网关 

　　

　　 网关是在两上设备之间提供转发服务的系统。网关的范围可以从互联网应用程序如公共网关接口（CGI）到在两台主机间处理流量的防火墙网关。这个术语是非常常见的，而且在本课会用于一个防火墙组件里，在两个不同的网络路由和处理数据。 

　　

　　 电路级网关 

　　

　　 电路级网关用来监控受信任的客户或服务器与不受信任的主机间的TCP握手信息,这样来决定该会话是否合法,电路级网关是在OSI模型中会话层上来过滤数据包,这样比包过滤防火墙要高两层。另外，电路级网关还提供一个重要的安全功能：网络地址转移(NAT)将所有公司内部的IP地址映射到一个“安全”的IP地址，这个地址是由防火墙使用的。有两种方法来实现这种类型的网关，一种是由一台主机充当筛选路由器而另一台充当应用级防火墙。另一种是在第一个防火墙主机和第二个之间建立安全的连接。这种结构的好处是当一次攻击发生时能提供容错功能。 

　　

　　 应用级网关 

　　

　　 应用级网关可以工作在OSI七层模型的任一层上，能够检查进出的数据包，通过网关复制传递数据，防止在受信任服务器和客户机与不受信任的主机间直接建立联系。应用级网关能够理解应用层上的协议，能够做复杂一些的访问控制，并做精细的注册。通常是在特殊的服务器上安装软件来实现的。 

　　

　　 包过滤 

　　

　　 包过滤是处理网络上基于packet-by-packet流量的设备。包过滤设备允许或阻止包，典型的实施方法是通过标准的路由器。包过滤是几种不同防火墙的类型之一，在本课后面我们将做详细地讨论。 

　　

　　 代理服务器 

　　

　　 代理服务器代表内部客户端与外部的服务器通信。代理服务器这个术语通常是指一个应用级的网关，虽然电路级网关也可作为代理服务器的一种。 

　　

　　 网络地址翻译（NAT） 

　　

　　 网络地址解释是对Internet隐藏内部地址，防止内部地址公开。这一功能可以克服IP寻址方式的诸多限制，完善内部寻址模式。把未注册IP地址映射成合法地址，就可以对Internet进行访问。对于NAT的另一个名字是IP地址隐藏。RFC1918概述了地址并且IANA建议使用内部地址机制，以下地址作为保留地址： 

　　

　　 10.0.0.0 - 10.255.255.255 

　　

　　 172.16.0.0 - 172.31.255.255 

　　

　　 192.168.0.0 - 192.168.255.255 

　　

　　 如果你选择上述例表中的网络地址，不需要向任何互联网授权机构注册即可使用。使用这些网络地址的一个好处就是在互联网上永远不会被路由。互联网上所有的路由器发现源或目标地址含有这些私有网络ID时都会自动地丢弃。 

　　

　　 堡垒主机 

　　

　　 堡垒主机是一种被强化的可以防御进攻的计算机，被暴露于因特网之上，作为进入内部网络的一个检查点，以达到把整个网络的安全问题集中在某个主机上解决，从而省时省力，不用考虑其它主机的安全的目的。从堡垒主机的定义我们可以看到，堡垒主机是网络中最容易受到侵害的主机。所以堡垒主机也必须是自身保护最完善的主机。你可以使用单宿主堡垒主机。多数情况下，一个堡垒主机使用两块网卡，每个网卡连接不同的网络。一块网卡连接你公司的内部网络用来管理、控制和保护，而另一块连接另一个网络，通常是公网也就是Internet。堡垒主机经常配置网关服务。网关服务是一个进程来提供对从公网到私有网络的特殊协议路由，反之亦然。在一个应用级的网关里，你想使用的每一个应用程协议都需要一个进程。因此，你想通过一台堡垒主机来路由Email，Web和FTP服务时，你必须为每一个服务都提供一个守护进程。 

　　

　　 强化操作系统 

　　

　　 防火墙要求尽可能只配置必需的少量的服务。为了加强操作系统的稳固性，防火墙安装程序要禁止或删除所有不需要的服务。多数的防火墙产品，包括Axent Raptor(www.axent.com)，CheckPoint(www.checkpoint.com)和Network Associates Gauntlet (www.networkassociates.com)都可以在目前较流行的操作系统上运行。如Axent Raptor防火墙就可以安装在Windows NT Server4.0，Solaris及HP-UX操作系统上。理论上来讲，让操作系统只提供最基本的功能，可以使利用系统BUG来攻击的方法非常困难。最后，当你加强你的系统时，还要考虑到除了TCP/IP协议外不要把任何协议绑定到你的外部网卡上。