網(wǎng)絡(luò)技術(shù)：解析網(wǎng)絡(luò)防火墻工作方式與優(yōu)缺點(diǎn)

　　3.應(yīng)用程序代理防火墻

　　應(yīng)用程序代理防火墻實(shí)際上并不允許在它連接的網(wǎng)絡(luò)之間直接通信。相反，它是接受來自內(nèi)部網(wǎng)絡(luò)特定用戶應(yīng)用程序的通信，然后建立于公共網(wǎng)絡(luò)服務(wù)器單獨(dú)的連接。網(wǎng)絡(luò)內(nèi)部的用戶不直接與外部的服務(wù)器通信，所以服務(wù)器不能直接訪問內(nèi)部網(wǎng)的任何一部分。

　　另外，如果不為特定的應(yīng)用程序安裝代理程序代碼，這種服務(wù)是不會(huì)被支持的，不能建立任何連接。這種建立方式拒絕任何沒有明確配置的連接，從而提供了額外的安全性和控制性。

　　例如，一個(gè)用戶的Web瀏覽器可能在80端口，但也經(jīng)�？赡苁窃�1080端口，連接到了內(nèi)部網(wǎng)絡(luò)的HTTP代理防火墻。防火墻然后會(huì)接受這個(gè)連接請求，并把它轉(zhuǎn)到所請求的Web服務(wù)器。

　　這種連接和轉(zhuǎn)移對該用戶來說是透明的，因?yàn)樗�完全是由代理防火墻自�?dòng)處理的。

　　代理防火墻通常支持的一些常見的應(yīng)用程序有：

　　HTTP、HTTPS/SSL、SMTP、POP3、IMAP、NNTP、TELNET、FTP、IRC

　　應(yīng)用程序代理防火墻可以配置成允許來自內(nèi)部網(wǎng)絡(luò)的任何連接，它也可以配置成要求用戶認(rèn)證后才建立連接。要求認(rèn)證的方式由只為已知的用戶建立連接的這種限制，為安全性提供了額外的保證。如果網(wǎng)絡(luò)受到危害，這個(gè)特征使得從內(nèi)部發(fā)動(dòng)攻擊的可能性大大減少。

　　4.NAT

　　討論到防火墻的主題，就一定要提到有一種路由器，盡管從技術(shù)上講它根本不是防火墻。網(wǎng)絡(luò)地址轉(zhuǎn)換(NAT)協(xié)議將內(nèi)部網(wǎng)絡(luò)的多個(gè)IP地址轉(zhuǎn)換到一個(gè)公共地址發(fā)到Internet上。

　　NAT經(jīng)常用于小型辦公室、家庭等網(wǎng)絡(luò)，多個(gè)用戶分享單一的IP地址，并為Internet連接提供一些安全機(jī)制。

　　當(dāng)內(nèi)部用戶與一個(gè)公共主機(jī)通信時(shí)，NAT追蹤是哪一個(gè)用戶作的請求，修改傳出的包，這樣包就像是來自單一的公共IP地址，然后再打開連接。一旦建立了連接，在內(nèi)部計(jì)算機(jī)和Web站點(diǎn)之間來回流動(dòng)的通信就都是透明的了。

　　當(dāng)從公共網(wǎng)絡(luò)傳來一個(gè)未經(jīng)請求的傳入連接時(shí)，NAT有一套規(guī)則來決定如何處理它。如果沒有事先定義好的規(guī)則，NAT只是簡單的丟棄所有未經(jīng)請求的傳入連接，就像包過濾防火墻所做的那樣。

　　可是，就像對包過濾防火墻一樣，你可以將NAT配置為接受某些特定端口傳來的傳入連接，并將它們送到一個(gè)特定的主機(jī)地址。

　　5.個(gè)人防火墻

　　現(xiàn)在網(wǎng)絡(luò)上流傳著很多的個(gè)人防火墻軟件，它是應(yīng)用程序級(jí)的。個(gè)人防火墻是一種能夠保護(hù)個(gè)人計(jì)算機(jī)系統(tǒng)安全的軟件，它可以直接在用戶的計(jì)算機(jī)上運(yùn)行，使用與狀態(tài)/動(dòng)態(tài)檢測防火墻相同的方式，保護(hù)一臺(tái)計(jì)算機(jī)免受攻擊。通常，這些防火墻是安裝在計(jì)算機(jī)網(wǎng)絡(luò)接口的較低級(jí)別上，使得它們可以監(jiān)視傳入傳出網(wǎng)卡的所有網(wǎng)絡(luò)通信。

　　一旦安裝上個(gè)人防火墻，就可以把它設(shè)置成“學(xué)習(xí)模式”，這樣的話，對遇到的每一種新的網(wǎng)絡(luò)通信，個(gè)人防火墻都會(huì)提示用戶一次，詢問如何處理那種通信。然后個(gè)人防火墻便記住響應(yīng)方式，并應(yīng)用于以后遇到的相同那種網(wǎng)絡(luò)通信。

　　例如，如果用戶已經(jīng)安裝了一臺(tái)個(gè)人Web服務(wù)器，個(gè)人防火墻可能將第一個(gè)傳入的Web連接作上標(biāo)志，并詢問用戶是否允許它通過。用戶可能允許所有的Web連接、來自某些特定IP地址范圍的連接等，個(gè)人防火墻然后把這條規(guī)則應(yīng)用于所有傳入的Web連接。

　　基本上，你可以將個(gè)人防火墻想象成在用戶計(jì)算機(jī)上建立了一個(gè)虛擬網(wǎng)絡(luò)接口。不再是計(jì)算機(jī)的操作系統(tǒng)直接通過網(wǎng)卡進(jìn)行通信，而是以操作系統(tǒng)通過和個(gè)人防火墻對話，仔細(xì)檢查網(wǎng)絡(luò)通信，然后再通過網(wǎng)卡通信。