一、現有防火墻技術及其局限性

　　為了增加網絡的安全和保護內部網絡上的重要數據，需要將內部網與Internet相隔離，當前主要通過防火墻技術來完成這個目的。然而為了保護內部主機，防火墻軟件就必須限制外部網絡中的主機對內部網絡的訪問。因此普通防火墻軟件的設置中，外部網絡無法訪問內部主機。然而，為了向外發布自己的信息，就需要允許外部網絡訪問自己的Web服務器。最簡單的處理方法是將Web服務器放在防火墻之外，這樣就將Web服務器和內部網絡區分開，Web服務器暴露在網絡外部，就有可能招受攻擊而導致服務器癱瘓或網頁被更改等潛在的問題。而當前，Web服務器上面的信息越來越豐富和重要，Web服務器的重要性也非常明顯。因此就需要使用防火墻來保護它，如果要將Web服務器放在防火墻之內，則需要防火墻的支持。

　　當前防火墻主要有兩種類型，一種為包過濾型防火墻，這種防火墻針對每個IP包識別它是否符合管理員設定的過濾規則，符合一定要求的才被正確轉發?？梢允褂玫倪^濾規則包括源和目的主機的名字和IP地址，端口地址，使用的網絡界面，以及IP包的類型。通常包過濾型的防火墻軟件根據IP包的類型屏蔽所有的由外部發起的連接請求，從而保護內部網絡。如果要將Web服務器放在放火墻之內，就需要允許對這個Web服務器和它使用的TCP端口的訪問。

　　另一種類型的防火墻為應用代理型的防火墻，這種防火墻針對每種應用協議提供相應的代理服務，由代理服務器訪問網絡，并將結果返回給客戶機。標準的http協議的代理服務，客戶端的瀏覽器必須配置代理服務器的IP地址，不可能要求其他外部主機為訪問這個內部網絡上的主機而重新設置代理服務器的地址。代理服務器并不區分外部網絡和內部網絡，但是代理服務器使用Internet上的名字解析來確定Web服務器的位置，而通常防火墻內使用內部地址，這也決定了普通代理型防火墻不支持外部網絡對內部Web服務器的http訪問請求。因此普通代理服務器簡單的屏蔽外部地址的訪問，因此最簡單的保護對外發布信息的Web服務器的方式是使用包過濾型的防火墻。