实时聊天，并要求能够向请求在内部网络上的活数据库进行交互查询的外部客户提供服务。 

这意味着完成任何这类事情都会给机构造成风险，而造成的风险往往比想像中沿着这条路走下去的“价值”的回报更高。多数用户不愿使自己的机构遭受风险。他们只看一看商标，阅读一下广告，他们也愿意做上述那些事。重要的是了解用户真正想干些什么，帮助他们懂得他们可以以更安全的方式实现他们的真正目的。 

你不会总受到欢迎，你可以甚至会发现自己收到了难以置信愚蠢的命令，让你做一些诸如“打开所有的口子”这样的事，但不要为此担心。在这种时刻，明智的做法是将你的交换数据全都保存起来，这样当一个十二岁的小孩闯入网络时，你至少能够使你自己远离混乱局面。 

12．如何才能通过自己的防火墙运行Web／HTTP？ 

有三种办法做到这点： 

1、如果你使用屏蔽路由器的话，允许“建立起的”连接经过路由器接入到防火墙外。 

2、使用支持SOCKS的Web客户机，并在你的桥头堡主机上运行SOCKS。 

3、运行桥头堡主机上的某种具有代理功能的Web服务器。一些可供选择的代理服务器包括Squid、Apache、Netscape Proxy 和TIS防火墙工具包中的http-gw。这些选件中的多数还可以代理其它协议（如gopher和ftp），并可缓存捕获的对象。后者一般会提高用户的性能，使你能更有效地使用到Internet的连接。基本上所有的Web客户机（Mozilla、Inter-net Explorer、Lynx等等）都具有内置的对代理服务器的支持。 

13．在使用防火墙时，怎样使用DNS呢？ 

一些机构想隐藏DNS名，不让外界知道。许多专家认为隐藏DNS名没有什么价值，但是，如果站点或企业的政策强制要求隐藏域名，它也不失为一种已知可行的办法。你可能必须隐藏域名的另一条理由是你的内部网络上是否有非标准的寻址方案。不要自欺欺人的认为，如果隐藏了你的DNS名，在攻击者打入你的防火墙时，会给攻击者增加困难。有关你的网络的信息可以很容易地从网络层获得。假如你有兴趣证实这点的话，不妨在LAN上“ping”一下子网广播地址，然后再执行“arp -a”。还需要说明的是，隐藏DNS中的域名不能解决从邮件头、新闻文章等中“泄露”主机名的问题。 

这种方法是许多方法中的一个，它对于希望向Internet隐瞒自己的主机名的机构很有用。这种办法的成功取决于这样一个事实：即一台机器上的DNS客户机不必与在同一台机器上的DNS服务器对话。换句话说，正是由于在一台机器上有一个DNS服务器，因此，将这部机器的DNS客户机活动重定向到另一台机器上的DNS服务器没有任何不妥（并且经常有好处）。 

首先，你在可以与外部世界通信的桥头堡主机上建立DNS服务器。你建立这台服务器使它宣布对你的域名具有访问的权力。事实上，这台服务器所了解的就是你想让外部世界所了解的：你网关的名称和地址、你的通配符MX记录等等。这台服务器就是“公共”服务器。 

然后，在内部机器上建立一台DNS服务器。这台服务器也宣布对你的域名具有权力；与公共服务器不同，这台服务器“讲的是真话”。它是你的“正常”的命名服务器，你可以在这台服务器中放入你所

上一页  [1] [2] [3] [4] [5] [6] [7] [8] 下一页