綜合反向代理功能和普通拒絕外部訪問的普通防火墻軟件相結(jié)合，就能構(gòu)成一個(gè)既具有保護(hù)內(nèi)部網(wǎng)絡(luò)、又能對(duì)外提供Web信息發(fā)布的能力的防火墻系統(tǒng)。由于反向代理能力需要軟件實(shí)現(xiàn)，因此不能使用現(xiàn)有的防火墻系統(tǒng)，需要使用相關(guān)軟件進(jìn)行開發(fā)改進(jìn)。Unix顯然是首選平臺(tái)，我們基于FreeBSD系統(tǒng)，提出一種基于ipfw、natd與squid的防火墻設(shè)置方式。其中ipfw可以基于ip地址、端口、協(xié)議等對(duì)ip包進(jìn)行過濾，natd提供網(wǎng)絡(luò)地址轉(zhuǎn)換功能，這樣就隱藏了內(nèi)部網(wǎng)絡(luò)的拓?fù)涞刃畔�，ipfw和natd結(jié)合就構(gòu)成了強(qiáng)大的包過濾網(wǎng)關(guān)。而squid是Internet上最流行的Web代理服務(wù)器之一，雖然它提供的是普通的正向代理能力，但其為開放源代碼軟件，并且具有強(qiáng)大的可配置性，因此很容易可以將其更改為反向代理服務(wù)器。

　　這種方式對(duì)內(nèi)部網(wǎng)絡(luò)的保護(hù)能力，要小于雙層防火墻軟件，等于普通的單層防火墻軟件，然而其對(duì)Web服務(wù)器的保護(hù)卻大于雙層防火墻系統(tǒng)中對(duì)位于對(duì)停火區(qū)內(nèi)的Web服務(wù)器的保護(hù)。然而其本身為單層系統(tǒng)，因此比雙層系統(tǒng)配置起來更方便，是一種簡(jiǎn)單有效的方案。其中反向代理功能能夠提供豐富的連接記錄，可以用來提供預(yù)防和捕獲攻擊的能力，而包過濾和網(wǎng)絡(luò)地址翻譯可以讓內(nèi)部網(wǎng)絡(luò)的主機(jī)可以使用多種協(xié)議訪問外部網(wǎng)絡(luò)，不需要考慮防火墻對(duì)應(yīng)用協(xié)議的支持問題。這種方式適用于大多數(shù)Intranet系統(tǒng)。

　　三、討論

　　當(dāng)需要對(duì)內(nèi)部網(wǎng)絡(luò)提供更進(jìn)一步的保護(hù)時(shí)，仍然可以使用雙層防火墻模式，這樣兼具反向代理對(duì)Web服務(wù)器的保護(hù)能力，和雙層防火墻對(duì)內(nèi)部數(shù)據(jù)的更大的保護(hù)能力。

　　當(dāng)組織向外提供信息發(fā)布的時(shí)候，并不僅僅要提供一些靜態(tài)的網(wǎng)頁(yè)，更大的可能是要根據(jù)實(shí)際的數(shù)據(jù)動(dòng)態(tài)發(fā)布信息。因此發(fā)布的網(wǎng)頁(yè)便需要通過訪問數(shù)據(jù)庫(kù)動(dòng)態(tài)生成，通常使用的動(dòng)態(tài)生成技術(shù)有CGI或服務(wù)器端文檔解析等方式生成的。然而無論那種方式，都需要使得Web服務(wù)器能夠和數(shù)據(jù)庫(kù)服務(wù)器進(jìn)行連接、通信。然而系統(tǒng)數(shù)據(jù)庫(kù)應(yīng)該是內(nèi)部網(wǎng)絡(luò)中應(yīng)該首要保護(hù)的系統(tǒng)，因此要求安全性要求不高的對(duì)外發(fā)布信息的Web服務(wù)器和內(nèi)部數(shù)據(jù)庫(kù)服務(wù)器放置在同一個(gè)網(wǎng)段，就會(huì)造成相應(yīng)的安全問題。

　　為了提高訪問數(shù)據(jù)庫(kù)服務(wù)器的安全性，就需要對(duì)能夠訪問數(shù)據(jù)庫(kù)的CGI程序進(jìn)行限制，這就要求對(duì)啟動(dòng)CGI的URL請(qǐng)求比對(duì)普通url進(jìn)行更嚴(yán)格的限制。與普通包過濾型防火墻不同，反向代理能夠理解http協(xié)議，能區(qū)分出不同的url請(qǐng)求，從而能夠?qū)崿F(xiàn)對(duì)cgi請(qǐng)求比普通http請(qǐng)求更嚴(yán)格的控制，甚至可以將cgi請(qǐng)求發(fā)送到一臺(tái)專用的CGI服務(wù)器進(jìn)行處理，從而分別處理普通url請(qǐng)求和cgi請(qǐng)求。這臺(tái)cgi服務(wù)器可以具有訪問數(shù)據(jù)庫(kù)的能力，保證數(shù)據(jù)庫(kù)的安全。

　　總結(jié)本文中的論述，可以看出，反向代理方式是一種對(duì)外提供Web發(fā)布時(shí)使用的有效的防火墻技術(shù)，使用它和傳統(tǒng)防火墻技術(shù)相結(jié)合，就能實(shí)現(xiàn)簡(jiǎn)單有效的防火墻系統(tǒng)。