再谈防火墙及防火墙的渗透(4)

　　当受保护网连到Internet上时，受保护网用户若要访问Internet，必须使用一个合法的IP地址。但由于合法Internet IP地址有限，而且受保护网络往往有自己的一套IP地址规划（非正式IP地址）。网络地址转换器就是在防火墙上装一个合法IP地址集。当内部某一用户要访问Internet时，防火墙动态地从地址集中选一个未分配的地址分配给该用户，该用户即可使用这个合法地址进行通信。同时，对于内部的某些服务器如 Web服务器，网络地址转换器允许为其分配一个固定的合法地址。外部网络的用户就可通过防火墙来访问内部的服务器。这种技术既缓解了少量的IP地址和大量的主机之间的矛盾，又对外隐藏了内部主机的IP地址，提高了安全性。

　　6、隔离域名服务器（Split Domain Name Server ）

　　这种技术是通过防火墙将受保护网络的域名服务器与外部网的域名服务器隔离，使外部网的域名服务器只能看到防火墙的IP地址，无法了解受保护网络的具体情况，这样可以保证受保护网络的IP地址不被外部网络知悉。

　　7、邮件技术（Mail Forwarding）

　　当防火墙采用上面所提到的几种技术使得外部网络只知道防火墙的IP地址和域名时，从外部网络发来的邮件，就只能送到防火墙上。这时防火墙对邮件进行检查，只有当发送邮件的源主机是被允许通过的，防火墙才对邮件的目的地址进行转换，送到内部的邮件服务器，由其进行转发。

　　应用网关是检查所有应用层的信息包，并将检查的内容信息放入决策过程，这样安全性有所提高。然而，它们是通过打破客户机/服务器模式实现的，每一个客户机/服务器通信需要两个连接：一个是从客户端到防火墙，另一个是从防火墙到服务器。另外，每一个代理需要一个不同的应用进程，或一个后台运行的服务程序，这样如果有一个新的应用就必须添加对此应用的服务程序，否则不能使用该种服务，可伸缩性差。 基于这种工作机制，应用网关防火墙有以下缺陷：

　　连接限制：每一个服务需要自己的代理，所以可提供的服务数和伸缩性受到限制；

　　技术限制：应用网关不能为UDP、RPC及普通协议族的其他服务提供代理；

　　性能：实现应用网关防火墙牺牲了一些系统性能。

　　1、屏蔽路由器（Screening Router）