可怜虫 发表于 2009-6-2 23:10:16

防火墙应用技巧三则

墙在具体部署过程中,用户常常会遭遇协议运行与防火墙匹配的问题。对于常见的网络协议,编辑特意进行了整理,并总结其中的配置技巧,以飨读者。
怎样才能穿过防火墙使用FTP?
一般来说,用户可以通过使用像防火墙工具包中的ftp-gw这类代理服务器,或在有限的端口范围内连接到网络上(利用一些“已经建立的”屏蔽规则来限制除上述端口外的接入),使FTP可以穿过防火墙工作。然后,修改FTP客户机,使其将数据端口连接在允许范围内的一个端口上。
在某些情况下,如果FTP的下载是用户所希望支持的,那不妨考虑宣布FTP为“死协议”(dead protocol),并且让用户通过Web下载文件。如果用户选择FTP-via-Web方式,那么,将不能使用FTP向外传输文件,这可能会造成问题。
另一个不同的办法是使用FTP “PASV”选项来指示远程FTP服务器允许客户机开始连接。PASV方式假设远程系统上的FTP服务器支持这种操作,而另一些站点偏爱建立根据SOCKS库链接的FTP程序的客户机版本。
怎样才能穿过防火墙使用telnet?
利用像防火墙工具包中的tn-gw这类应用代理,或简单地配置一台路由器使它利用“建立起的”屏蔽规则等策略允许接出,一般都可以支持使用telnet。应用代理可以以运行在桥头堡主机上的独立代理形式,或以SOCKS服务器和修改客户机的形式存在。
如何才能通过防火墙运行Web/HTTP?
用户有三种办法做到这点:
1、如果用户使用屏蔽路由器的话,允许“建立起的”连接经过路由器接入到防火墙外。
2、使用支持SOCKS的Web客户机,并在用户的桥头堡主机上运行SOCKS。
3、运行桥头堡主机上的某种具有代理功能的Web服务器。一些可供选择的代理服务器包括Squid、Apache、Netscape Proxy和TIS防火墙工具包中的http-gw。这些选件中的多数还可以代理其他协议(如Gopher和FTP),并可缓存捕获的对象。后者一般会提高用户的性能,使你能更有效地使用到Internet的连接。基本上所有的Web客户机,如Mozilla、Internet Explorer、Lynx等,都具有内置的对代理服务器的支持。
责权声明:未经
页: [1]
查看完整版本: 防火墙应用技巧三则