3.應用程序代理防火墻

　　應用程序代理防火墻實際上并不允許在它連接的網絡之間直接通信。相反，它是接受來自內部網絡特定用戶應用程序的通信，然后建立于公共網絡服務器單獨的連接。網絡內部的用戶不直接與外部的服務器通信，所以服務器不能直接訪問內部網的任何一部分。

　　另外，如果不為特定的應用程序安裝代理程序代碼，這種服務是不會被支持的，不能建立任何連接。這種建立方式拒絕任何沒有明確配置的連接，從而提供了額外的安全性和控制性。

　　例如，一個用戶的Web瀏覽器可能在80端口，但也經常可能是在1080端口，連接到了內部網絡的HTTP代理防火墻。防火墻然后會接受這個連接請求，并把它轉到所請求的Web服務器。

　　這種連接和轉移對該用戶來說是透明的，因為它完全是由代理防火墻自動處理的。

　　代理防火墻通常支持的一些常見的應用程序有：

　　HTTP、HTTPS/SSL、SMTP、POP3、IMAP、NNTP、TELNET、FTP、IRC

　　應用程序代理防火墻可以配置成允許來自內部網絡的任何連接，它也可以配置成要求用戶認證后才建立連接。要求認證的方式由只為已知的用戶建立連接的這種限制，為安全性提供了額外的保證。如果網絡受到危害，這個特征使得從內部發動攻擊的可能性大大減少。

　　4.NAT

　　討論到防火墻的主題，就一定要提到有一種路由器，盡管從技術上講它根本不是防火墻。網絡地址轉換(NAT)協議將內部網絡的多個IP地址轉換到一個公共地址發到Internet上。

　　NAT經常用于小型辦公室、家庭等網絡，多個用戶分享單一的IP地址，并為Internet連接提供一些安全機制。

　　當內部用戶與一個公共主機通信時，NAT追蹤是哪一個用戶作的請求，修改傳出的包，這樣包就像是來自單一的公共IP地址，然后再打開連接。一旦建立了連接，在內部計算機和Web站點之間來回流動的通信就都是透明的了。

　　當從公共網絡傳來一個未經請求的傳入連接時，NAT有一套規則來決定如何處理它。如果沒有事先定義好的規則，NAT只是簡單的丟棄所有未經請求的傳入連接，就像包過濾防火墻所做的那樣。

　　可是，就像對包過濾防火墻一樣，你可以將NAT配置為接受某些特定端口傳來的傳入連接，并將它們送到一個特定的主機地址。

　　5.個人防火墻

　　現在網絡上流傳著很多的個人防火墻軟件，它是應用程序級的。個人防火墻是一種能夠保護個人計算機系統安全的軟件，它可以直接在用戶的計算機上運行，使用與狀態/動態檢測防火墻相同的方式，保護一臺計算機免受攻擊。通常，這些防火墻是安裝在計算機網絡接口的較低級別上，使得它們可以監視傳入傳出網卡的所有網絡通信。

　　一旦安裝上個人防火墻，就可以把它設置成“學習模式”，這樣的話，對遇到的每一種新的網絡通信，個人防火墻都會提示用戶一次，詢問如何處理那種通信。然后個人防火墻便記住響應方式，并應用于以后遇到的相同那種網絡通信。

　　例如，如果用戶已經安裝了一臺個人Web服務器，個人防火墻可能將第一個傳入的Web連接作上標志，并詢問用戶是否允許它通過。用戶可能允許所有的Web連接、來自某些特定IP地址范圍的連接等，個人防火墻然后把這條規則應用于所有傳入的Web連接。

　　基本上，你可以將個人防火墻想象成在用戶計算機上建立了一個虛擬網絡接口。不再是計算機的操作系統直接通過網卡進行通信，而是以操作系統通過和個人防火墻對話，仔細檢查網絡通信，然后再通過網卡通信。