毕业设计（论文）-网络服务器管理安全研究

PAGEPAGE21目录TOC\o"2-3"\h\z\t"标题1,1,样式6,2,样式3,1,标题,1"一．网络服务器分析 51.网络服务器存在的意义 52．网络服务器的需求 73．网络服务器的安全和隐患 8二．企业网络设计方案 81．网络规划设计 81.1中小型企业网的主要功能: 91.2中小型企业网设计原则: 9三．DNS服务器配置 91.DNS的组成 102.DNS服务器的工作原理 103.DNS服务器的基本配置 104.测试DNS服务器 13四．DHCP服务器的配置 131.DHCP服务器的工作原理 132.DHCP服务器的测试 142.1DHCP服务器配置 14五．FTP服务器 181.FTP服务器介绍 18FTP的传输有两种方式：ASCII传输模式和二进制数据传输模式。 181.1FTP服务器配置 181.2FTP服务器虚拟用户的设置 181.3测试FTP服务器 19六．防火墙 201.防火墙的定义 202.为什么使用防火墙 203.防火墙的类型 204.防火墙的功能 215.防火墙测试 21 防火墙的配置 23 防火墙测试 23参考文献 24摘要在信息化程度的提高，企业对于信息处理的手段日益先进，企业运作的效率也日益提高，同时，企业对其电子化的信息系统的依赖程度也越来越高。但是由于大多数企业都把网络建立在传统的网络架构上，而该架构又缺乏对于诸多安全问题的考虑，加之人们对网络安全认识不足、管理松散、专业安全技术人员匮乏、网络安全设施投资缺乏、安全制度不完善等因素，使得网络信息的安全风险日益加剧。因此，企业网络服务器的安全基础设施的建设已经成为刻不容缓的重要课题。

本文论述一种适合于中小企业、基于Linux操作系统的网络服务器构建，以及系统管理的设计与开发。详细介绍了局域网的设计规划方案、网络服务器的部署以及服务器的配置与管理。例如常用到的网络服务有DNS域名解析、DHCP动态主机配置、Ftp服务器、VPN服务器以及防火墙技术等。简单介绍了当今比较流行的Windows2003网络操作系统各自的特点。在可行性研究和需求分析的基础上，对系统的设计方案、功能模块、网络硬件、网络服务功能设计和安全设计等进行了较详细的论述。Improvementinthelevelofinformationtechnology,enterpriseinformationprocessingtoolsformoreadvancedandefficientoperationofenterprisesisalsoincreasingatthesametime,businessesoftheirelectronicinformationsystemsareincreasinglydependentonhigh.However,becausemostbusinessesregardthenetworkbuiltonthetraditionalnetworkarchitecture,andthestructureofthelackofconsiderationforthemanysecurityissues,combinedwithpeople'slackofknowledgeofnetworksecurity,management,loose,lackofprofessionalandtechnicalpersonnelsecurity,networksecurity,lackofinfrastructureinvestmentSecuritysystemisimperfectandotherfactors,makesthenetworkinformationsecurityriskisincreasing.Therefore,thecorporatenetworkserversecurityinfrastructurehasbecomeanimportantissuewithoutdelay.

Thispaperdiscussesasuitablesmallandmediumenterprises,basedontheLinuxoperatingsystem,webserverconstruction,andsystemmanagement,designanddevelopment.Describedindetailthedesignoflocalareanetworkplanning,networkserversdeploymentandserverconfigurationandmanagement.Forexample,thenetworkservicesusedtotheDNSnameresolution,DHCPDynamicHostConfiguration,Ftpserver,VPNserverandfirewalltechnology.Abriefintroductionoftoday'spopularnetworkoperatingsystemsWindows2003respectivecharacteristics.Inthefeasibilitystudyandneedsanalysis,basedonthesystemdesign,functionmodules,networkhardware,networkservicessuchasdesignandsecuritydesignforamoredetailedexposition.一．网络服务器分析1.网络服务器存在的意义创建一个稳定、可靠的服务是一个系统管理员的重要工作。在进行这项工作时系统管理员必须考虑许多基本要素，其中最重要的就是在设计和开发的各个阶段都要考虑到用户的需求。要和用户进行交流，去发现用户对服务的要求和预期，然后把其它的要求如管理要求等列一个清单，这样的清单只能让系统管理员团队的人看到。服务应该建立在服务器级的机器上而且机器应该放在合适的环境中，作为服务器的机器应当具备适当的可靠性。服务和服务所依赖的机器应该受到监控，一旦发生故障就发出警报或产生故障记录清单。作为服务一部分的机器和软件应当依赖那些建立在相同或更高标准上的主机和软件，一个服务的可靠性和它所依赖的服务链中最薄弱环节的可靠性是相当的。一个服务不应该无故的去依赖那些不是服务一部分的主机。一旦服务建好并完成了测试，就要逐渐转到用户的角度来进行进一步的测试和调试。1用户的要求建立一个新服务应该从用户的要求开始，用户才是你建立服务的根本原因。如果建立的服务不合乎用户的需要，那就是在浪费精力。搜集用户的需求应该包括下面这些内容：他们想怎样使用这些新服务、需要哪些功能、喜欢哪些功能、这些服务对他们有多重要，以及对于这些服务他们需要什么级别的可用性和技术支持。如果可能的话，让用户试用一下服务的试用版本。不要让用户使用那些很麻烦或是不成功的系统和项目。尽量计算出使用这个服务的用户群有多大以及他们需要和希望获得什么样的性能，这样才能正确的计算。2操作上的要求对于系统管理员来说，新服务的有些要求不是用户直接可见的。比如系统管理员要考虑到新服务的管理界面、是否可以与已有的服务协同操作，以及新服务是否能与核心服务如认证服务和目录服务等集成到一起。从用户期望的可靠性水平以及系统管理员们对系统将来要求的可靠性的预期，系统管理员们就能建立一个用户期望的功能列表，其内容包括群集、从属设备、备份服务器或具有高可用性的硬件和操作系统。3开放的体系结构有时销售商使用私有协议就是为了和别的销售商达成明确的许可协议，但是会在一个销售商使用的新版本和另一个销售商使用的兼容版本之间存在明显的延迟，两个销售商所用的版本之间也会有中断，而且没有提供两个产品之间的接口。这种情况对于那些依靠它们的接口同时使用两种产品的人来说，简直是一场恶梦。一个好的解决方法就是选择基于开放标准的协议，让双方都能选择自己的软件。这就把用户端应用程序的选择同服务器平台的选择过程分离了，用户自由的选择最符合自己需要、偏好甚至是平台的软件，系统管理员们也可以独立地选择基于他们的可靠性、规模可设定性和可管理性需要的服务器解决方案。系统管理员们可以在一些相互竞争的服务器产品中进行选择，而不必被囿于那些适合某些用户端应用程序的服务器软件和平台。在许多情况下，如果软件销售商支持多硬件平台，系统管理员们甚至可以独立地选择服务器硬件和软件。我们把这叫做用户选择和服务器选择分离的能力。开放协议提供了一个公平竞争的场所，并激起销售商之间的竞争，这最终会使我们受益。开放协议和文件格式是相当稳定的，不会经常改动（即使改动也是向上兼容的），而且还有广泛的支持，能给你最大的产品自主选择性和最大的机会获得可靠的、兼容性好的产品。4．外网连接这里所说的外网连接是与包括集团公司网络、分支公司网络、供应商网络、合作伙伴网络，以及因特网的连接。与其他局域网的连接是指广域网互联，而与因特网的连接通常是指因特网的接入。如果有这方面的连接需求，则在网络服务器设计时一定要预留出口，当然这相应地要增加一些软、硬件设施。局域网的广域互联方式很多，有像MODEM拨号、HDSL、VDSL、分组交换网、帧中继网络和ATM网等之类的非专线连接，也有像DDN、T1、E1、T3、E3、光纤等专线连接。还可以通过VPN（虚拟专用网）进行安全互联。5其它需要考虑的问题建立一个服务除了要求可靠、可监测、易维护支持，以及要符合所有的我们基本要求和用户的要求外，还要考虑到一些特别的事情。如果可能的话，应该让每个服务使用专门的机器，这么作可以让服务更容易得到支持和维护，也能减少忘记一些服务器机器上的小的服务的机会。在一些大公司，使用专门的机器是一条基本原则，而在小公司，由于成本问题，一般达不到这个要求。还有一个观念就是在建立服务时要以让服务完全冗余为目标。有些重要的服务不管在多大的公司都要求完全冗余。由于公司的规模还会增长，所有你要让所有的服务都完全冗余为目标。2．网络服务器的需求1、博客/个人空间的增长促使各大提供博客服务的网站升级服务器群据CNNIC的统计，2007年中国博客作者数量达到4698.2万人，拥有博客7282.2万个。网友可以在博客上发表日志、上传图片等，如果按每个博客占用50M空间计算，这些博客总共需要约3640TB的服务器容量，而这么多的博客对服务器的要求也有更高的要求。每台服务器能够承载的博客数量是有限的，每增加一个博客就会让服务器饱和一些，当数量大到极限时就需要增加额外的服务器来承载更多的博客数量，7282万个博客需要的服务器数量是很大的，随着数量的不断增加，对服务器的需求也将更多。目前提供博客服务的各大门户网站和专门的博客网站都拥有庞大的规模，在服务器的采购方面对服务器的整体要求也要高很多，另外对服务器的体积要求并不高，但一般都会采购机架式服务器，虽然塔式服务器的扩展性都比较好，但对于网站来说，机架式服务器更具有优势，而且各大网站在选购服务器一般会选择批量采购品牌服务器。2、中小形网站企业的增长增加了服务器的需求中小形的网站整体规模不算很大，对服务器的要求并不算很高，但也不是普通的虚拟主机所能满足的，所以这类网站站长一般会采用托管或是租用服务器的方式。由于这类网站的收入不定，甚至是有些网站是一名普通的爱好者在自己的工作之余搭建的，根本就没有收入，需要站长从自己的工资收入中拿出一部分来维持网站的运作，所以对服务器的性价比要求较高，而且要考虑各方面的支出，比如托管或租用费用等。在托管方面，这类网站站长一般会选择体积较小的1U或2U机架式服务器；租用则取决于IDC服务商，但由于普通的IDC服务商也是通过租用电信或网通等服务商的机柜，因此通常都会根据用户的需要提供1U或2U的机架式服务器。由于对服务器的整体性价比较高，中小型网站站长一般会选择二级品牌的较高性能的服务器产品，或者一些大品牌特别针对入门级应用的低端服务器产品。部分对服务器很了解的站长则会考虑自行根据自己的需要DIY服务器，但由于DIY服务器需要对各方面都有深入的了解才能DIY一台性能稳定的高性价比服务器，因此，采用DIY服务器的一般都是对服务器有非常深入了解或是有朋友对这方面有很深入了解的站长。不管是DIY服务器，还是购买品牌服务器，甚至是租用IDC服务商的服务器都会采有机架式结构。3、众多个人网站引起虚拟主机的需求，增加了IDC购买服务器的数量。如今越来越多的网友开始对个人网站有深厚的兴趣，不过这类用户对服务器的要求并不高，一般仅几百M的空间就可以了，一般他们会选购购买虚拟主机。随着个人网站的数量越来越多，提供虚拟主机的IDC也急需购买新的服务器来补充，并提供更优质的服务器环境。由于同样是托管，因此IDC选购服务器也都统一考虑机架式服务器。由于一台服务器一般会拥有几十甚至一百个个人网站，IDC在选购服务器方面一般对整体的性能要求较高，为了保障服务器的稳定运行，通常会选购大品牌的高性能服务器，但也有个别规模较小的IDC会选购入门级服务器。通过以上三个方面的分析，可以很直观的看出，整体服务器行业，随着网络的不断发展，在机架式服务器方面的需求越来越高，特别是随着越来越多新兴的中小型网站的出现，提升了对高性价比的服务器和入门级服务器的需求。3．网络服务器的安全和隐患随着Internet的迅速发展和应用的普及，计算机网络已经深入教育、政府、商业、军事等各行各业，象电话、交通、水、电一样，成为社会重要的基础设施。如果计算机网络的安全可靠运行受到威胁，将会影响人们的工作、学习和生活。然而不幸的是，近年来大规模的网络安全事件接连发生，互联网上蠕虫、拒绝服务攻击、网络欺诈等新的攻击手段层出不穷，导致的泄密、数据破坏、业务无法正常进行等事件屡屡发生，甚至导致世界性的互联网瘫痪，造成的经济损失无法估计。网络安全引起世界各国的关注，政府、企业和研究机构等各领域的组织都对网络安全投入了大量的人力物力；但是目前我们面临的威胁让人不容乐观。二．企业网络设计方案本方案主要从需求分析、客户需求、网络规划设计、网络拓扑结构、系统评价四个方面。讲述如何进行企业网络的开发背景、建设过程、维护支持、营销运作等过程，利用本网络达到提升企业形象，提高服务档次，为公司的业务与国际网无缝接轨，让本网络助企业在互联网上扩展全球业务，实现真正电子商务，使公司业务与互联网接轨，迅速进入良性循环轨道。1．网络规划设计1.1中小型企业网的主要功能:资源共享功能：网络内的各个桌面用户可共享数据库、共享打印机，实现办公自动化系统中的各项功能。通信服务功能：最终用户通过广域网连接可以收发电子邮件、实现Web应用、接入互联网、进行安全的广域网访问。多媒体功能：支持多媒体组播，具有卓越的服务质量保证功能。远程VPN拨入访问功能：系统支持远程PPTP接入，外地员工可利用INTERNET远程访问公司资源。1.2中小型企业网设计原则:实用性和经济性

系统建设应始终贯彻面向应用，注重实效的方针，坚持实用、经济的原则，建设企业的网络系统。先进性和成熟性系统设计既要采用先进的概念、技术和方法，又要注意结构、设备、工具的相对成熟。不但能反映当今的先进水平，而且具有发展潜力，能保证在未来若干年内企业网络仍占领先地位。可靠性和稳定性在考虑技术先进性和开放性的同时，还应从系统结构、技术措施、设备性能、系统管理、厂商技术支持及维修能力等方面着手，确保系统运行的可靠性和稳定性，达到最大的平均无故障时间，TP-LINK网络作为国内知名品牌，网络领导厂商，其产品的可靠性和稳定性是一流的。安全性和保密性在系统设计中，既考虑信息资源的充分共享，更要注意信息的保护和隔离，因此系统应分别针对不同的应用和不同的网络通信环境，采取不同的措施，包括系统安全机制、数据存取的权限控制等，TP-LINK网络充分考虑安全性，针对小型企业的各种应用，有多种的保护机制，如划分VLAN、MAC地址绑定、802.1x、802.1d等。可扩展性和易维护性为了适应系统变化的要求，必须充分考虑以最简便的方法、最低的投资，实现系统的扩展和维护，采用可网管产品，降低了人力资源的费用，提高网络的易用性。三．DNS服务器配置域名服务器(DomainNameServer)。在Internet上域名与IP地址之间是一一对应的，域名虽然便于人们记忆，但机器之间只能互相认识IP地址，它们之间的转换工作称为域名解析，域名解析需要由专门的域名解析服务器来完成，DNS就是进行域名解析的服务器。1.DNS的组成DNS服务器负责将主机名连同域名转换为IP地址。DNS域名服务器可进行正向查询和反向查询。正向查询将名称解析成IP地址，而反向查询则将IP地址解析成名称。DNS的一般格式为：本地主机名·组名·网络名。2.DNS服务器的工作原理DNS客户在请求域名解析时，首先将试图使用本地缓存的信息进行解析，如果解析成功，则查询被应答并且返回结果。否则，DNS客户机将查询首选DNS服务器。当首选DNS服务器接收到查询请求时，首先查询本地配置的区域，如果本地区域中存在要查询的资源记录信息，则做出权威性的应答。如果本地区域中不存在要查询的资源记录信息，则服务器将试图使用本地缓存进行解析，如果解析成功，则返回结果，否则使用递归来完全名称的解析。反向查询根据IP地址查询计算机域名。为了实现反向查询，在域名空间中专门按照IP地址而不是域名定义了一个特殊域：域。域中的子域是通过IP地址带句点的十进制编号的相反顺序形成的。在DNS中建立的域树要求资源记录类型为指针(PTR)。一般对应于其正向搜索区域中主机的DNS计算机名的主机地址(A)资源记录类型。3.DNS服务器的基本配置拥有一个网络地址，为/24。企业域名注册。域名服务器的IP定为0，主机名为。企业网通过路由器与Internet连接。要解析的服务器有：Web服务器Ftp服务器E-Mail服务器在众多Internet服务器当中DNS服务是所有服务的基础，它最主要的职责之一是完成从主机域名到IP地址的映射关系的查询。DNS系统管理域名采用一个树状结构，DNS树的最上面是一个无名的root域，用“.”来表示。这个域只用来定位，并不包含任何信息，它由NIC来管理控制。Root下是分层的domain组成树状结构，一个DNS域（domain）是DNS树状结构中的一个分枝，domain中包含很多被授权管理的区域（zone），它是每个授权单位所管理的主机和IP地址的集合，平时说的域，实际上就是zone。比如，把这个URL地址拆解开：.com

zonewww

则是.区域内的一台具体的主机为了提高DNS服务器的查询效率，把非本地域的解析请求转发到ISP提供的DNS。这个功能是由forwarder选项来完成的。所谓的forwarder，就是当某一台NS主机遇到非本机负责的zone(slavezone也属于本机负责的范围)查询请求的时候，将不直接向rootzone查询而把请求转交给指定的forwarder(一台或多台)主机代为查询。解决的方法就是：在本地DNS的forwarder设定为ISP的DNS，局域网用户把DNS都设置成本地DNS地址，在进行外部域名解析时，我们的DNS把解析请求转发给ISP的DNS；又因为ISP上的DNS也有缓存的关系，所以这样设置查询还可以提高速度。具体的设置：如此设置完毕，那么所有非本区域的查询都会直接转发到forwarders指定的DNS服务器上去。4.测试DNS服务器四．DHCP服务器的配置DHCP（DynamicHostConfigurationProtocol），它是动态主机配置协议。一台计算机只要添加相应的DHCP组件，进行必要的设置就可成为DHCP服务器。DHCP服务器可以自动为局域网中的每一台计算机（客户端）分配IP地址，也可以自动设置每台计算机的子网掩码、网关以及DNS服务器等网络参数。。1.DHCP服务器的工作原理第一次登录的时候：1.寻找Server。当DHCP客户端第一次登录网路的时候，也就是客户发现本机上没有任何IP资料设定，它会向网路发出一个DHCPDISCOVER封包。因为客户端还不知道自己属于哪一个网路，所以封包的来源位址会为，而目的位址则为55，然后再附上Dhcpdiscover的信息，向网路进行广播。在Windows的预设情形下，Dhcpdiscover的等待时间预设为1秒，也就是当客户端将第一个Dhcpdiscover封包送出去之后，在1秒之内没有得到回应的话，就会进行第二次Dhcpdiscover广播。若一直得不到回应的情况下，客户端一共会有四次Dhcpdiscover广播(包括第一次在内)，除了第一次会等待1秒之外，其余三次的等待时间分别是9、13、16秒。如果都没有得到DHCP伺服器的回应，客户端则会显示错误信息，宣告Dhcpdiscover的失败。之后，基于使用者的选择，系统会继续在5分钟之后再重复一次Dhcpdiscover的过程。2.提供IP租用位址。当DHCP伺服器监听到客户端发出的Dhcpdiscover广播后，它会从那些还没有租出的位址范围内，选择最前面的的空置IP，连同其它TCP/IP设定，回应给客户端一个DHCPOFFER封包。由于客户端在开始的时候还没有IP位址，所以在其Dhcpdiscover封包内会带有其MAC位址信息，并且有一个XID编号来辨别该封包，DHCP伺服器回应的Dhcpoffer封包则会根据这些资料传递给要求租约的客户。根据伺服器端的设定，Dhcpoffer封包会包含一个租约期限的信息。3.接受IP租约。如果客户端收到网路上多台DHCP伺服器的回应，只会挑选其中一个Dhcpoffer而已(通常是最先抵达的那个)，并且会向网路发送一个Dhcprequest广播封包，告诉所有DHCP伺服器它将指定接受哪一台伺服器提供的IP位址。同时，客户端还会向网路发送一个ARP封包，查询网路上面有没有其它机器使用该IP位址；如果发现该IP已经被占用，客户端则会送出一个DHCPDECLINE封包给DHCP伺服器，拒绝接受其Dhcpoffer，并重新发送Dhcpdiscover信息。

212.DHCP服务器的测试2.1DHCP服务器配置设置IP地址范围到00设置DHCP排除范围现在到客户端，测试一下它是否正常工作，以Windows2000Professional为例，在控制面板打开“拨号与网络连接”，双击“本地连接”图表察看本地连接状态，选择“属性”：选择“Internet协议(TCP/IP)”，点击“属性（R）”按钮：选中“自动获得IP地址(O)”和“自动获得DNS服务器地址(B)”选项：点“确定”关闭该对话框。打开一个“命令提示符”窗口(DOS窗口)，键入下面的命令：五．FTP服务器1.FTP服务器介绍FTP是TCP/IP协议组中的协议之一，是英文FileTransferProtocol的缩写。该协议是Internet文件传送的基础，它由一系列规格说明文档组成，目标是提高文件的共享性，提供非直接使用远程计算机，使存储介质对用户透明和可靠高效地传送数据。简单的说，FTP就是完成两台计算机之间的拷贝，从远程计算机拷贝文件至自己的计算机上，称之为“下载（download）”文件。若将文件从自己计算机中拷贝至远程计算机上，则称之为“上载（upload）”文件。在TCP/IP协议中，FTP标准命令TCP端口号为21，Port方式数据端口为20。FTP协议的任务是从一台计算机将文件传送到另一台计算机，它与这两台计算机所处的位置、联接的方式、甚至是是否使用相同的操作系统无关。假设两台计算机通过ftp协议对话，并且能访问Internet，你可以用ftp命令来传输文件。每种操作系统使用上有某一些细微差别，但是每种协议基本的命令结构是相同的。FTP的传输有两种方式：ASCII传输模式和二进制数据传输模式。1.1FTP服务器配置1.2FTP服务器虚拟用户的设置1.3测试FTP服务器

六．防火墙1.防火墙的定义所谓防火墙指的是一个由软件和硬件设备组合而成、在内部网和外部网之间、专用网与公共网之间的界面上构造的保护屏障.是一种获取安全性方法的形象说法，它是一种计算机硬件和软件的结合，使Internet与Intranet之间建立起一个安全网关（SecurityGateway），从而保护内部网免受非法用户的侵入，防火墙主要由服务访问规则、验证工具、包过滤和应用网关4个部分组成，防火墙就是一个位于计算机和它所连接的网络之间的软件或硬件(其中硬件防火墙用的较少，例如国防部以及大型机房等地才用,因为它价格昂贵)。该计算机流入流出的所有网络通信均要经过此防火墙。2.为什么使用防火墙防火墙具有很好的保护作用。入侵者必须首先穿越防火墙的安全防线，才能接触目标计算机。你可以将防火墙配置成许多不同保护级别。高级别的保护可能会禁止一些服务，如视频流等，但至少这是你自己的保护选择。3.防火墙的类型一个个人防火墙,通常软件应用过滤信息进入或留下。一台电脑和一个传统防火墙通常跑在一台专用的网络设备或电脑被安置在两个或更多网络或DMZs(解除军事管制区域)界限。这样防火墙过滤所有信息进入或留下被连接的网络。后者定义对应于"防火墙"的常规意思在网络,和下面会谈谈这类型防火墙。以下是两个主要类防火墙:网络层防火墙和应用层防火墙。这两类型防火墙也许重叠;的确,单一系统会两个一起实施。网络层防火墙网络层防火墙可视为一种IP封包过滤器，运作在底层的TCP/IP协议堆栈上。我们可以以枚举的方式，只允许符合特定规则的封包通过，其余的一概禁止穿越防火墙。这些规则通常可以经由管理员定义或修改，不过某些防火墙设备可能只能套用内置的规则。我们也能以另一种较宽松的角度来制定防火墙规则，只要封包不符合任何一项“否定规则”就予以放行。现在的操作系统及网络设备大多已内置防火墙功能。较新的防火墙能利用封包的多样属性来进行过滤，例如：来源IP地址、来源端口号、目的IP地址或端口号、服务类型(如WWW或是FTP)。也能经由通信协议、TTL值、来源的网域名称或网段...等属性来进行过滤。应用层防火墙应用层防火墙是在TCP/IP堆栈的“应用层”上运作，您使用浏览器时所产生的数据流或是使用FTP时的数据流都是属于这一层。应用层防火墙可以拦截进出某应用程序的所有封包，并且封锁其他的封包(通常是直接将封包丢弃)。理论上，这一类的防火墙可以完全阻绝外部的数据流进到受保护的机器里。防火墙借由监测所有的封包并找出不符规则的内容，可以防范电脑蠕虫或是木马程序的快速蔓延。不过就实现而言，这个方法既烦且杂(软件有千千百百种啊)，所以大部分的防火墙都不会考虑以这种方法设计。代理服务代理服务设备(可能是一台专属的硬件，或只是普通机器上的一套软件)也能像应用程序一样回应输入封包(例如连接要求)，同时封锁其他的封包，达到类似于防火墙的效果。代理由外在网络使窜改一个内部系统更加困难,并且一个内部系统误用不一定会导致一个安全漏洞可开采从防火墙外面(只要应用代理剩下的原封和适当地被配置)。相反地,入侵者也许劫持一个公开可及的系统和使用它作为代理人为他们自己的目的;代理人然后伪装作为那个系统对其它内部机器。当对内部地址空间的用途加强安全,破坏狂也许仍然使用方法譬如IP欺骗试图通过小包对目标网络。防火墙经常有网络地址转换(NAT)的功能,并且主机被保护在防火墙之后共同地使用所谓的“私人地址空间”,依照被定义在[RFC1918]。管理员经常设置了这样情节在努力(无定论的有效率)假装内部地址或网络。防火墙的适当的配置要求技巧和智能。它要求管理员对网络协议和电脑安全有深入的了解，因小差错可使防火墙不能作为安全工具。4.防火墙的功能防火墙最基本的功能就是控制在计算机网络中，不同信任程度区域间传送的数据流。例如互联网是不可信任的区域，而内部网络是高度信任的区域。以避免安全策略中禁止的一些通信，与建筑中的防火墙功能相似。它有控制信息基本的任务在不同信任的区域。典型信任的区域包括互联网(一个没有信任的区域)和一个内部网络(一个高信任的区域)。最终目标是提供受控连通性在不同水平的信任区域通过安全政策的运行和连通性模型之间根据最少特权原则。防火墙对流经它的网络通信进行扫描，这样能够过滤掉一些攻击，以免其在目标计算机上被执行。防火墙还可以关闭不使用的端口。而且它还能禁止特定端口的流出通信，封锁特洛伊木马。最后，它可以禁止来自特殊站点的访问，从而防止来自不明入侵者的所有通信。5.防火墙测试防火墙就是一种过滤塞（目前你这么理解不算错），你可以让你喜欢的东西通过这个塞子，别的玩意都统统过滤掉。在网络的世界里，要由防火墙过滤的就是承载通信数据的通信包。天下的防火墙至少都会说两个词：Yes或者No。直接说就是接受或者拒绝。最简单的防火墙是以太网桥。但几乎没有人会认为这种原始防火墙能管多大用。大多数防火墙采用的技术和标准可谓五花八门。这些防火墙的形式多种多样：有的取代系统上已经装备的TCP/IP协议栈；有的在已有的协议栈上建立自己的软件模块；有的干脆就是独立的一套操作系统。还有一些应用型的防火墙只对特定类型的网络连接提供保护（比如SMTP或者HTTP协议等）。还有一些基于硬件的防火墙产品其实应该归入安全路由器一类。以上的产品都可以叫做防火墙，因为他们的工作方式都是一样的：分析出入防火墙的数据包，决定放行还是把他们扔到一边。所有的防火墙都具有IP地址过滤功能。这项任务要检查IP包头，根据其IP源地址和目标地址作出放行/丢弃决定。看看下面这张图，两个网段之间隔了一个防火墙，防火墙的一端有台UNIX计算机，另一边的网段则摆了台PC客户机。当PC客户机向UNIX计算机发起telnet请求时，PC的telnet客户程序就产生一个TCP包并把它传给本地的协议栈准备发送。接下来，协议栈将这个TCP包“塞”到一个IP包里，然后通过PC机的TCP/IP栈所定义的路径将它发送给UNIX计算机。在这个例子里，这个IP包必须经过横在PC和UNIX计算机中的防火墙才能到达UNIX计算机。现在我们“命令”（用专业术语来说就是配制）防火墙把所有发给UNIX计算机的数据包都给拒了，完成这项工作以后，“心肠”比较好的防火墙还会通知客户程序一声呢！既然发向目标的IP数据没法转发，那么只有和UNIX计算机同在一个网段的用户才能访问UNIX计算机了。还有一种情况，你可以命令防火墙专给那台可怜的PC机找茬，别人的数据包都让过就它不行。这正是防火墙最基本的功能：根据IP地址做转发判断。但要上了大场面这种小伎俩就玩不转了，由于黑客们可以采用IP地址欺骗技术，伪装成合法地址的计算机就可以穿越信任这个地址的防火墙了。不过根据地址的转发决策机制还是最基本和必需的。另外要注意的一点是，不要用DNS主机名建立过滤表，对DNS的伪造比IP地址欺骗要容易多了。服务器TCP/UDP端口过滤仅仅依靠地址进行数据过滤在实际运用中是不可行的，还有个原因就是目标主机上往往运行着多种通信服务，比方说，我们不想让用户采用telnet的方式连到系统，但这绝不等于我们非得同时禁止他们使用SMTP/POP邮件服务器吧？所以说，在地址之外我们还要对服务器的TCP/UDP端口进行过滤。比如，默认的telnet服务连接端口号是23。假如我们不许PC客户机建立对UNIX计算机（在这时我们当它是服