<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 3.2 Final//EN">
<HTML>
<HEAD><META HTTP-EQUIV="Content-Type" CONTENT="text/html; charset=gb2312">
 <META NAME="GENERATOR" CONTENT="SGML-Tools 1.0.7">
 <TITLE>防火墻和代理伺服器 - HOWTO: 什么是防火墻</TITLE>
 <LINK HREF="Firewall-HOWTO-3.html" REL=next>
 <LINK HREF="Firewall-HOWTO-1.html" REL=previous>
 <LINK HREF="Firewall-HOWTO.html#toc2" REL=contents>
</HEAD>
<BODY>
<A HREF="Firewall-HOWTO-3.html">Next</A>
<A HREF="Firewall-HOWTO-1.html">Previous</A>
<A HREF="Firewall-HOWTO.html#toc2">Contents</A>
<HR>
<H2><A NAME="s2">2. 什么是防火墻</A></H2>

<P>防火墻是汽車中一個部件的名稱。在汽車中，利用防火墻把乘客和引擎隔開，以便汽車引擎一旦著火，防火墻不但能保護乘客安全，而同時還能讓司機繼續控制引擎。
在電腦中，防火墻是一種裝置，可使個別網路不受公共部分（整個網際網路）的影響。
此後，文中將防火墻電腦稱為“防火墻”，它能同時連接受到保護的網路和網際網路兩端。但受到保護的網路無法接到網際網路，網際網路也無法接到受到保護的網路。
如果要從受到保護的網路內部接到網際網路，就得telnet到防火墻，然後從防火墻聯上網際網路。
最簡單的防火墻是dual homed系統（具有兩個網路聯結的系統）。如果你能相信所有你的用戶，那你只要裝設一臺Linux（設定時將 IP forwarding/gatewaying 設為 OFF），并讓每人設一帳戶。他們隨後能登錄這一系統，使用telnet、FTP，閱讀電子函件和使用所有你提供的任何其他服務。根據這項設置，這一網路中唯一能與外界聯系的電腦便是這個防火墻。在這個網路中的其他電腦甚至不需要一條公用的路徑。
需要再次說明∶要使上述防火墻發揮作用，<B>就必須相信所有用戶！</B>不過，我可不敢這么建議。
<P>
<H2><A NAME="ss2.1">2.1 防火墻的缺陷</A>
</H2>

<P>用于過濾之用的防火墻的問題是這種防火墻不讓網際網路進入你的網路。只有通過過濾防火墻才能取用功能。在有代理伺服器的情況下，用戶可登錄到防火墻，然後進入私有網路內的任何系統。
此外，目前幾乎每天都有新型客戶機和伺服器上市。因此，得要有新的方法進入網路才能調用這些功能。
<P>
<H2><A NAME="ss2.2">2.2 防火墻的種類</A>
</H2>

<P>防火墻有兩種。
<P>
<OL>
<LI>IP過濾防火墻 - 除一些網路功能外阻擋一切聯網功能。</LI>
<LI>代理伺服器 - 替你進行網路聯結。</LI>
</OL>
<P>
<H3>IP過濾防火墻</H3>

<P>IP過濾防火墻在數據包一層工作。它依據起點、終點、埠號和每一數據包中所含的數據包種類信息控制數據包的流動。
這種防火墻非常安全，但是缺少有用的登錄記錄。它阻擋別人進入個別網路，但也不告訴你何人進入你的公共系統，或何人從內部進入網際網路。
過濾防火墻是絕對性的過濾系統。即使你要讓外界的一些人進入你的私有伺服器，你也無法讓每一個人進入伺服器。
Linux從1.3.x版開始就在內核中包含了數據包過濾軟件。
<P>
<H3>代理伺服器</H3>

<P>代理伺服器允許通過防火墻間接進入網際網路。最好的例子是先telnet系統，然後從該處再telnet另一個系統。在有代理伺服器的系統中，這項工作就完全自動。利用客戶端軟件連接代理伺服器後，代理伺服器啟動它的客戶端軟件（代理），然後傳回數據。
由于代理伺服器重復所有通訊，因此能夠記錄所有進行的工作。
只要配置正確，代理伺服器就絕對安全，這最它最可取之處。它阻擋任何人進入，因為沒有直接的IP通路。
<P>
<HR>
<A HREF="Firewall-HOWTO-3.html">Next</A>
<A HREF="Firewall-HOWTO-1.html">Previous</A>
<A HREF="Firewall-HOWTO.html#toc2">Contents</A>
</BODY>
</HTML>