FreeBSD连载(75)：防火墙技术

防火墙技术将本地网络连接到Inte之后，Inte上的计算机就能自由访问本地网络中的计算机了。显然，由于本地网络属于同一个组织，本地网络中的计算机相互之间都可以信任，而外部Inte上的计算机可能来自

构建防火墙防火墙的主要目标是控制内部网络和外部Inte之间的连接，有限制的允许内部网络中的计算机访问Inte上的服务，但限制外部网络访问内部计算机。为了实现这个目的，至少需要一个具有两个（或更多）

一、 堡垒主机的种类 堡垒主机目前一般有以下三种类型： （1） 无路由双重宿主主机； （2） 牺牲品主机； （3） 内部堡垒主机。 1.无路由双重宿主主机 无路由双重宿主主

3） 对于内部网用户来讲，使用低档的机器作为堡垒主机，也可降低黑客损坏堡垒主机的可能。如果使用一台高速堡垒主机，会将大量时间花费在等待内部网用户往外的慢速连接，这是一种浪费。再则，如果堡垒主机很快

数据包过滤是一个网络安全保护机制。它是用来控制流出和流入网络的数据。因此，本文主要讨论以下内容： （1） 数据包； （2） 数据包过滤是怎样工作的； （3） 数据包过滤的主要优点；

四、 包过滤处理内核 过滤路由器可以利用包过滤作为手段来提高网络的安全性。过滤功能也可以由许多商用防火墙产品来完成，或由基于软件的产品，如Karlbrige基于PC的过滤器来完成。许多商业路由

代理只允许单个主机或少数主机提供因特网访问服务,它不允许所有的主机均能为用户提供此类服务。代理服务的条件是:具有访问因特网能力的主机才可以作为那些无权访问因特网的主机的代理，这样使得一些不能访问因

三、代理服务是如何工作的 代理的工作的细节对每一种服务都是不同的，一些服务可以容易或者自动地提供代理，对于这些服务你可以通过对正常服务器的配置来设置代理。但对于大多数服务来说，代理服务在服务器

安全问题当要维护网络安全的时候，需要加以了解的关键问题就是网络漏洞可能存在于位于何处。只有了解攻击者会从何处入手，才能采取相应的措施加强系统的安全。下面部分针对可能存在的安全漏洞进行了简单的概括，

第6章 定制应用与系统内核为了充分发挥系统的性能，便需要对系统进行各种维护和配置工作。前面进行的管理和维护还是基于最初安装的FreeBSD系统，以及FreeBSD安装介质中提供的二进制包。这样的系