隨著Internet的發(fā)展，很多機(jī)構(gòu)都將自己內(nèi)部的網(wǎng)絡(luò)連接到Internet上，因而網(wǎng)絡(luò)安全問題越來越重要。

　　一、現(xiàn)有防火墻技術(shù)及其局限性

　　為了增加網(wǎng)絡(luò)的安全和保護(hù)內(nèi)部網(wǎng)絡(luò)上的重要數(shù)據(jù)，需要將內(nèi)部網(wǎng)與Internet相隔離，當(dāng)前主要通過防火墻技術(shù)來完成這個目的。然而為了保護(hù)內(nèi)部主機(jī)，防火墻軟件就必須限制外部網(wǎng)絡(luò)中的主機(jī)對內(nèi)部網(wǎng)絡(luò)的訪問。因此普通防火墻軟件的設(shè)置中，外部網(wǎng)絡(luò)無法訪問內(nèi)部主機(jī)。然而，為了向外發(fā)布自己的信息，就需要允許外部網(wǎng)絡(luò)訪問自己的Web服務(wù)器。最簡單的處理方法是將Web服務(wù)器放在防火墻之外，這樣就將Web服務(wù)器和內(nèi)部網(wǎng)絡(luò)區(qū)分開，Web服務(wù)器暴露在網(wǎng)絡(luò)外部，就有可能招受攻擊而導(dǎo)致服務(wù)器癱瘓或網(wǎng)頁被更改等潛在的問題。而當(dāng)前，Web服務(wù)器上面的信息越來越豐富和重要，Web服務(wù)器的重要性也非常明顯。因此就需要使用防火墻來保護(hù)它，如果要將Web服務(wù)器放在防火墻之內(nèi)，則需要防火墻的支持。

　　當(dāng)前防火墻主要有兩種類型，一種為包過濾型防火墻，這種防火墻針對每個IP包識別它是否符合管理員設(shè)定的過濾規(guī)則，符合一定要求的才被正確轉(zhuǎn)發(fā)。可以使用的過濾規(guī)則包括源和目的主機(jī)的名字和IP地址，端口地址，使用的網(wǎng)絡(luò)界面，以及IP包的類型。通常包過濾型的防火墻軟件根據(jù)IP包的類型屏蔽所有的由外部發(fā)起的連接請求，從而保護(hù)內(nèi)部網(wǎng)絡(luò)。如果要將Web服務(wù)器放在放火墻之內(nèi)，就需要允許對這個Web服務(wù)器和它使用的TCP端口的訪問。

　　另一種類型的防火墻為應(yīng)用代理型的防火墻，這種防火墻針對每種應(yīng)用協(xié)議提供相應(yīng)的代理服務(wù)，由代理服務(wù)器訪問網(wǎng)絡(luò)，并將結(jié)果返回給客戶機(jī)。標(biāo)準(zhǔn)的http協(xié)議的代理服務(wù)，客戶端的瀏覽器必須配置代理服務(wù)器的IP地址，不可能要求其他外部主機(jī)為訪問這個內(nèi)部網(wǎng)絡(luò)上的主機(jī)而重新設(shè)置代理服務(wù)器的地址。代理服務(wù)器并不區(qū)分外部網(wǎng)絡(luò)和內(nèi)部網(wǎng)絡(luò)，但是代理服務(wù)器使用Internet上的名字解析來確定Web服務(wù)器的位置，而通常防火墻內(nèi)使用內(nèi)部地址，這也決定了普通代理型防火墻不支持外部網(wǎng)絡(luò)對內(nèi)部Web服務(wù)器的http訪問請求。因此普通代理服務(wù)器簡單的屏蔽外部地址的訪問，因此最簡單的保護(hù)對外發(fā)布信息的Web服務(wù)器的方式是使用包過濾型的防火墻。