網(wǎng)絡(luò)技術(shù)：解析網(wǎng)絡(luò)防火墻工作方式與優(yōu)缺點

　　3.應(yīng)用程序代理防火墻

　　應(yīng)用程序代理防火墻實際上并不允許在它連接的網(wǎng)絡(luò)之間直接通信。相反，它是接受來自內(nèi)部網(wǎng)絡(luò)特定用戶應(yīng)用程序的通信，然后建立于公共網(wǎng)絡(luò)服務(wù)器單獨的連接。網(wǎng)絡(luò)內(nèi)部的用戶不直接與外部的服務(wù)器通信，所以服務(wù)器不能直接訪問內(nèi)部網(wǎng)的任何一部分。

　　另外，如果不為特定的應(yīng)用程序安裝代理程序代碼，這種服務(wù)是不會被支持的，不能建立任何連接。這種建立方式拒絕任何沒有明確配置的連接，從而提供了額外的安全性和控制性。

　　例如，一個用戶的Web瀏覽器可能在80端口，但也經(jīng)�？赡苁窃�1080端口，連接到了內(nèi)部網(wǎng)絡(luò)的HTTP代理防火墻。防火墻然后會接受這個連接請求，并把它轉(zhuǎn)到所請求的Web服務(wù)器。

　　這種連接和轉(zhuǎn)移對該用戶來說是透明的，因為它完全是由代理防火墻自動處理的。

　　代理防火墻通常支持的一些常見的應(yīng)用程序有：

　　HTTP、HTTPS/SSL、SMTP、POP3、IMAP、NNTP、TELNET、FTP、IRC

　　應(yīng)用程序代理防火墻可以配置成允許來自內(nèi)部網(wǎng)絡(luò)的任何連接，它也可以配置成要求用戶認證后才建立連接。要求認證的方式由只為已知的用戶建立連接的這種限制，為安全性提供了額外的保證。如果網(wǎng)絡(luò)受到危害，這個特征使得從內(nèi)部發(fā)動攻擊的可能性大大減少。

　　4.NAT

　　討論到防火墻的主題，就一定要提到有一種路由器，盡管從技術(shù)上講它根本不是防火墻。網(wǎng)絡(luò)地址轉(zhuǎn)換(NAT)協(xié)議將內(nèi)部網(wǎng)絡(luò)的多個IP地址轉(zhuǎn)換到一個公共地址發(fā)到Internet上。

　　NAT經(jīng)常用于小型辦公室、家庭等網(wǎng)絡(luò)，多個用戶分享單一的IP地址，并為Internet連接提供一些安全機制。

　　當內(nèi)部用戶與一個公共主機通信時，NAT追蹤是哪一個用戶作的請求，修改傳出的包，這樣包就像是來自單一的公共IP地址，然后再打開連接。一旦建立了連接，在內(nèi)部計算機和Web站點之間來回流動的通信就都是透明的了。

　　當從公共網(wǎng)絡(luò)傳來一個未經(jīng)請求的傳入連接時，NAT有一套規(guī)則來決定如何處理它。如果沒有事先定義好的規(guī)則，NAT只是簡單的丟棄所有未經(jīng)請求的傳入連接，就像包過濾防火墻所做的那樣。

　　可是，就像對包過濾防火墻一樣，你可以將NAT配置為接受某些特定端口傳來的傳入連接，并將它們送到一個特定的主機地址。

　　5.個人防火墻

　　現(xiàn)在網(wǎng)絡(luò)上流傳著很多的個人防火墻軟件，它是應(yīng)用程序級的。個人防火墻是一種能夠保護個人計算機系統(tǒng)安全的軟件，它可以直接在用戶的計算機上運行，使用與狀態(tài)/動態(tài)檢測防火墻相同的方式，保護一臺計算機免受攻擊。通常，這些防火墻是安裝在計算機網(wǎng)絡(luò)接口的較低級別上，使得它們可以監(jiān)視傳入傳出網(wǎng)卡的所有網(wǎng)絡(luò)通信。

　　一旦安裝上個人防火墻，就可以把它設(shè)置成“學(xué)習(xí)模式”，這樣的話，對遇到的每一種新的網(wǎng)絡(luò)通信，個人防火墻都會提示用戶一次，詢問如何處理那種通信。然后個人防火墻便記住響應(yīng)方式，并應(yīng)用于以后遇到的相同那種網(wǎng)絡(luò)通信。

　　例如，如果用戶已經(jīng)安裝了一臺個人Web服務(wù)器，個人防火墻可能將第一個傳入的Web連接作上標志，并詢問用戶是否允許它通過。用戶可能允許所有的Web連接、來自某些特定IP地址范圍的連接等，個人防火墻然后把這條規(guī)則應(yīng)用于所有傳入的Web連接。

　　基本上，你可以將個人防火墻想象成在用戶計算機上建立了一個虛擬網(wǎng)絡(luò)接口。不再是計算機的操作系統(tǒng)直接通過網(wǎng)卡進行通信，而是以操作系統(tǒng)通過和個人防火墻對話，仔細檢查網(wǎng)絡(luò)通信，然后再通過網(wǎng)卡通信。