网络安全知识：防火墙的分类及优缺点综述 （4）

3．应用程序代理防火墙


　　使用应用程序代理防火墙的优点有：

　　指定对连接的控制，例如允许或拒绝基于服务器IP地址的访问，或者是允许或拒绝基于用户所请求连接的IP地址的访问。

　　通过限制某些协议的传出请求，来减少网络中不必要的服务。

　　大多数代理防火墙能够记录所有的连接，包括地址和持续时间。这些信息对追踪攻击和发生的未授权访问的事件事很有用的。

　　使用应用程序代理防火墙的缺点有：

　　必须在一定范围内定制用户的系统，这取决于所用的应用程序。

　　一些应用程序可能根本不支持代理连接。

　　4．NAT

　　使用NAT的优点有：

　　所有内部的IP地址对外面的人来说是隐蔽的。因为这个原因，网络之外没有人可以通过指定IP地址的方式直接对网络内的任何一台特定的计算机发起攻击。

　　如果因为某种原因公共IP地址资源比较短缺的话，NAT可以使整个内部网络共享一个IP地址。

　　可以启用基本的包过滤防火墙安全机制，因为所有传入的包如果没有专门指定配置到NAT，那么就会被丢弃。内部网络的计算机就不可能直接访问外部网络。

　　使用NAT的缺点：

　　NAT的缺点和包过滤防火墙的缺点是一样的。虽然可以保障内部网络的安全，但它也是一些类似的局限。而且内网可以利用现流传比较广泛的木马程序可以通过NAT做外部连接，就像它可以穿过包过滤防火墙一样的容易。

　　注意：现在有很多厂商开发的防火墙，特别是状态/动态检测防火墙，除了它们应该具有的功能之外也提供了NAT的功能。

　　5．个人防火墙

　　个人防火墙的优点有：

　　增加了保护级别，不需要额外的硬件资源。

　　个人防火墙除了可以抵挡外来攻击的同时，还可以抵挡内部的攻击。

　　个人防火墙是对公共网络中的单个系统提供了保护。例如一个家庭用户使用的是Modem或ISDN/ADSL上网，可能一个硬件防火墙对于他来说实在是太昂贵了，或者说是太麻烦了。而个人防火墙已经能够为用户隐蔽暴露在网络上的信息，比如IP地址之类的信息等。

　　个人防火墙的缺点：

　　个人防火墙主要的缺点就是对公共网络只有一个物理接口。要记住，真正的防火墙应当监视并控制两

　　个或更多的网络接口之间的通信。这样一来的话，个人防火墙本身可能会容易受到威胁，或者说是具有这样一个弱点，网络通信可以绕过防火墙的规则。

　　好了，在上面我们已经介绍了几类防火墙，并讨论了每种防火墙的优缺点。要记住，任何一种防火墙只是为网络通信或者是数据传输提供了更有保障的安全性，但是我们也不能完全依赖于防火墙。除了靠防火墙来保障安全的同时，我们也要加固系统的安全性，提高自身的安全意识。这样一来，数据和通信以及Web站点就会更有安全保障。