防火墙的分类及优缺点综述

核心提示： 由信息，防火墙可以减少这种方式的攻击，防火墙的分类及优缺点综述(4)，3．应用程序代理防火墙 应用程序代理防火墙实际上并不允许在它连接的网络之间直接通信，相反，然后再打开连接，一旦建立了连接，它是接受来自内部网络特定用户应用程序的通信，然后建立于公共网络服务器单独的连接

由信息，防火墙可以减少这种方式的攻击。

3．应用程序代理防火墙

应用程序代理防火墙实际上并不允许在它连接的网络之间直接通信。相反，它是接受来自内部网络特定用户应用程序的通信，然后建立于公共网络服务器单独的连接。网络内部的用户不直接与外部的服务器通信，所以服务器不能直接访问内部网的任何一部分。

另外，如果不为特定的应用程序安装代理程序代码，这种服务是不会被支持的，不能建立任何连接。这种建立方式拒绝任何没有明确配置的连接，从而提供了额外的安全性和控制性。

例如，一个用户的Web浏览器可能在80端口，但也经常可能是在1080端口，连接到了内部网络的HTTP代理防火墙。防火墙然后会接受这个连接请求，并把它转到所请求的Web服务器。

这种连接和转移对该用户来说是透明的，因为它完全是由代理防火墙自动处理的。

代理防火墙通常支持的一些常见的应用程序有：

HTTP

HTTPS/SSL

SMTP

POP3

IMAP

NNTP

TELNET

FTP

IRC

应用程序代理防火墙可以配置成允许来自内部网络的任何连接，它也可以配置成要求用户认证后才建立连接。要求认证的方式由只为已知的用户建立连接的这种限制，为安全性提供了额外的保证。如果网络受到危害，这个特征使得从内部发动攻击的可能性大大减少。

4.NAT

讨论到防火墙的主题，就一定要提到有一种路由器，尽管从技术上讲它根本不是防火墙。网络地址转换(NAT)协议将内部网络的多个IP地址转换到一个公共地址发到Internet上。

NAT经常用于小型办公室、家庭等网络，多个用户分享单一的IP地址，并为Internet连接提供一些安全机制。

当内部用户与一个公共主机通信时，NAT追踪是哪一个用户作的请求，修改传出的包，这样包就像是来自单一的公共IP地址，然后再打开连接。一旦建立了连接，在内部计算机和Web站点之间来回流动的通信就都是透明的了。