web服务器收数据会过滤ip吗

㈠ 什么叫代理服务器，什么是http服务器，什么是web服务器，什么是ftp服务器，请举例说明

■ 什么是代理服务器？ 代理服务器英文全称是Proxy Server，其功能就是代理网络用户去取得网络信息。形象的说：它是网络信息的中转站。在一般情况下，我们使用网络浏览器直接去连接其他Internet站点取得网络信息时，是直接联系到目的站点服务器，然后由目的站点服务器把信息传送回来。代理服务器是介于浏览器和Web服务器之间的另一台服务器，有了它之后，浏览器不是直接到Web服务器去取回网页而是向代理服务器发出请求，信号会先送到代理服务器，由代理服务器来取回浏览器所需要的信息并传送给你的浏览器。 大部分代理服务器都具有缓冲的功能，就好象一个大的Cache，它有很大的存储空间，它不断将新取得数据储存到它本机的存储器上，如果浏览器所请求的数据在它本机的存储器上已经存在而且是最新的，那么它就不重新从Web服务器取数据，而直接将存储器上的数据传送给用户的浏览器，这样就能显着提高浏览速度和效率。 更重要的是：代理服务器是 Internet链路级网关所提供的一种重要的安全功能，它的工作主要在开放系统互联 (OSI) 模型的对话层，从而起到防火墙的作用。 鉴于上述原因，代理服务器大多被用来连接INTERNET（局域网）和INTRANET（国际互联网）。在国内，所谓中国多媒体公众信息网和教育网都是独立的大型国家级局域网，是与国际互联网隔绝的。出于各种需要，某些集团或个人在两网之间开设了代理服务器，如果我们知道这些代理服务器的地址，就可以利用它到达网外网，例如从169到达163。代理服务器就象是连接两岸的桥梁，但是169与163之间的代理服务器一般的都被设置了访问密码，或者要收代理费用，阿Z搜索并提供的是完全免费的代理服务器地址，完全没有任何限制，不需缴交任何额外费用！ ■ 为何要开设代理服务器？ 1、连接Internet与Intranet 充当firewall（防火墙）：因为所有内部网的用户通过代理服务器访问外界时，只映射为一个IP地址，所以外界不能直接访问到内部网；同时可以设置IP地址过滤，限制内部网对外部的访问权限；另外，两个没有互联的内部网，也可以通过第三方的代理服务器进行互联来交换信息。 2、节省IP开销：如前面所讲，所有用户对外只占用一个IP，所以不必租用过多的IP地址，降低网络的维护成本。这样，局域局内没有与外网相连的众多机器就可以通过内网的一台代理服务器连接到外网，大大减少费用。当然也有它不利的一面，如许多网络黑客通过这种方法隐藏自己的真实IP地址，而逃过监视。 3、提高访问速度：本身带宽较小，通过带宽较大的proxy与目标主机连接。而且通常代理服务器都设置一个较大的硬盘缓冲区（可能高达几个GB或更大），当有外界的信息通过时，同时也将其保存到缓冲区中，当其他用户再访问相同的信息时，则直接由缓冲区中取出信息，传给用户，从而达到提高访问速度的目的。 使用代理服务器有那些好处？ 在我国，上网分为163和169两种。169用户又分为三类（全国各地分类口径可能不同），一类用户拥有网外权，可以直接享受国际互联网的所有服务；另一类为注册用户，使用注册的帐号上网，第三类称为GUEST用户，使用公用的账号上网，采取主叫记费制。无网外权用户的收费低廉，但只能与中国多媒体信息网中的（IP地址以10开头）的网站连接。所谓"畅游网络世界"只不过是句空话！您是否也经历过这样的痛苦：由于钞票所限，每天只能徘徊在169上，仰头望着163中一堆堆的国际互联网信息、资源和免费大餐，口水直流……哎！ 现在好了，有了代理服务器，我们大家就可以任意出国，用169的低廉代价得到163中的服务了！正如前面讲到的，如果我们知道这些代理服务器的地址，就可以利用它到达网外网，从169到达163。阿Z搜索并提供的是完全免费的代理服务器地址，完全没有任何限制，不需缴交任何额外费用！INTERNET上的免费电子信箱、主页空间、ICQ、FTP、各种信息资源……统统敞着来吧！你仍然只需支付169的低廉上网费用！另外，由于目的服务器只能查出你所使用的代理服务器的IP，所以还有一些不言而喻的好处，例如在聊天室不容易轻易被人踢出去了！ 使用代理的上网速度怎样？

㈡ 请写出WEB服务器、网站、域名、IP地址、DNS服务器之间的关系。

域名首先指向你的服务器，这个过程叫解析。
服务器分成好多小块，每小块叫一个空间或者一个虚拟主机。
所以当你输入你的域名以后，服务器收到你域名的访问信息，但不知道要打开这么多个小块中的那一个。所以要在你的空间上增加进去你的域名，意思是你这个空间只支持输入你的域名才可以访问，这一过程叫做域名绑定。
只有用域名解析到服务器上，才能实现输入域名可以访问到服务器上的效果，只有把域名绑定到空间上。才能实现输入你的域名直接打开你空间的目的。也就是说解析和绑定二者都是必须的。
希望你能看明白。

解析是在域名管理后台上做的，绑定域名是在DNS服务器上做的，空间管理后台上一般都有这个功能。

㈢ 各位大侠，web服务器和数据库在同一台机器上，重启后，数据库服务器能正常启动，web服务器无法启动

你要搞清楚几个关键词,"服务器"和"服务",服务器是指固定的硬件设备,即电脑主机,服务则是运行于服务器操作系统上的程序.你现在要确定你是有一台服务器,还是有多台服务器,如果只有一台服务器,而且数据库服务可以正常启动,但Web服务不能启动,可以查看系统日志,看是否有错误发生,如果是IIS,检查是IIS没有启动还是站点没有启动,检查是否80端口被占用.

㈣ TCP/IP如何筛选

tcp/ip
筛选只是筛选入站流量。此功能不影响出站流量，也不影响为接受来自出站请求的响应而创建的响应端口。
windows的tcp/ip筛选功能
在一个完备的网络中，人们通常会在路由器或防火墙中设定包过滤规则，以保护内网安全。但对于一个开放的服务器或家庭个人pc，一般我们会通过在操作系统层面设定包过滤规则来保护我们的系统。windows的“tcp/ip筛选”功能由于其配置简单容易管理被广泛采用。
“tcp/ip筛选”只影响入站流量，对出站无任何限制。
tcp/ip筛选简单的说就是一个windows自带的功能简单的防火墙，只能限制端口。
对于你的机器本身来说，可能某些端口是一直开放的（假设你开放了一些服务），比如21、80、3389。
但是你启用了tcp/ip筛选后，这样外面的机器就不能连接你机器除了你允许开放的所有端口。
如果你没添加任何端口，那么就不能连接你的任何一个端口了。
没记错的话，tcp/ip筛选好象是先禁止所有，然后对外开放你允许的。而ipsec刚好相反（好象是这样）
虽然你在tcp/ip筛选里没添加任何端口，但是你的机器本身是开放一些端口的
当你访问一个web服务器时，肯定是你的某个随机端口向web
server发出连接请求，通过tcp/ip三次握手建立一个tcp连接。我理解为数据是被动传输的，是你请求的。而不是对方主动发送给你的。和ftp的主动和被动方式差不多。
不知道我说有容易懂吗？？？？

㈤ 第五章：Web服务器

5.1各种形状和尺寸的Web服务器
Web服务器会对HTTP请求进行处理并提供响应。术语“Web服务器”可以用来表示Web服务器的软件，也可以用来表示提供Web页面的特定设备或计算机。
Web服务器有着不同的风格、形状和尺寸。有普通的10行Perl脚本的Web服务器、50MB的安全商用引擎以及极小的卡上服务器。但不管功能有何差异，所有的 Web服务器都能够接收请求资源的 HTTP请求，将内容回送给客户端（参见图1-5)。
5.1.1Web服务器的实现
Web服务器实现了HTTP和相关的TCP连接处理。负责管理Web服务器提供的资源,以及对Web服务器的配置、控制及扩展方面的管理。
Web服务器逻辑实现了HTTP 协议、管理着Web资源，并负责提供Web服务器的管理功能。Web服务器逻辑和操作系统共同负责管理TCP连接。底层操作系统负责管理底层计算机系统的硬件细节，并提供了TCP/IP网络支持、负责装载Web资源的文件系统以及控制当前计算活动的进程管理功能。

5.3实际的Web服务器会做些什么
例5-1显示的 Perl服务器是一个Web服务器的小例子。最先进的商用Web服务器要比它复杂得多，但它们确实执行了几项同样的任务，如图5-3所示。
(1)建立连接一—接受一个客户端连接，或者如果不希望与这个客户端建立连接，就
将其关闭。
(2)接收请求——从网络中读取一条HTTP请求报文。(3)处理请求——对请求报文进行解释，并采取行动。(4)访问资源-———访问报文中指定的资源。
(5)构建响应——创建带有正确首部的 HTTP响应报文。(6)发送响应——将响应回送给客户端。
(7)记录事务处理过程—-将与已完成事务有关的内容记录在一个日志文件中。

5.4第一步——接受客户端连接
如果客户端已经打开了一条到服务器的持久连接，可以使用那条连接来发送它的请求。否则，客户端需要打开一条新的到服务器的连接（回顾第4章，复习一下HTTP的连接管理技术)。

5.4.1处理新连接
客户端请求一条到Web服务器的TCP连接时，Web服务器会建立连接，判断连接的另一端是哪个客户端，从TCP连接中将IP地址解析出来。'一旦新连接建立起来
并被接受，服务器就会将新连接添加到其现存Web服务器连接列表中，做好监视连接上数据传输的准备。
Web服务器可以随意拒绝或立即关闭任意一条连接。有些Web服务器会因为客户端IP地址或主机名是未认证的，或者因为它是已知的恶意客户端而关闭连接。Web服务器也可以使用其他识别技术。

5.4.2客户端主机名识别
可以用“反向 DNS”对大部分Web服务器进行配置，以便将客户端IP地址转换成客户端主机名。Web服务器可以将客户端主机名用于详细的访问控制和日志记录。但要注意的是，主机名查找可能会花费很长时间，这样会降低Web事务处理的速度。很多大容量Web服务器要么会禁止主机名解析，要么只允许对特定内容进行解析。
可以用配置指令HostnameLookups启用Apache的主机查找功能。比如，例5-2中的Apache配置指令就只打开了HTML和CGI资源的主机名解析功能。
例5-2配置Apache,为 HTML和CGI资源查找主机名
HostnameLookups off
<Files ~" - 《html |htmlcgi)$">
HostnameLookups on
</Files>

5.5第二步—接收请求报文
连接上有数据到达时，Web服务器会从网络连接中读取数据，并将请求报文中的内容解析出来（参见图5-5)。
解析请求报文时，Web服务器会:
·解析请求行，查找请求方法、指定的资源标识符（URI)以及版本号，3各项之
间由一个空格分隔，并以一个回车换行(CRLF)序列作为行的结束,“
·读取以CRLF结尾的报文首部;
检测到以CRLF结尾的、标识首部结束的空行（如果有的话)﹔
·如果有的话（长度由content-Length首部指定)，读取请求主体。

解析请求报文时，Web服务器会不定期地从网络上接收输入数据。网络连接可能随时都会出现延迟。Web服务器需要从网络中读取数据，将部分报文数据临时存储在内存中,直到收到足以进行解析的数据并理解其意义为止。
5.5.1 报文的内部表示法
有些Web服务器还会用便于进行报文操作的内部数据结构来存储请求报文。比如，数据结构中可能包含有指向请求报文中各个片段的指针及其长度，这样就可以将这些首部存放在一个快速查询表中，以便快速访问特定首部的具体值了（参见图5-6)。

5.5.2连接的输入/输出处理结构
高性能的 Web服务器能够同时支持数千条连接。这些连接使得服务器可以与世界各地的客户端进行通信，每个客户端都向服务器打开了一条或多条连接。某些连接可能在快速地向Web服务器发送请求，而其他一些连接则可能在慢慢发送，或者不经常发送请求,还有一些可能是空闲的，安静地等待着将来可能出现的动作。
因为请求可能会在任意时刻到达，所以Web服务器会不停地观察有无新的Web请求。不同的Web服务器结构会以不同的方式为请求服务，如图5-7所示。
·单线程Web服务器(参见图5-7a)
单线程的Web服务器一次只处理一个请求，直到其完成为止。一个事务处理结束之后，才去处理下一条连接。这种结构易于实现，但在处理过程中，所有其他连接都会被忽略。这样会造成严重的性能问题，只适用于低负荷的服务器，以及type-o-serve这样的诊断工具。
·多进程及多线程Web服务器(参见图5-7b)
多进程和多线程Web服务器用多个进程,或更高效的线程同时对请求进行处理。3可以根据需要创建，或者预先创建一些线程/进程。°有些服务器会为每条连接分配一个线程/进程，但当服务器同时要处理成百、上千，甚至数以万计的连接时，需要的进程或线程数量可能会消耗太多的内存或系统资源。因此，很多多线程Web服务器都会对线程/进程的最大数量进行限制。
·复用I/O的服务器(参见图5-7c)
为了支持大量的连接，很多Web服务器都采用了复用结构。在复用结构中，要同时监视所有连接上的活动。当连接的状态发生变化时（比如，有数据可用，或出现错误时)，就对那条连接进行少量的处理，处理结束之后，将连接返回到开放连接列表中，等待下一次状态变化。只有在有事情可做时才会对连接进行处理,在空闲连接上等待的时候并不会绑定线程和进程。
·复用的多线程Web服务器（参见图5-7d)
有些系统会将多线程和复用功能结合在一起，以利用计算机平台上的多个CPU.多个线程（通常是一个物理处理器）中的每一个都在观察打开的连接(或打开的连接中的一个子集)，并对每条连接执行少量的任务。

5.6第三步———处理请求
一旦Web服务器收到了请求，就可以根据方法、资源、首部和可选的主体部分来对请求进行处理了。
有些方法（比如POST)要求请求报文中必须带有实体主体部分的数据。其他一些方法（比如OPTIONS）允许有请求的主体部分，也允许没有。少数方法（比如GET)禁止在请求报文中包含实体的主体数据。
这里我们并不对请求的具体处理方式进行讨论，因为本书其余大多数章节都在讨论这个问题。

5.7第四步——-对资源的映射及访问
Web 服务器是资源服务器。它们负责发送预先创建好的内容，比如HTML页面或JPEG 图片，以及运行在服务器上的资源生成程序所产生的动态内容。

5.7.1 docroot
Web服务器支持各种不同类型的资源映射，但最简单的资源映射形式就是用请求URI作为名字来访问Web服务器文件系统中的文件。通常，Web服务器的文件系统中会有一个特殊的文件夹专门用于存放Web内容。这个文件夹被称为文档的根目录(document root，或docroot)。Web服务器从请求报文中获取URI，并将其附加在文档根目录的后面。
在图5-8中，有一条对/specials/saw-blade.gif 的请求到达。这个例子中Web服务器的文档根目录为/us/local/httpd/files。Web服务器会返回文件/usr/local/httpd/files/specials/saw-blade.gif。

在配置文件httpd.conf中添加一个 DocumentRoot行就可以为Apache Web服务器设置文档的根目录了:
DocumentRoot /usr/ local/httpd/files
服务器要注意，不能让相对URL退到docroot之外，将文件系统的其余部分暴露出来。比如，大多数成熟的Web服务器都不允许这样的URI看到Joe的五金商店文档根目录上一级的文件:
http://www.joes-hardware.com/ ..

5.8.3重定向
Web服务器有时会返回重定向响应而不是成功的报文。Web服务器可以将浏览器重定向到其他地方来执行请求。重定向响应由返回码3XX说明。Location响应首部包含了内容的新地址或优选地址的URI。重定向可用于下列情况。
·永久删除的资源
资源可能已经被移动到了新的位置，或者被重新命名，有了一个新的URL。Web服务器可以告诉客户端资源已经被重命名了，这样客户端就可以在从新地址获取资源之前，更新书签之类的信息了。状态码301 Moved Permanently就用于此类重定向。·临时删除的资源
如果资源被临时移走或重命名了，服务器可能希望将客户端重定向到新的位置上去。但由于重命名是临时的，所以服务器希望客户端将来还可以回头去使用老的URL，不要对书签进行更新。状态码303 See Other以及状态码307 TemporaryRedirect就用于此类重定向。

㈥ 如何过滤webservice调用者的ip

只能在请求方来决定访问哪个服务器吧，webservice服务器在没有收到请求之前，怎么能知道哪个服务器会访问它呢，它又没有先见之明，人都没有，别说机器了。
所以最好是在服务器根据自己的IP来决定访问哪个webservice

㈦ 什么叫TCP/IP筛选

TCP/IP 筛选只是筛选入站流量。此功能不影响出站流量，也不影响为接受来自出站请求的响应而创建的响应端口。Windows的TCP/IP筛选功能在一个完备的网络中，人们通常会在路由器或防火墙中设定包过滤规则，以保护内网安全。但对于一个开放的服务器或家庭个人PC，一般我们会通过在操作系统层面设定包过滤规则来保护我们的系统。Windows的“TCP/IP筛选”功能由于其配置简单容易管理被广泛采用。
“TCP/IP筛选”只影响入站流量，对出站无任何限制。TCP/IP筛选简单的说就是一个windows自带的功能简单的防火墙，只能限制端口。
对于你的机器本身来说，可能某些端口是一直开放的（假设你开放了一些服务），比如21、80、3389。
但是你启用了TCP/IP筛选后，这样外面的机器就不能连接你机器除了你允许开放的所有端口。
如果你没添加任何端口，那么就不能连接你的任何一个端口了。
没记错的话，TCP/IP筛选好象是先禁止所有，然后对外开放你允许的。而IPSec刚好相反（好象是这样）
虽然你在TCP/IP筛选里没添加任何端口，但是你的机器本身是开放一些端口的
当你访问一个web服务器时，肯定是你的某个随机端口向web server发出连接请求，通过tcp/ip三次握手建立一个tcp连接。我理解为数据是被动传输的，是你请求的。而不是对方主动发送给你的。和ftp的主动和被动方式差不多。
不知道我说有容易懂吗？？？？

㈧ 看问题补充。。

代理服务器详细教程

代理服务器英文全称是Proxy Server，其功能就是代理网络用户去取得网络信息。形象的说：它是网络信息的中转站。

在一般情况下，我们使用网络浏览器直接去连接其他Internet站点取得网络信息时，须送出Request信号来得到回答，然后对方再把信息以bit方式传送回来。代理服务器是介于浏览器和Web服务器之间的一台服务器，有了它之后，浏览器不是直接到Web服务器去取回网页而是向代理服务器发出请求，Request信号会先送到代理服务器，由代理服务器来取回浏览器所需要的信息并传送给你的浏览器。而且，大部分代理服务器都具有缓冲的功能，就好象一个大的Cache，它有很大的存储空间，它不断将新取得数据储存到它本机的存储器上，如果浏览器所请求的数据在它本机的存储器上已经存在而且是最新的，那么它就不重新从Web服务器取数据，而直接将存储器上的数据传送给用户的浏览器，这样就能显着提高浏览速度和效率。

更重要的是：Proxy Server (代理服务器)是 Internet链路级网关所提供的一种重要的安全功能，它的工作主要在开放系统互联 (OSI) 模型的对话层。主要的功能有：

1、连接Internet与Intranet 充当firewall（防火墙）：因为所有内部网的用户通过代理服务器访问外界时，只映射为一个IP地址，所以外界不能直接访问到内部网；同时可以设置IP地址过滤，限制内部网对外部的访问权限；另外，两个没有互联的内部网，也可以通过第三方的代理服务器进行互联来交换信息。

2、节省IP开销：如前面所讲，所有用户对外只占用一个IP，所以不必租用过多的IP地址，降低网络的维护成本。这样，局域局内没有与外网相连的众多机器就可以通过内网的一台代理服务器连接到外网，大大减少费用。当然也有它不利的一面，如许多网络黑客通过这种方法隐藏自己的真实IP地址，而逃过监视。

3、提高访问速度：本身带宽较小，通过带宽较大的proxy与目标主机连接。而且通常代理服务器都设置一个较大的硬盘缓冲区（可能高达几个GB或更大），当有外界的信息通过时，同时也将其保存到缓冲区中，当其他用户再访问相同的信息时，则直接由缓冲区中取出信息，传给用户，从而达到提高访问速度的目的。

代理服务器的分类

一、HTTP代理按匿名功能分类。
是否具有隐藏IP的功能。

非匿名代理：不具有匿名功能。

匿名代理。使用此种代理时，虽然被访问的网站不能知道你的IP地址，但仍然可以知道你在使用代理，有些侦测ip的网页也仍然可以查到你的ip。

高度匿名代理：使用此种代理时，被访问的网站不知道你的IP地址，也不知道你在使用代理进行访问。此种代理的隐藏IP地址的功能最强。

二、按请求信息的安全性分类

全匿名代理：不改变你的request fields（报文），使服务器端看来就像有个真正的客户浏览器在访问它。当然，你的真实IP是隐藏起来的。服务器的网管不会认为你使用了代理。

普通匿名代理：能隐藏你的真实IP，但会更改你的request fields，有可能会被认为使用了代理，但仅仅是可能，一般说来是没问题的。不过不要受它的名字的误导，其安全性可能比全匿名代理更高，有的代理会剥离你的部分信息（就好比防火墙的stealth mode），使服务器端探测不到你的操作系统版本和浏览器版本。

elite代理，匿名隐藏性更高，可隐藏系统及浏览器资料信息等。此种代理安全性特强。

透明代理（简单代理）：透明代理的意思是客户端根本不需要知道有代理服务器的存在，它改编你的request fields（报文），并会传送真实IP。注意，加密的透明代理则是属于匿名代理，意思是不用设置使用代理了，例如Garden 2程序。

三、按代理服务器的用途分类

Http代理：代理客户机的http访问，主要代理浏览器访问网页，它的端口一般为80、8080、3128等。

SSL代理:支持最高128位加密强度的http代理，可以作为访问加密网站的代理。加密网站是指以https://开始的网站。ssl的标准端口为443。

HTTP CONNECT代理：允许用户建立TCP连接到任何端口的代理服务器，这种代理不仅可用于HTTP，还包括FTP、IRC、RM流服务等。

FTP代理：代理客户机上的ftp软件访问ftp服务器，其端口一般为21、2121。

POP3代理：代理客户机上的邮件软件用pop3方式收邮件，其端口一般为110。

Telnet代理：能够代理通信机的telnet，用于远程控制，入侵时经常使用。其端口一般为23。

Socks代理：是全能代理，就像有很多跳线的转接板，它只是简单地将一端的系统连接到另外一端。支持多种协议，包括http、ftp请求及其它类型的请求。它分socks 4 和socks 5两种类型，socks 4只支持TCP协议而socks 5支持TCP/UDP协议，还支持各种身份验证机制等协议。其标准端口为1080。

TUNNEL代理：经HTTPTunnet程序转换的数据包封装成http请求（Request）来穿透防火墙，允许利用HTTP服务器做任何TCP可以做的事情，功能相当于Socks5。

文献代理：可以用来查询数据库的代理，通过这些代理，可以获得互联网的相关科研学术的数据库资源，例如查询Sciencedirect网站（简称SD）、Academic Press、IEEE，SPRINGER等数据库。

教育网代理：指学术教育机构局域网通过特定的代理服务器可使无出国权限或无访问某IP段权限的计算机访问相关资源。

跳板代理：应用于跳板程序，可以看作一种具有动态加密的特殊socks5代理，，也可直接用于PSD软件。其端口一般为1813。

Ssso代理：代理客户机上的ssso程序访问远程网站，具有SSL加密强度的超级代理，支持socks。

Flat代理：代理客户机上的flatsurfer程序访问远程网站，具有高强度加密数据流的特殊代理，支持socks，最大可设置三次级联，可以设置穿越代理。其端口一般为6700。

SoftE代理：代理客户机上的SoftEther程序访问远程网站，应用虚拟集线器HUB和虚拟网卡技术，具备VPN功能及多种认证方式的代理，符合https协议。

=============================================================

代理既可以用代理软件,也可以自己设置!设置方法:
依次打开:IE浏览器-->工具-->Internet选项-->连接-->局域网设置-->勾选"为LAN使用代理服务器"-->填写"地址"和"端口"-->"确定"退出!
注意:必须确保代理服务器可用,代理服务器很不稳定,需要经常更换的!
"地址"和"端口"的定义.例如:192.168.11.112:80
其中192.168.11.112是地址;80是端口(即:后面的是端口)

㈨ DMZ区域中WEB服务器统计访问IP问题！！

你目前做的应该是一个双向NAT，也就是说，内网、DMZ出去时作了NAT，外网访问DMZ时也作了NAT，所以才出现这种状况。就决办法：
1、制作单向NAT，内网、DMZ到Internet出口作NAT，对DMZ内需要提供Internet服务的主机作静态NAT映射；
2、内网访问DMZ时不做NAT，外网进入内网和DMZ时不需要做NAT，这样，DMZ内服务器收到的公网的访问时，源地址就是公网的地址，不再是防火墙上的地址，而且内部的地址还是内部的地址，这就可以把地址分开；
也就是说，由防火墙到DMZ主机的端口不能使用NAT功能，由内部、DMZ到外部时才使用NAT，这个问题就可以解决了。我不知道你使用的是哪个厂家的防火墙，一般都可以做到这么定义。

㈩ 阐述数据包过滤防火墙的工作原理_______.

推荐看一看 朱雁冰 写的《Windows防火墙与网络封包截获技术》，上面介绍了三种分别基于用户态和核心态下的防火墙编译，虽然他提到的三种技术现在看来都有不足，但是是一本讲解详细的好书～～～！！

防火墙就是一种过滤塞（目前你这么理解不算错），你可以让你喜欢的东西通过这个塞子，别的玩意都统统过滤掉。在网络的世界里，要由防火墙过滤的就是承载通信数据的通信包。

天下的防火墙至少都会说两个词：Yes或者No。直接说就是接受或者拒绝。最简单的防火墙是以太网桥。但几乎没有人会认为这种原始防火墙能管多大用。大多数防火墙采用的技术和标准可谓五花八门。这些防火墙的形式多种多样：有的取代系统上已经装备的TCP/IP协议栈；有的在已有的协议栈上建立自己的软件模块；有的干脆就是独立的一套操作系统。还有一些应用型的防火墙只对特定类型的网络连接提供保护（比如SMTP或者HTTP协议等）。还有一些基于硬件的防火墙产品其实应该归入安全路由器一类。以上的产品都可以叫做防火墙，因为他们的工作方式都是一样的：分析出入防火墙的数据包，决定放行还是把他们扔到一边。

所有的防火墙都具有IP地址过滤功能。这项任务要检查IP包头，根据其IP源地址和目标地址作出放行/丢弃决定。看看下面这张图，两个网段之间隔了一个防火墙，防火墙的一端有台UNIX计算机，另一边的网段则摆了台PC客户机。

当PC客户机向UNIX计算机发起telnet请求时，PC的telnet客户程序就产生一个TCP包并把它传给本地的协议栈准备发送。接下来，协议栈将这个TCP包“塞”到一个IP包里，然后通过PC机的TCP/IP栈所定义的路径将它发送给UNIX计算机。在这个例子里，这个IP包必须经过横在PC和UNIX计算机中的防火墙才能到达UNIX计算机。

现在我们“命令”（用专业术语来说就是配制）防火墙把所有发给UNIX计算机的数据包都给拒了，完成这项工作以后，“心肠”比较好的防火墙还会通知客户程序一声呢！既然发向目标的IP数据没法转发，那么只有和UNIX计算机同在一个网段的用户才能访问UNIX计算机了。

还有一种情况，你可以命令防火墙专给那台可怜的PC机找茬，别人的数据包都让过就它不行。这正是防火墙最基本的功能：根据IP地址做转发判断。但要上了大场面这种小伎俩就玩不转了，由于黑客们可以采用IP地址欺骗技术，伪装成合法地址的计算机就可以穿越信任这个地址的防火墙了。不过根据地址的转发决策机制还是最基本和必需的。另外要注意的一点是，不要用DNS主机名建立过滤表，对DNS的伪造比IP地址欺骗要容易多了。

服务器TCP/UDP 端口过滤

仅仅依靠地址进行数据过滤在实际运用中是不可行的，还有个原因就是目标主机上往往运行着多种通信服务，比方说，我们不想让用户采用 telnet的方式连到系统，但这绝不等于我们非得同时禁止他们使用SMTP/POP邮件服务器吧？所以说，在地址之外我们还要对服务器的TCP/ UDP端口进行过滤。

比如，默认的telnet服务连接端口号是23。假如我们不许PC客户机建立对UNIX计算机（在这时我们当它是服务器）的telnet连接，那么我们只需命令防火墙检查发送目标是UNIX服务器的数据包，把其中具有23目标端口号的包过滤就行了。这样，我们把IP地址和目标服务器TCP/UDP端口结合起来不就可以作为过滤标准来实现相当可靠的防火墙了吗？不，没这么简单。

客户机也有TCP/UDP端口

TCP/IP是一种端对端协议，每个网络节点都具有唯一的地址。网络节点的应用层也是这样，处于应用层的每个应用程序和服务都具有自己的对应“地址”，也就是端口号。地址和端口都具备了才能建立客户机和服务器的各种应用之间的有效通信联系。比如，telnet服务器在端口23侦听入站连接。同时telnet客户机也有一个端口号，否则客户机的IP栈怎么知道某个数据包是属于哪个应用程序的呢？

由于历史的原因，几乎所有的TCP/IP客户程序都使用大于1023的随机分配端口号。只有UNIX计算机上的root用户才可以访问1024以下的端口，而这些端口还保留为服务器上的服务所用。所以，除非我们让所有具有大于1023端口号的数据包进入网络，否则各种网络连接都没法正常工作。

这对防火墙而言可就麻烦了，如果阻塞入站的全部端口，那么所有的客户机都没法使用网络资源。因为服务器发出响应外部连接请求的入站（就是进入防火墙的意思）数据包都没法经过防火墙的入站过滤。反过来，打开所有高于1023的端口就可行了吗？也不尽然。由于很多服务使用的端口都大于1023，比如X client、基于RPC的NFS服务以及为数众多的非UNIX IP产品等（NetWare/IP）就是这样的。那么让达到1023端口标准的数据包都进入网络的话网络还能说是安全的吗？连这些客户程序都不敢说自己是足够安全的。

双向过滤

OK，咱们换个思路。我们给防火墙这样下命令：已知服务的数据包可以进来，其他的全部挡在防火墙之外。比如，如果你知道用户要访问Web服务器，那就只让具有源端口号80的数据包进入网络：

不过新问题又出现了。首先，你怎么知道你要访问的服务器具有哪些正在运行的端口号呢？ 象HTTP这样的服务器本来就是可以任意配置的，所采用的端口也可以随意配置。如果你这样设置防火墙，你就没法访问哪些没采用标准端口号的的网络站点了！反过来，你也没法保证进入网络的数据包中具有端口号80的就一定来自Web服务器。有些黑客就是利用这一点制作自己的入侵工具，并让其运行在本机的80端口！

检查ACK位

源地址我们不相信，源端口也信不得了，这个不得不与黑客共舞的疯狂世界上还有什么值得我们信任呢？还好，事情还没到走投无路的地步。对策还是有的，不过这个办法只能用于TCP协议。

TCP是一种可靠的通信协议，“可靠”这个词意味着协议具有包括纠错机制在内的一些特殊性质。为了实现其可靠性，每个TCP连接都要先经过一个“握手”过程来交换连接参数。还有，每个发送出去的包在后续的其他包被发送出去之前必须获得一个确认响应。但并不是对每个TCP包都非要采用专门的ACK包来响应，实际上仅仅在TCP包头上设置一个专门的位就可以完成这个功能了。所以，只要产生了响应包就要设置ACK位。连接会话的第一个包不用于确认，所以它就没有设置ACK位，后续会话交换的TCP包就要设置ACK位了。

举个例子，PC向远端的Web服务器发起一个连接，它生成一个没有设置ACK位的连接请求包。当服务器响应该请求时，服务器就发回一个设置了ACK位的数据包，同时在包里标记从客户机所收到的字节数。然后客户机就用自己的响应包再响应该数据包，这个数据包也设置了ACK位并标记了从服务器收到的字节数。通过监视ACK位，我们就可以将进入网络的数据限制在响应包的范围之内。于是，远程系统根本无法发起TCP连接但却能响应收到的数据包了。

这套机制还不能算是无懈可击，简单地举个例子，假设我们有台内部Web服务器，那么端口80就不得不被打开以便外部请求可以进入网络。还有，对UDP包而言就没法监视ACK位了，因为UDP包压根就没有ACK位。还有一些TCP应用程序，比如FTP，连接就必须由这些服务器程序自己发起。

FTP带来的困难

一般的Internet服务对所有的通信都只使用一对端口号，FTP程序在连接期间则使用两对端口号。第一对端口号用于FTP的“命令通道”提供登录和执行命令的通信链路，而另一对端口号则用于FTP的“数据通道”提供客户机和服务器之间的文件传送。

在通常的FTP会话过程中，客户机首先向服务器的端口21（命令通道）发送一个TCP连接请求，然后执行LOGIN、DIR等各种命令。一旦用户请求服务器发送数据，FTP服务器就用其20端口 (数据通道)向客户的数据端口发起连接。问题来了，如果服务器向客户机发起传送数据的连接，那么它就会发送没有设置ACK位的数据包，防火墙则按照刚才的规则拒绝该数据包同时也就意味着数据传送没戏了。通常只有高级的、也就是够聪明的防火墙才能看出客户机刚才告诉服务器的端口，然后才许可对该端口的入站连接。

UDP端口过滤

好了，现在我们回过头来看看怎么解决UDP问题。刚才说了，UDP包没有ACK位所以不能进行ACK位过滤。UDP 是发出去不管的“不可靠”通信，这种类型的服务通常用于广播、路由、多媒体等广播形式的通信任务。NFS、DNS、WINS、NetBIOS-over-TCP/IP和 NetWare/IP都使用UDP。

看来最简单的可行办法就是不允许建立入站UDP连接。防火墙设置为只许转发来自内部接口的UDP包，来自外部接口的UDP包则不转发。现在的问题是，比方说，DNS名称解析请求就使用UDP，如果你提供DNS服务，至少得允许一些内部请求穿越防火墙。还有IRC这样的客户程序也使用UDP，如果要让你的用户使用它，就同样要让他们的UDP包进入网络。我们能做的就是对那些从本地到可信任站点之间的连接进行限制。但是，什么叫可信任！如果黑客采取地址欺骗的方法不又回到老路上去了吗？

有些新型路由器可以通过“记忆”出站UDP包来解决这个问题：如果入站UDP包匹配最近出站UDP包的目标地址和端口号就让它进来。如果在内存中找不到匹配的UDP包就只好拒绝它了！但是，我们如何确信产生数据包的外部主机就是内部客户机希望通信的服务器呢？如果黑客诈称DNS服务器的地址，那么他在理论上当然可以从附着DNS的UDP端口发起攻击。只要你允许DNS查询和反馈包进入网络这个问题就必然存在。办法是采用代理服务器。

所谓代理服务器，顾名思义就是代表你的网络和外界打交道的服务器。代理服务器不允许存在任何网络内外的直接连接。它本身就提供公共和专用的DNS、邮件服务器等多种功能。代理服务器重写数据包而不是简单地将其转发了事。给人的感觉就是网络内部的主机都站在了网络的边缘，但实际上他们都躲在代理的后面，露面的不过是代理这个假面具。

小结

IP地址可能是假的，这是由于IP协议的源路有机制所带来的，这种机制告诉路由器不要为数据包采用正常的路径，而是按照包头内的路径传送数据包。于是黑客就可以使用系统的IP地址获得返回的数据包。有些高级防火墙可以让用户禁止源路由。通常我们的网络都通过一条路径连接ISP，然后再进入Internet。这时禁用源路由就会迫使数据包必须沿着正常的路径返回。

还有，我们需要了解防火墙在拒绝数据包的时候还做了哪些其他工作。比如，防火墙是否向连接发起系统发回了“主机不可到达”的ICMP消息？或者防火墙真没再做其他事？这些问题都可能存在安全隐患。ICMP“主机不可达”消息会告诉黑客“防火墙专门阻塞了某些端口”，黑客立即就可以从这个消息中闻到一点什么气味。如果ICMP“主机不可达”是通信中发生的错误，那么老实的系统可能就真的什么也不发送了。反过来，什么响应都没有却会使发起通信的系统不断地尝试建立连接直到应用程序或者协议栈超时，结果最终用户只能得到一个错误信息。当然这种方式会让黑客无法判断某端口到底是关闭了还是没有使用。