全面分析防火墙及防火墙的渗透(4)

　　6、隔离域名服务器（Split Domain Name Server ）

　　这种技术是通过防火墙将受保护网络的域名服务器与外部网的域名服务器隔离，使外部网的域名服务器只能看到防火墙的IP地址，无法了解受保护网络的具体情况，这样可以保证受保护网络的IP地址不被外部网络知悉。

　　7、邮件技术（Mail Forwarding）

　　当防火墙采用上面所提到的几种技术使得外部网络只知道防火墙的IP地址和域名时，从外部网络发来的邮件，就只能送到防火墙上。这时防火墙对邮件进行检查，只有当发送邮件的源主机是被允许通过的，防火墙才对邮件的目的地址进行转换，送到内部的邮件服务器，由其进行转发。

　　应用网关是检查所有应用层的信息包，并将检查的内容信息放入决策过程，这样安全性有所提高。然而，它们是通过打破客户机/服务器模式实现的，每一个客户机/服务器通信需要两个连接：一个是从客户端到防火墙，另一个是从防火墙到服务器。另外，每一个代理需要一个不同的应用进程，或一个后台运行的服务程序，这样如果有一个新的应用就必须添加对此应用的服务程序，否则不能使用该种服务，可伸缩性差。 基于这种工作机制，应用网关防火墙有以下缺陷：

　　连接限制：每一个服务需要自己的代理，所以可提供的服务数和伸缩性受到限制；

　　技术限制：应用网关不能为UDP、RPC及普通协议族的其他服务提供代理；

　　性能：实现应用网关防火墙牺牲了一些系统性能。

　　防火墙的体系结构及组合形式

　　1、屏蔽路由器（Screening Router）

　　这是防火墙最基本的构件。它可以由厂家专门生产的路由器实现，也可以用主机来实现。屏蔽路由器作为内外连接的唯一通道，要求所有的报文都必须在此通过检查。路由器上可以装基于IP层的报文过滤软件，实现报文过滤功能。许多路由器本身带有报文过滤配置选项，但一般比较简单。

　　单纯由屏蔽路由器构成的防火墙的危险带包括路由器本身及路由器允许访问的主机。它的缺点是一旦被攻陷后很难发现，而且不能识别不同的用户。