然而,也能设计这样一种代理服务器,它接收Internet上任意(或受限)主机的访问,而将代理这些访问请求访问内部的服务器,这种代理服务器称为反向代理服务器。
在不同类型的防火墙之间进行选择主要依赖于不同的需要,一般的情况下,内部网络的使用希望防御外部网络上的入侵者,但又希望能够最大可能的使用各种网络应用程序来访问Internet,而同时也希望系统配置比较简单,这样直接利用FreeBSD提供的ipfw/natd或ipfilter均能满足这种要求,网络地址转换类型的防火墙配置简洁、性能更高,并且对应用程序的支持相当强。
有些网络内部计算机的使用比较混乱,因此希望针对用户进行认证控制,此后才允许用户能访问Internet,并还希望能限制用户使用访问Internet的应用种类,进行更复杂的日志记录,这些情况下就应该选用应用层代理服务器fwtk。极端的情况下,只打算对内部用户提供有限种类的Internet服务,那么设置一个专用的应用代理服务器也就满足要求了,例如设置squid代理WWW访问。
然而,在FreeBSD上构建防火墙系统是通过系统提供的各种组件进行组合得到的,采取多种组件进行组合,就能构建更复杂的系统。可以根据不同需要,同时利用包过滤、网络地址转换及各种不同应用层代理等多种形式,设置不同复杂程度的防火墙系统,这就是FreeBSD系统的优势。但在这些情况下,由于FreeBSD提供的这些组件并不是单一软件,而是相互独立的多个软件,因此要设置一个完整的防火墙系统,还需要使用者进行复杂的设置。或者还需要管理员使用一些简单的脚本程序以辅助分析系统日志,发送警报,甚至对网络状态进行实时监控,通过迅速改变防火墙设置来保护内部网络系统。
通过分析防火墙的日志记录,甚至监控通过防火墙的数据流模式,就可以寻找发生过或正在进行的系统入侵行为(通常可能是服务阻塞、暴力攻击甚至更复杂的特定攻击模式),进而反馈回防火墙系统,以重新调整设置,增强系统安全性。
- 防火墙的拓扑结构
当构建防火墙系统时,首先就要考虑网络的拓扑结构,这将对防火墙的设置产生影响。简单的网络可能只需要一台防火墙设备,而复杂的网络会需要更多的网络设备,包括多个防火墙系统。以下给出了最常使用的几种使用防火墙的网络拓扑,基本上这些拓扑将适合大多数的情况,可以使用这些拓扑来作为建立自己内部网络的参考。
最简单的情况为使用具备两个网络界面的一个防火墙来分隔内部与外部网络。这种形式简单易行,适合大部分只需要访问Internet,而不需要对外发布信息的网络。一旦要向外发布信息,那么所提供的服务就会降低网络的安全性,造成相应的安全问题。
图 文 结 合:http://www.qqread.com/freebsd/s348206.html
更多内容请看防火墙软件应用、Cisco防火墙专题、Linux防火墙专题,或进入讨论组讨论。
相关专题
- 防火墙软件应用 (1869篇文章)
- Cisco防火墙专题 (4624篇文章)
- Linux防火墙 (9769篇文章)
- FreeBSD系统安全管理 (8828篇文章)
- FreeBSD使用教程 (6592篇文章)
- Freebsd频道 (698篇文章)
- 配置FreeBSD防火墙 (12篇文章)
- Freebsd优化/安全 (86篇文章)
- Freebsd安全 (40篇文章)
- FreeBSD系统安装与配置之准备篇 (1753次浏览)
- FreeBSD入门安装及汉化 (1472次浏览)
- FreeBSD下安装GNOME桌面 (971次浏览)
- FreeBSD 5.0硬盘安装指南 (707次浏览)
- freebsd5.2.1上安装vmware 3.2.1 (610次浏览)
- FreeBSD 5.1安装VMware全部过程 (571次浏览)
- FreeBSD连载(72):设置和使用DHCP (563次浏览)
- 使用FreeBSD的原因 (506次浏览)
- FreeBSD系统终极安装手册(图) (474次浏览)
- FreeBSD5.3下安装Apache+PHP+MySQL+Tomcat (453次浏览)
