎng)絡(luò)拓?fù)?，基本上這些拓?fù)鋵⑦m合大多數(shù)的情況，可以使用這些拓?fù)鋪碜鳛榻⒆约簝?nèi)部網(wǎng)絡(luò)的參考 。
最簡單的情況為使用具備兩個網(wǎng)絡(luò)界面的一個防火墻來分隔內(nèi)部與外部網(wǎng)絡(luò) 。這種形式簡單易行，適合大部分只需要訪問Internet，而不需要對外發(fā)布信息的網(wǎng)絡(luò) 。一旦要向外發(fā)布信息，那么所提供的服務(wù)就會降低網(wǎng)絡(luò)的安全性，造成相應(yīng)的安全問題 。
為了避免在向外提供服務(wù)的服務(wù)器被侵入之后，影響內(nèi)部網(wǎng)絡(luò)的安全性，就需要將對外提供服務(wù)的服務(wù)器和只訪問外部網(wǎng)絡(luò)的客戶計算機(jī)分隔到不同的網(wǎng)絡(luò)上 ?？梢圆捎蒙厦娴姆绞?，防火墻使用三個網(wǎng)絡(luò)界面，分別用于外部網(wǎng)絡(luò)、內(nèi)部網(wǎng)絡(luò)和提供服務(wù)的服務(wù)器 。
使用單個防火墻的網(wǎng)絡(luò)，網(wǎng)絡(luò)安全被一臺防火墻的安全所限制，更復(fù)雜的情況是同時使用多個防火墻系統(tǒng) 。例如使用兩個防火墻，第一層防火墻與第二層防火墻之間可以放置允許外部訪問的服務(wù)器，這個區(qū)域被稱為?；饏^(qū)，即使入侵者進(jìn)入這個區(qū)域，還需要近一步攻擊內(nèi)部防火墻才能接觸內(nèi)部網(wǎng)絡(luò) 。
【80 FreeBSD連載：構(gòu)建防火墻】如果這兩個防火墻使用不同的技術(shù)，如外部防火墻為網(wǎng)絡(luò)地址轉(zhuǎn)換方式，而內(nèi)部防火墻為代理服務(wù)器方式，這樣即使入侵者侵入一個防火墻，但另一個防火墻使用的是完全不同的技術(shù)，就給入侵者帶來更大的阻礙，提高整個網(wǎng)絡(luò)的安全性 。
利用這些工具，網(wǎng)絡(luò)可以設(shè)置的非常安全 。事實上當(dāng)前大部分安全問題仍然來源于人的因素，如管理不善造成的口令泄露等 。這就使得正常的安全措施無法正常應(yīng)用，而帶來不可避免的安全問題 。
PicoBSD
軟件方式的防火墻系統(tǒng)的一大問題就是由于系統(tǒng)本身能夠安裝豐富的軟件，因此常常同時被用作其他用途，當(dāng)用作其他用途時就有可能對本身的安全性造成影響 。而硬件防火墻使用專有操作系統(tǒng)，只用作網(wǎng)絡(luò)服務(wù)，這保證了它不會受到其他方面的影響 。對于用作防火墻的計算機(jī)，通常應(yīng)該專用而不要兼作其他用途 。因為防火墻的安全性非常重要，內(nèi)部網(wǎng)絡(luò)安全要依賴防火墻的安全來保障，一旦防火墻被入侵，網(wǎng)絡(luò)安全也就無法保證了 。
通常安裝的FreeBSD系統(tǒng)都具備硬盤，當(dāng)具備硬盤的FreeBSD用做防火墻系統(tǒng)時，一方面免不了想提供多種復(fù)雜的服務(wù)，這樣系統(tǒng)可能會具備潛在的安全漏洞，另一方面入侵者入侵這個系統(tǒng)之后，可以在系統(tǒng)硬盤上隱藏入侵程序以進(jìn)一步入侵網(wǎng)絡(luò)內(nèi)部 。因此對于用作防火墻的FreeBSD系統(tǒng)，最好直接修改系統(tǒng)的rc文件，屏蔽所有的網(wǎng)絡(luò)服務(wù) 。另一種方法是可以嘗試使用軟盤上的FreeBSD系統(tǒng)，這樣計算機(jī)本身不具備硬盤，可以從管理上杜絕它用作其他使用的機(jī)會，同時也節(jié)約了資源 。此時FreeBSD系統(tǒng)可以不使用硬盤、顯示器、鍵盤，通過串口進(jìn)行設(shè)置，這樣的系統(tǒng)可以安裝在網(wǎng)絡(luò)設(shè)備的機(jī)架上，專門用作防火墻提供安全服務(wù) 。

推薦閱讀

• 

  2022杭州臨安人才公寓申請審核流程
• 

  碟剎怎么調(diào)松緊？
• 

  ios電腦手機(jī)升級區(qū)別
• 

  炸完東西的油看剩余油的色彩確定是否可以繼續(xù)使用
• 

  蘋果提醒iTunes用戶不要急于安裝Vista
• 

  在劫難逃孫曉萌怎么死的，孫曉萌和趙彬彬是什么關(guān)系？
• 

  QD上實現(xiàn)“一鍵”聽音樂
• 

  教你一招輕松解決手機(jī)發(fā)燙 手機(jī)一玩就燙手怎么回事
• 

  商人和企業(yè)家有什么區(qū)別
• 

  牛奶燉桃膠的做法，牛奶燉桃膠怎么做
• 

  蘇格蘭獵鹿犬怎么美容？蘇格蘭獵鹿犬美容方法
• 

  享譽海內(nèi)外的三潭枇杷來自哪個縣，枇杷的營養(yǎng)價值
• 

  大學(xué)有沒有期中考試
• 

  抖音80后女人經(jīng)典語錄，80后女人的人生感悟說說
• 

  浪花激起的泡沫美麗極了改為比喻句
• 

  熏醋能預(yù)防寶寶感冒嗎

• 61 FreeBSD連載：其他內(nèi)核設(shè)置選項
• FreeBSD目錄結(jié)構(gòu)一覽
• 12 FreeBSD連載：用戶管理-增加用戶
• FreeBSD 系統(tǒng)安裝全過程
• FreeBSD網(wǎng)站平臺建設(shè)全過程　第一步
• 84 FreeBSD連載：配置Apache服務(wù)器(1)
• 37 FreeBSD連載：DNS的體系結(jié)構(gòu)
• FreeBSD中的物理內(nèi)存管理
• 如何在FreeBSD4.9平臺上安裝Darwin Streaming Server 5.0
• 85 FreeBSD連載：配置Apache服務(wù)器(2)