綜合反向代理功能和普通拒絕外部訪問的普通防火墻軟件相結(jié)合，就能構(gòu)成一個既具有保護內(nèi)部網(wǎng)絡(luò)、又能對外提供Web信息發(fā)布的能力的防火墻系統(tǒng)。由于反向代理能力需要軟件實現(xiàn)，因此不能使用現(xiàn)有的防火墻系統(tǒng)，需要使用相關(guān)軟件進行開發(fā)改進。Unix顯然是首選平臺，我們基于FreeBSD系統(tǒng)，提出一種基于ipfw、natd與squid的防火墻設(shè)置方式。其中ipfw可以基于ip地址、端口、協(xié)議等對ip包進行過濾，natd提供網(wǎng)絡(luò)地址轉(zhuǎn)換功能，這樣就隱藏了內(nèi)部網(wǎng)絡(luò)的拓?fù)涞刃畔�，ipfw和natd結(jié)合就構(gòu)成了強大的包過濾網(wǎng)關(guān)。而squid是Internet上最流行的Web代理服務(wù)器之一，雖然它提供的是普通的正向代理能力，但其為開放源代碼軟件，并且具有強大的可配置性，因此很容易可以將其更改為反向代理服務(wù)器。

　　這種方式對內(nèi)部網(wǎng)絡(luò)的保護能力，要小于雙層防火墻軟件，等于普通的單層防火墻軟件，然而其對Web服務(wù)器的保護卻大于雙層防火墻系統(tǒng)中對位于對�；饏^(qū)內(nèi)的Web服務(wù)器的保護。然而其本身為單層系統(tǒng)，因此比雙層系統(tǒng)配置起來更方便，是一種簡單有效的方案。其中反向代理功能能夠提供豐富的連接記錄，可以用來提供預(yù)防和捕獲攻擊的能力，而包過濾和網(wǎng)絡(luò)地址翻譯可以讓內(nèi)部網(wǎng)絡(luò)的主機可以使用多種協(xié)議訪問外部網(wǎng)絡(luò)，不需要考慮防火墻對應(yīng)用協(xié)議的支持問題。這種方式適用于大多數(shù)Intranet系統(tǒng)。

　　三、討論

　　當(dāng)需要對內(nèi)部網(wǎng)絡(luò)提供更進一步的保護時，仍然可以使用雙層防火墻模式，這樣兼具反向代理對Web服務(wù)器的保護能力，和雙層防火墻對內(nèi)部數(shù)據(jù)的更大的保護能力。

　　當(dāng)組織向外提供信息發(fā)布的時候，并不僅僅要提供一些靜態(tài)的網(wǎng)頁，更大的可能是要根據(jù)實際的數(shù)據(jù)動態(tài)發(fā)布信息。因此發(fā)布的網(wǎng)頁便需要通過訪問數(shù)據(jù)庫動態(tài)生成，通常使用的動態(tài)生成技術(shù)有CGI或服務(wù)器端文檔解析等方式生成的。然而無論那種方式，都需要使得Web服務(wù)器能夠和數(shù)據(jù)庫服務(wù)器進行連接、通信。然而系統(tǒng)數(shù)據(jù)庫應(yīng)該是內(nèi)部網(wǎng)絡(luò)中應(yīng)該首要保護的系統(tǒng)，因此要求安全性要求不高的對外發(fā)布信息的Web服務(wù)器和內(nèi)部數(shù)據(jù)庫服務(wù)器放置在同一個網(wǎng)段，就會造成相應(yīng)的安全問題。

　　為了提高訪問數(shù)據(jù)庫服務(wù)器的安全性，就需要對能夠訪問數(shù)據(jù)庫的CGI程序進行限制，這就要求對啟動CGI的URL請求比對普通url進行更嚴(yán)格的限制。與普通包過濾型防火墻不同，反向代理能夠理解http協(xié)議，能區(qū)分出不同的url請求，從而能夠?qū)崿F(xiàn)對cgi請求比普通http請求更嚴(yán)格的控制，甚至可以將cgi請求發(fā)送到一臺專用的CGI服務(wù)器進行處理，從而分別處理普通url請求和cgi請求。這臺cgi服務(wù)器可以具有訪問數(shù)據(jù)庫的能力，保證數(shù)據(jù)庫的安全。

　　總結(jié)本文中的論述，可以看出，反向代理方式是一種對外提供Web發(fā)布時使用的有效的防火墻技術(shù)，使用它和傳統(tǒng)防火墻技術(shù)相結(jié)合，就能實現(xiàn)簡單有效的防火墻系統(tǒng)。