2.代理防火墙

　　包过滤防火墙从很大意义上像一场战争，黑客想攻击，防火墙坚决予以拒绝。而代理服务器则是另外一种方式，能回避就回避，甚至干脆隐藏起来。代理服务器接收客户请求后会检查验证其合法性，如其合法，代理服务器象一台客户机一样取回所需的信息再转发给客户。它将内部系统与外界隔离开来，从外面只能看到代理服务器而看不到任何内部资源。代理服务器只允许有代理的服务通过，而其他所有服务都完全被封锁住。

　　代理服务器非常适合那些根本就不希望外部用户访问企业内部的网络，而也不希望内部的用户无限制的使用或滥用INTERNET。采用代理服务器，可以把企业的内部网络隐藏起来，内部的用户需要验证和授权之后才可以去访问INTERNET。

　　代理服务器包含两大类：一类是电路级代理网关，另一类是应用级代理网关。

　　电路级网关又称线路级网关，它工作在会话层。它在两主机收次建立TCP连接时创立一个电子屏障。它作为服务器接收外来请求，转发请求；与被保护的主机连接时则担当客户机角色、起代理服务的作用。它监视两主机建立连接时的握手信息，如Syn、Ack和序列数据等是否合乎逻辑，信号有效后网关仅复制、传递数据，而不进行过滤。电路网关中特殊的客户程序只在初次连接时进行安全协商控制，其后就透明了。只有懂得如何与该电路网关通信的客户机才能到达防火墙另一边的服务器。

　　电路级网关的防火墙的安全性比较高，但它仍不能检查应用层的数据包以消除应用层攻击的威胁。

　　应用级网关使用软件来转发和过滤特定的应用服务，如TELNET、FTP等服务的连接。这是一种代理服务。它只允许有代理的服务通过，也就是说只有那些被认为“可信赖的”服务才被允许通过防火墙。另外代理服务还可以过滤协议，如过滤FTP连接、拒绝使用FTP放置命令等。应用级网关的安全性高，其不足是要为每种应用提供专门的代理服务程序。

　　两种代理技术都具有登记、日记、统计和报告功能，有很好的审计功能。还可以具有严格的用户认证功能。先进的认证措施，如验证授权RADIUS、智能卡、认证令牌、生物统计学和基于软件的工具已被用来克服传统口令的弱点。

　　3.状态监控技术

　　网络状态监控技术普遍被认为是下一代的网络安全技术。传统的网络状态监控技术对网络安全正常的工作完全没有影响的前提下，采用捕捉网络数据包的方法对网络通信的各个层次实行监测，并作安全决策的依据。监视模块支持多种网络协议和应用协议，可以方便地实现应用和服务扩充。状态监视服务可以监视RPC(远程过程调用)和UDP(用户数据包)端口信息，而包过滤和代理服务则都无法做到。

　　网络状态监控对主机的要求非常高，128M的内存可能是一个基本的要求，硬盘的要求也非常大，至少要求9G，对SWAP区至少也要求192M以上。一个好的网络状态监控系统，处理的量可能高达每秒45M左右(一条T3的线路)。

　　网络状态的监控的结果，直接就是要求能够有一种交互式的防火墙来满足客户较高的要求。中网的IP防火墙就是这样一种产品。

　　虚拟专用网VPN

　　EXTRANET和VPN是现代网络的新热点。虚拟专用网的本质实际上涉及到密码的问题。在无法保证电路安全、信道安全、网络安全、应用安全的情况下，或者也不相信其他安全措施的情况下，一种行之有效的办法就是加密，而加密就是必须考虑加密算法和密码的问题。考虑到我国对密码管理的体制情况，密码是一个单独的领域。对防火墙而言，是否防火墙支持对其他密码体制的支持，支持提供API来调用第三方的加密算法和密码，非常重要。