4.3 简易防火墙的设置及使用







                         2．代理服务型防火墙
                         代理服务是运行在防火墙主机上的一些特定应用程序或者服务程序。它位于内部用户
                    （在内部网络上）和外部服务（在互联网上）之间，代理在幕后处理所有用户和互联网服

                    务之间的通信以代替相互间的直接交谈，如图4-18所示。它的优点是允许用户“间接”访
                    问互联网并且能进行日志记录。代理服务型防火墙内置了专门为提高安全性而编制的应用
                    程序，能够透彻地理解相关服务的命令，对来往的数据包进行安全化处理。














                                                       图4-18  代理服务型防火墙


                         防火墙可以有效地提高内部网的安全性，但它仅仅是一个访问控制、内外隔离的安全
                    设备，还存在着不能防范内部网络用户的攻击、不能防范不通过它的链接、不能防止数据

                    驱动式攻击、不能防备全部的威胁以及病毒等局限性。




                         分 析                 广东教育出版社

                         一般情况下，防火墙可以保证内部网络的客户端访问外部网络的服务器，但外部网络
                    的客户端被禁止访问内部网络的服务器。为了解决安装防火墙后外部网络不能访问内部网

                    络服务器的问题，我们可以通过防火墙设立一个非安全系统与安全系统之间的缓冲区，这
                    个缓冲区位于内部网络和外部网络之间的小网络区域内，在这个小网络区域内可以放置一
                    些必须公开的服务器设施，如Web服务器、E-mail服务器和FTP服务器等，这就是非军事

                    化区（Demilitarized Zone，缩写为DMZ），如图4-19所示。


















                                                         图4-19  DMZ示意图


                         DMZ是用防火墙实现的，不需要其他设备。当规划一个拥有DMZ的网络时，我们可
                    以明确各个网络之间的访问关系，确定以下六条访问控制策略。


                                                                                                                    89 89







          9        9     JOEE