一旦允許外部網(wǎng)絡(luò)中的主機(jī)可以向內(nèi)部網(wǎng)絡(luò)發(fā)起連接請(qǐng)求，攻擊者就可以在網(wǎng)絡(luò)外部嘗試進(jìn)行連接，這增加了攻擊者攻擊內(nèi)部網(wǎng)絡(luò)的方式，降低了整個(gè)網(wǎng)絡(luò)的安全系數(shù)。如果不允許外部主機(jī)向內(nèi)部網(wǎng)絡(luò)發(fā)起連接請(qǐng)求，攻擊者就只好在外部發(fā)起攻擊，使用特洛伊木馬或者IP spoof等技術(shù)，這些方式與發(fā)起主動(dòng)連接的攻擊方式相比，沒(méi)有現(xiàn)成的工具供利用，因此使得攻擊的復(fù)雜性大大增加，因此網(wǎng)絡(luò)被攻擊的可能性大為減少，幾乎成為不可能。一旦攻擊者進(jìn)入內(nèi)部網(wǎng)絡(luò)中的Web服務(wù)器，整個(gè)內(nèi)部網(wǎng)絡(luò)就暴露在攻擊者的面前，防火墻就不能起到應(yīng)有的作用了。因此通過(guò)重新定義包過(guò)濾型防火墻的過(guò)濾規(guī)則，并將Web服務(wù)器放在內(nèi)部網(wǎng)絡(luò)內(nèi)，只是一種簡(jiǎn)單的保護(hù)Web服務(wù)器的方法，然而不利于保護(hù)整個(gè)內(nèi)部網(wǎng)絡(luò)的安全。

　　因此，為了在保護(hù)Web服務(wù)器和內(nèi)部網(wǎng)絡(luò)的安全，當(dāng)前使用的更安全的做法是實(shí)現(xiàn)雙層防火墻。外層防火墻實(shí)現(xiàn)包過(guò)濾功能，然而卻允許外部網(wǎng)絡(luò)訪問(wèn)其中的Web服務(wù)器，內(nèi)部防火墻允許最中間的內(nèi)部網(wǎng)絡(luò)可以訪問(wèn)外部網(wǎng)絡(luò)。在外部防火墻和內(nèi)部防火墻之間稱(chēng)為�；饏^(qū)，提供外部網(wǎng)絡(luò)訪問(wèn)的服務(wù)器就位于這個(gè)區(qū)域，表明即使攻擊者通過(guò)外部防火墻進(jìn)入這個(gè)區(qū)域，也無(wú)法攻入內(nèi)部網(wǎng)絡(luò)。雙層防火墻通過(guò)設(shè)置了兩層防火墻，使得內(nèi)部網(wǎng)絡(luò)更為安全。然而，它在保護(hù)Web服務(wù)器方面的作用，與單層防火墻相似。因?yàn)榇藭r(shí)Web服務(wù)器仍然只受到一層防火墻的保護(hù)，同樣也無(wú)法對(duì)外部隱藏防火墻內(nèi)主機(jī)的各種信息，例如服務(wù)器的ip等。而且這層防火墻是對(duì)應(yīng)用協(xié)議一無(wú)所知的包過(guò)濾防火墻，由于包過(guò)濾的方式不識(shí)別應(yīng)用協(xié)議，通常為http協(xié)議，那么就無(wú)法正確識(shí)別外部的連接請(qǐng)求是否屬于正常連接，通常也無(wú)法進(jìn)行詳盡的連接記錄。為了更好的保護(hù)Web服務(wù)器不被外部攻擊者破壞，就應(yīng)該屏蔽內(nèi)部服務(wù)器的IP地址等信息，并且防火墻能夠識(shí)別連接協(xié)議，顯然這是代理型防火墻的任務(wù)。

　　二、反向代理方式

　　通常的代理服務(wù)器，只用于代理內(nèi)部網(wǎng)絡(luò)對(duì)Internet的連接請(qǐng)求，客戶(hù)機(jī)必須指定代理服務(wù)器,并將本來(lái)要直接發(fā)送到Web服務(wù)器上的http請(qǐng)求發(fā)送到代理服務(wù)器中。由于外部網(wǎng)絡(luò)上的主機(jī)并不會(huì)配置并使用這個(gè)代理服務(wù)器，普通代理服務(wù)器也被設(shè)計(jì)為在Internet上搜尋多個(gè)不確定的服務(wù)器,而不是針對(duì)Internet上多個(gè)客戶(hù)機(jī)的請(qǐng)求訪問(wèn)某一個(gè)固定的服務(wù)器，因此普通的Web代理服務(wù)器不支持外部對(duì)內(nèi)部網(wǎng)絡(luò)的訪問(wèn)請(qǐng)求。當(dāng)一個(gè)代理服務(wù)器能夠代理外部網(wǎng)絡(luò)上的主機(jī)，訪問(wèn)內(nèi)部網(wǎng)絡(luò)時(shí)，這種代理服務(wù)的方式稱(chēng)為反向代理服務(wù)。此時(shí)代理服務(wù)器對(duì)外就表現(xiàn)為一個(gè)Web服務(wù)器，外部網(wǎng)絡(luò)就可以簡(jiǎn)單把它當(dāng)作一個(gè)標(biāo)準(zhǔn)的Web服務(wù)器而不需要特定的配置。不同之處在于，這個(gè)服務(wù)器沒(méi)有保存任何網(wǎng)頁(yè)的真實(shí)數(shù)據(jù)，所有的靜態(tài)網(wǎng)頁(yè)或者CGI程序，都保存在內(nèi)部的Web服務(wù)器上。因此對(duì)反向代理服務(wù)器的攻擊并不會(huì)使得網(wǎng)頁(yè)信息遭到破壞，這樣就增強(qiáng)了Web服務(wù)器的安全性。

　　反向代理方式和包過(guò)濾方式或普通代理方式并無(wú)沖突，因此可以在防火墻設(shè)備中同時(shí)使用這兩種方式，其中反向代理用于外部網(wǎng)絡(luò)訪問(wèn)內(nèi)部網(wǎng)絡(luò)時(shí)使用，正向代理或包過(guò)濾方式用于拒絕其他外部訪問(wèn)方式并提供內(nèi)部網(wǎng)絡(luò)對(duì)外部網(wǎng)絡(luò)的訪問(wèn)能力。因此可以結(jié)合這些方式提供最佳的安全訪問(wèn)方式。