Chinaunix首页 | 论坛 | 博客
  • 博客访问: 1476352
  • 博文数量: 295
  • 博客积分: 10051
  • 博客等级: 上将
  • 技术积分: 3850
  • 用 户 组: 普通用户
  • 注册时间: 2008-04-11 08:50
文章分类

全部博文(295)

文章存档

2011年(1)

2009年(4)

2008年(290)

我的朋友

分类: BSD

2008-04-17 09:11:22

由于NAT改变了内部计算机的IP地址,因此这种方式也可以称作网络层代理。而其他直接支持应用程序的代理服务器,如squid,fwtk等,被称为应用层代理,应用层代理的好处是可以定义更复杂的访问控制形式,例如针对用户进行认证等,并能提供较详细的日志记录。然而应用层代理的缺点是不方便用户使用,需要对客户端软件进行其他设置,并且不一定会具有所有种类的应用程序的代理程序。

  代理型防火墙的另一个问题是,无法向外部提供网络服务。这也可以算一个优点,因为向外提供网络服务就必然降低网络安全性,然而实际上网络使用者也希望通过自己的网络向外发布信息,而不只是简单的浏览Internet。当然在提供服务的同时也要保证发布信息服务器的安全,因此希望将其放入防火墙内部。对于需要发布信息的要求,NAT通过映射端口(或地址)就能满足要求,但代理服务器不能。

  然而,也能设计这样一种代理服务器,它接收Internet上任意(或受限)主机的访问,而将代理这些访问请求访问内部的服务器,这种代理服务器称为反向代理服务器。

  在不同类型的防火墙之间进行选择主要依赖于不同的需要,一般的情况下,内部网络的使用希望防御外部网络上的入侵者,但又希望能够最大可能的使用各种网络应用程序来访问Internet,而同时也希望系统配置比较简单,这样直接利用FreeBSD提供的ipfw/natd或ipfilter均能满足这种要求,网络地址转换类型的防火墙配置简洁、性能更高,并且对应用程序的支持相当强。

  有些网络内部计算机的使用比较混乱,因此希望针对用户进行认证控制,此后才允许用户能访问Internet,并还希望能限制用户使用访问Internet的应用种类,进行更复杂的日志记录,这些情况下就应该选用应用层代理服务器fwtk。极端的情况下,只打算对内部用户提供有限种类的Internet服务,那么设置一个专用的应用代理服务器也就满足要求了,例如设置squid代理WWW访问。

阅读(500) | 评论(0) | 转发(0) |
给主人留下些什么吧!~~