两种过滤结构的商用防火墙介绍(2)

　　假定参数网和内部网使用了不同的网络号码，从而可以很容易地检测出伪造的包。

　　二、主机过滤结构的防火墙

　　主机过滤结构的防火墙，它没有参数网络,也没有内部路由器，通常也没有堡垒主机，而是由一台路由器和一台服务主机组成的。由一台服务主机向内部和外部客户提供因特网服务，路由器则用来保护内部网络和控制对它的访问。我们把这种结构称之为服务主机而不是堡垒主机，是因为它通常还要担任其它许多角色。比如，它可能是邮件服务器、Usenet新闻服务器和本站点的DNS服务器，它还可能是文件服务器、打印服务器等等，甚至它可能是本站点的唯一一台计算机。

　　把主机过滤结构的防火墙与子网过滤结构的防火墙进行比较，就不难发现主机过滤结构是一种安全性能低、价格便宜的一种选择，主机过滤结构通常被费用有限的比较小的站点采用。

　　服务主机也是本站点的邮件服务器、新闻服务器和域名服务器，但它不是本站点的唯一机器；

　　与子网过滤结构的防火墙相同，内部用户是可信赖的，他们不会主动去试图绕过防火墙，也没有特别的需要去监视或记录他们的因特网活动；

　　本站点中使用的是被授权赋予的合法IP地址，并且由服务提供商正确地路由和通告到因特网的其余部分。

　　下面我们来讨论主机过滤结构的防火墙应当提供那些基本的因特网服务。

　　Telnet：通过包过滤可以安全、方便地提供Telnet。本例将按此方法做。在前一节里我们曾经讨论过，在较大型的配置中，通过代理服务来提供Telnet，尽管有其优点，但通常来讲太昂贵了，在主机过滤结构中则显得更加笨拙。类似地，在较大配置中难于提供进入的Telnet服务，在这里还这样做简直等于自取灭亡，因为这将危及服务主机，实际上就是危及了整个网络系统。因此，我们不提供外部用户进入的Telnet服务。

　　FTP：与子网过滤结构一样，如果我们的内部FTP客户程序支持被动模式FTP，那么通过包过滤就可以安全、方便地提供FTP服务。如果想要支持禁止使用被动模式的FTP客户程序，那么就需要在服务主机上建立FTP代理服务器。如果需要，可以支持被动模式和普通模式的FTP客户程序，但对一个较小的站点来讲就没有必要。对较小的站点而言，最好只提供其中的某一种，而不是试图两样都提供。在此例中，我们仅支持被动模式的FTP。