两种过滤结构的商用防火墙介绍(3)

　　注意，为了使用在服务主机上的FTP代理服务器，用户的过滤路由器必须允许这样的TCP连接，它们源自外部系统的23号端口，目的端口是服务主机的大于1023的端口。对一个通常的堡垒主机，这不成问题，因为其它服务不使用这个端口。然而，对服务主机而言就可能不是这样，这些端口也有可能保留做其它用途。

　　在任何配置中，进入的用户FTP与进入的Telnet走的是同样的路，在Telnet服务中我们已经决定禁止外部用户进入的Telnet，同样也要禁止外部用户进入的FTP。为什么？因为在子网过滤结构中，当进入的匿名FTP到达堡垒主机时，其风险是可以承受的，然而，进入的匿名FTP到达服务主机时，这种服务所造成的危险是不可估量的，因为这里可能有机密数据和对内部网络的安全访问权限，所以我们也必须禁止它。

　　SMTP：在主机过滤结构中，可能只有一种办法来建立SMTP服务。进入的邮件应当通过DNSMX记录被引导到服务主机上，外出邮件应当通过服务主机发出。事实上没有其它更合适的办法。正如我们在上面所讨论的那样，让进入邮件直接到达所有的内部机器是不适宜的。同样，一旦已将进入邮件通过一个单一的点引导进来，那么要将外出邮件通过那里发出，比把邮件直接发出实际上更容易（注意不是指更安全）。

　　NNTP：与SMTP一样，在主机过滤结构中也许只有一种建立NNTP的办法，这就是用另外一台内部机器作为Usenet新闻服务器，并且允许NNTP服务直接通向它。我们将把服务主机当作新闻服务器。然而，最好是干脆放弃新闻服务，当然，这取决于新闻服务会给机器带来多大的负载，以及服务主机的重要程度。

　　HTTP：正如在前面例子中所说的那样，HTTP可以通过包过滤直接提供，或者通过代理服务器间接地提供。然而，最有意义的还是通过带有缓冲的代理服务器，比如CERNHTTP服务器来间接地提供HTTP服务。这样做的理由是：由于缓冲的作用，性能也就提高了。

　　在此例中，假定将要通过运行在服务主机上的一个CERN代理服务器来提供HTTP服务。由于风险的原因（这种风险由于服务主机的敏感位置而进一步复杂化了），只提供本地用户向外的服务，对外部来的客户将关闭此项服务。

　　DNS：与其它大多数服务一样，在主机过滤结构中，实际上只有一个比较合适的地方可以安放DNS服务器，即放在服务主机上。