防火墻技術(shù)將本地網(wǎng)絡(luò)連接到Internet之后，Internet上的計算機就能自由訪問本地網(wǎng)絡(luò)中的計算機了 。顯然，由于本地網(wǎng)絡(luò)屬于同一個組織，本地網(wǎng)絡(luò)中的計算機相互之間都可以信任，而外部Internet上的計算機可能來自任意地方，因此不可信任 。如何給可信任的本地網(wǎng)絡(luò)中的計算機提供資源，而不給其他Internet上的計算機提供訪問或入侵的機會，同時又不妨礙本地網(wǎng)絡(luò)中的計算機正常訪問Internet，就成為了建立內(nèi)部網(wǎng)絡(luò)的一個要求 。
當然，針對每個計算機進行設(shè)置，也可以達到屏蔽外部網(wǎng)絡(luò)訪問的目的 。然而這樣做一方面不太方便，對每個計算機都要進行設(shè)置，另一方面不太安全，內(nèi)部網(wǎng)絡(luò)中不是每臺計算機使用的操作系統(tǒng)都具備良好的保護措施，而外部網(wǎng)絡(luò)中的計算機可以通過這些不安全的操作系統(tǒng)進入內(nèi)部網(wǎng)絡(luò)，提供了攻擊的途徑 。因此更好的辦法是御入侵者于網(wǎng)絡(luò)之外，在內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)中架設(shè)一個防火墻，所有的訪問都需要經(jīng)過它進行驗證，對內(nèi)部網(wǎng)絡(luò)提供了保護作用 。
包過濾技術(shù)
為了對內(nèi)部網(wǎng)絡(luò)提供保護，就有必要對通過防火墻的數(shù)據(jù)包進行檢查，例如檢查其源地址和目的地址、端口地址、數(shù)據(jù)包的類型等，根據(jù)這些數(shù)據(jù)來判斷這個數(shù)據(jù)包是否為合法數(shù)據(jù)包，如果不符合預定義的規(guī)則，就不將這個數(shù)據(jù)包發(fā)送到其目的計算機中去 。由于包過濾技術(shù)要求內(nèi)外通信的數(shù)據(jù)包必須通過使用這個技術(shù)的計算機，才能進行過濾，因而包過濾技術(shù)必須用在路由器上 。因為只有路由器才是連接多個網(wǎng)絡(luò)的橋梁，所有網(wǎng)絡(luò)之間交換的數(shù)據(jù)包都得經(jīng)過它，所以路由器就有能力對每個數(shù)據(jù)包進行檢查 。
通常的路由器都支持基本的包過濾能力，路由器在轉(zhuǎn)發(fā)IP數(shù)據(jù)包的時候，缺省狀態(tài)并不涉及數(shù)據(jù)包中的內(nèi)容，只是按照IP包的目的地址和本身的路由表進行轉(zhuǎn)發(fā) 。為了使得它進行包過濾，就必須定義一系列過濾規(guī)則，使得路由器能進行過濾 。通常情況下，過濾能針對IP地址、端口地址、連接類型等進行設(shè)定，還能夠針對數(shù)據(jù)包進行轉(zhuǎn)發(fā)，將數(shù)據(jù)包轉(zhuǎn)發(fā)到合適的計算機中 。
在包過濾的條件下，內(nèi)部網(wǎng)絡(luò)的計算機還是直接和外部計算機相通信的 。由于這是直接在IP層工作，可以適合所有的應(yīng)用服務(wù)，靈活性和效率都較高 。但也存在缺點，比如不能了解應(yīng)用協(xié)議的具體形式，也不能提供清晰的日志記錄等 。
代理服務(wù)
代理服務(wù)是另一種防火墻技術(shù)，與包過濾不同，它直接和應(yīng)用服務(wù)程序打交道 。它不會讓數(shù)據(jù)包直接通過，而是自己接收了數(shù)據(jù)包，并對其進行分析 。當代理程序理解了連接請求之后，它將自己啟動另一個連接，向外部網(wǎng)絡(luò)發(fā)送同樣的請求，然后將返回的數(shù)據(jù)發(fā)送回那個提出請求的內(nèi)部網(wǎng)計算機 。
雖然代理服務(wù)器不必連接到兩個網(wǎng)絡(luò)上就能提供代理服務(wù)，然而要想通過代理服務(wù)器限制網(wǎng)絡(luò)之間的通信，提供代理服務(wù)的計算機必須連接到兩個網(wǎng)絡(luò)上，所有的網(wǎng)絡(luò)之間通信都需要通過它的代理才行，而不能直接連接到Internet上 。因此代理服務(wù)器也不能打開包轉(zhuǎn)發(fā)能力，如果代理服務(wù)器同時也是路由器，那么內(nèi)部計算機就可以通過它的路由能力而非代理能力在不同的網(wǎng)絡(luò)之間通信，代理服務(wù)器就起不到防火墻的作用 。除非特定情況下，才能設(shè)置路由能力，此時也應(yīng)該配置了更嚴格的包過濾規(guī)則，以保護網(wǎng)絡(luò)安全 。
在有代理服務(wù)的情況下，內(nèi)部網(wǎng)絡(luò)的計算機必須配置具體的代理服務(wù)使用的代理服務(wù)器，它只同代理服務(wù)器打交道，而由代理服務(wù)器發(fā)送請求并返回結(jié)果 。代理服務(wù)器必須要了解它要代理的服務(wù)，并為每一種服務(wù)都提供詳細的訪問日志記錄，并能針對不同的使用者進行認證 。

推薦閱讀

• 

  打造舒適的電腦使用環(huán)境 電腦小屏怎么調(diào)成滿屏
• 

  醬油豆腐干制作方法 醬油豆腐干的制作方法
• 

  會車是什么意思 會車的意思
• 

  動車上可以吃泡面嗎?
• 

  烤魚怎么做好吃
• 

  ipad在保修期內(nèi)壞了怎么辦 ipad過保修期如何維修
• 

  ?？谟心男┨禺a(chǎn) 海南?？谔禺a(chǎn)
• 

  為什么要用鄰二氮菲顯色后再測定
• 

  vivou1設(shè)置鬧鐘具體操作方法
• 

  佳能單反相機用什么存儲卡
• 

  用身份證申請大王卡怎么取消 身份證申請大王卡上限怎么辦
• 

  合肥師范學院專升本，合肥師范大學有專升本么如果想怎么才能專升本
• 

  菠蘿格是紅木的一種嗎
• 

  紹興人才市場，紹興的人才市場的網(wǎng)址是什么
• 

  如何泡菜，如何學習做泡菜？
• 

  冰絲涼席能用洗衣機洗嗎

• FreeBSD 升級和優(yōu)化全攻略
• FreeBSD Kernel文字詳解
• 53 FreeBSD連載：中文X服務(wù)器
• A FreeBSD 編輯器VI
• 42 FreeBSD連載：NFS客戶支持
• 76 FreeBSD連載：設(shè)置基本系統(tǒng)
• FreeBSD 實用小技巧ctrl+d
• FreeBSD 權(quán)限操作
• 在FreeBSD中安裝雙網(wǎng)卡實例
• 最簡單FreeBSD網(wǎng)關(guān)方案