《第九章代理服务.ppt》由会员分享,可在线阅读,更多相关《第九章代理服务.ppt(64页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、第九章代理服务 n学习目标:n1.了解局域网和Internet连接时的问题n2.知道网络地址转换的原理n3.知道代理服务的工作原理n4.了解代理服务的类型n5.从网络体系结构角度了解网络安全。n6.了解两类常见防火墙的原理n7.了解常见的防火墙配置方案n8.掌握使用Wingate实现连接共享和包过滤n9.1 代理服务基础知识代理服务基础知识n9.2 Winroute网络代理软件的安网络代理软件的安装与设置装与设置n9.3 构建代理服务的其他方案构建代理服务的其他方案n本章小结本章小结9.1 代理服务基础知识代理服务基础知识n9.1.1 网络地址转换NATn9.1.2 代理服务器n9.1.3防火
2、墙9.1.1 网络地址转换NATn所谓NAT其实就是Network Address Translation的缩写,它的中文含义是网络地址转换,这种功能就是指在一个网络内部,根据需要可以随意使用合法的保留IP地址,而不需要经过申请。图9-1 NAT的工作过程nNAT的工作过程如图9-1所示:图9-1 NAT的工作过程保留IP地址n这些地址包括:A类地址位10.0.0.0-10.255.255.255。B类地址为172.16.0.0172.31.255.255。C类地址为192.168.0.0-192.168.255.255。9.1.2 代理服务器n所谓代理服务器,是指代表客户处理在服务器连接请求
3、的程序。代理是处于客户机与服务器之间,对于服务器来说,代理是客户机,代理提出请求,服务器响应;对于客户机来说,代理是服务器,它接受客户机的请求,并将服务器上传来的数据转给客户机,它的作用很像现实生活中的代理服务商,如图9-2所示。图9-2 代理共享连接示意图9.1.2 代理服务器n1.代理服务的工作原理n代理服务的工作原理是:当客户在浏览器中设置好代理服务后,使用浏览器访问所有WWW站点的请求先发给代理服务器,并经过特定的安全化的Proxy应用程序处理连接请求,将处理后的请求传递到真实的服务器上,然后接受服务器应答,并接受目的主机的数据,然后再由代理服务器将客户要求的数据发给客户。9.1.2
4、代理服务器n2.代理服务器的作用n(1)使用代理服务器可以解决对IP地址的需求n(2)通过代理方式上网可以大大降低网络使用费用n(3)提高访问速度n(4)访问一些不能直接访问的网站n(5)安全性得到提高n3.代理服务器的类型n(1)应用代理服务器n(2)回路级代理服务器n4.代理服务器的实现9.1.3 防火墙 n1.从网络的结构解析网络安全问题如表9-1所示。n2.实现防火墙的技术如图9-3所示。n(1)报文过滤(包过滤防火墙)图9-3 包过滤防火墙物理层n 连接网络每个设备的物理设备(如以太网卡或Modem)及特征构成了OSI模型中的物理层。由于TCP/IP结构中每一层的独立性,上层并不依靠
5、任何特定的传输介质,因此这层的安全问题主要是物理线路及设备的安全保护,防止他人从线路接头上安装设备进行偷听,并对线路上的数据进行加密。数据链路层n解决网络适配器驱动程序与操作系统之间的连接,并将网络请求转换为设备的专用术语并传输。PPP点对点协议是一个通过串行连接支持的链路层协议,黑客可以通过将设备调到混杂模式,在该模式下可以简单地将所有包(不管它们的目标地址是什么)传输给那些监视局域网数据的程序。应该通过防火墙策略监视网络上的计算机不让它们更换驱动程序。目前的拨号连接基本上都在PPP协议支持下工作。网络层n这是TCP/IP协议中最关键的一层(IP层)。它规定一个局域网上的计算机如何与另一个完
6、全不同的局域网上的计算机如何交换数据。n这是目前黑客攻击较多的一层。此层协议的最小数据传输单位是包,典型的IP包的包头部分含有32位源IP地址、32位目标IP地址、8位协议编号、16位身份识别等信息。防火墙中的地址转换功能NAT及一些IP地址过滤功能就是在这一层中进行的(如过滤目标地址是什么包)。传输层n主要是为2台主机上的应用程序提供端到端的通讯,该层次中有两个非常著名的协议TCP和UDP(用户数据报协议)用户的网络应用程序中使用的应用层协议大都通过TCP及UDP协议和端口配合进行的。所有的黑客应用程序均和它们有关。防火墙中的包过滤策略要根据用户的需要逐个考虑每一个应用使用的协议与端口,将不
7、使用的端口关闭。应用层n负责处理特定的应用程序细节,计算机网络常用的协议包括FTP、HTTP、Telnet、SMTP等,在这一层上会出现非常多的安全问题。9.1.3 防火墙n静态包过滤。这种类型的防火墙根据定义好的过滤规则审查每个数据包,以便确定其是否与某一条包过滤规则匹配。过滤规则是基于数据包的报头信息进行制订。静态包过滤防火墙仅仅检查每个包的包头部分的信息来决定是否让数据包通过,它们不是检查包的数据部分,也不维持连接状态,因此也称为无状态检查的包过滤器。如图9-4所示。图9-4 包过滤防火墙原理9.1.3 防火墙n动态包过滤。这种类型的防火墙采用动态设置包过滤规则的方法,避免了静态图9-4
8、 包过滤防火墙原理包过滤所具有的问题。这种技术后来发展成为所谓包状态检查(Stateful Inspection)技术。采用这种技术的防火墙使用专门的算法检查所有通过它们的那些连接状态,对过其建立的每一个连接都进行跟踪,并且根据需要可动态地在过滤规则中进行增加或者更新,因此这种过滤器称为状态检查的包过滤器,如图9-5所示 图9-5 状态连接的包过滤防火墙9.1.3 防火墙n(2)网络地址转换n网络地址转换的过程对于用户来说是透明的,不需要用户进行设置,用户只要进行常规操作即可。n(3)应用层网关(代理防火墙)n应用层网关(Application Gateway)防火墙也叫代理防火墙。包过滤类型
9、的防火墙是很难彻底避免这一漏洞的。如图9-6所示。图9-6 代理防火墙9.1.3 防火墙n应用层网关防火墙代表内部主机与外部主机进行高层应用的连接,完全断开通过防火墙图9-6 代理防火墙的网络级协议数据流,并将网络通讯仅限于用户规定允许的协议如HTTP、FTP和SMTP。它允许内部用户的出站连接请求,然后根据定义的规则重新产生对外部网络的高级服务请求,从内部发出的数据包经过这样的防火墙处理后,就好像是源于防火墙外部网卡一样,从而可以达到隐藏内部网结构的作用。如图9-7所示。图9-7 代理防火墙原理9.1.3 防火墙n自适应代理技术结合代理类型防火墙的安全性和包过滤防火墙的高速度等优点,在毫不损
10、失安全性的基础之上将代理型防火墙的性能提高10倍以上。组成这种类型防火墙的基本要素有两个:自适应代理服务器(Adaptive Proxy Server)与动态包过滤器(Dynamic Packet filter)。如图9-8所示。图9-8 自适应代理防火墙9.1.3 防火墙n3.防火墙的配置形式n(1)屏蔽路由器(Screening Router)n这是防火墙最基本的形式。n(2)双穴主机网关(Dual Homed Gateway)n双穴主机网关优于屏蔽路由器的地方是:堡垒主机的系统软件可用于维护系统日志、硬件拷贝日志或远程日志。这对于日后的检查很有用。但这不能帮助网络管理者确认内网中哪些主机
11、可能已被黑客入侵。n(3)被屏蔽主机网关(Screened Host Gateway)n(4)被屏蔽子网(Screened Subnet)n这种方法是在内部网络和外部网络之间建立一个被隔离的子网,用两台分组过滤路由器将这一子网分别与内部网络和外部网络分开。9.2 Winroute网络代理软件的安装与设置 n9.2.1 安装并运行Winrouten9.2.2 配置 NAT 实现连接共享n9.2.3 DHCP服务的配置n9.2.4 启用内置的DNS功能n9.2.5 配置端口映射开放内部服务n9.2.6 配置代理服务n9.2.7 定义包过滤规则图9-29 二级代理设置9.2.1 安装并运行Winro
12、uten(1)Winroute是一个免费软件,可以在Internet上免费下载获得。下载后运行安装程序。n通常勾选创建开始菜单复选框,这样可以很方面的使用开始菜单中的项目管理Winroute。然后单击按钮【Install】继续安装过程。如图9-10所示。图9-10 选择安装路径9.2.1 安装并运行Winrouten(2)在【Initial Configuration】对话框内选择我们使用的外部连接,也就是和Internet相连的网络接口。通过启用外部网络接口的网络地址转换功能就可以实现对Internet的连接共享访问。后面还将介绍在Winroute中如何配置网络地址转换NAT。如图9-11所
13、示。图9-11 选择外部网路接口9.2.1 安装并运行Winrouten(3)最后在【Setup Note】对话框内询问我们是否立即重新启动计算机以完成安装,单击按钮【OK】重新启动计算机。重新启动计算机后,安装过程就完成了。Winroute由三个管理工具组成:1、Winroute引擎;2、Winroute引擎监视器;3、Winroute管理程序。如图9-12所示。图9-12 Winroute组件9.2.1 安装并运行Winrouten(4)安装过程中重新启动计算机后,Winroute Engine 及Winroute Engine M图9-12 Winroute组件onitor自动运行,在系
14、统的桌面下角任务栏上显示出一个小圆型的蓝白色图标,它代表Winroute引擎监视器,蓝白色图标表示Winroute引擎正在运行,如是有红圆型的图标则表明Winroute处于停止,如图9-13所示。(5)在图标上简单单击鼠标右键,在弹出菜单项选择【Start Winroute Engine】或者【Stop Winroute Engine】,可以启动和停止Winroute引擎。图9-13 Winroute图标9.2.1 安装并运行Winrouten(6)Winroute的管理和配置都是通过Winroute管理程序进行的。在活动栏图标上右击,选择【Winroute Administration】命令
15、可以打开Winroute管理程序。也可以选择【开始/程序/Winroute Pro】开始菜单命令开启Winroute管理程序,启动Winroute管理程序模块,如图9-14所示。图9-14 Winroute系统菜单9.2.1 安装并运行Winrouten(7)将显示出一个初始登录对话窗口【Open Configuration】,在对话框内选择运行 Winroute 的主机,默认的【localhost】选项代表本机,保持默认,或者输入Winroute主机的IP地址。输入管理用户名和密码。注意的是,如果第一次连接时,用“Admin”作为用户名,可忽略口令。单击【OK】按钮则可进入主界面。如图9-1
16、5所示。图9-15 Winroute登录窗口9.2.1 安装并运行Winrouten(8)打开的 Winroute Administration 界面如图9-16所示。图9-16 Winroute管理程序9.2.1 安装并运行Winrouten(9)当然您为了保密起见也可设置一个管理员密码。单击Winroute主介面上的图标栏上倒数第三个图标按钮,弹出【User Accounts】的对话框,在该对话框中的User域中有一用户:“Admin”,这就是Winroute的管理员用户名,双击该用户名或单击该对话框中的【Edit】按钮弹出【Edit User】对话框,在【Password】文本框中输入管
17、理员密码;在【Confirm】文本框中输入确认密码(即再输入一次上面输入的管理员密码),单击【OK】按钮,这样Winroute管理员密码就设置完成了。9.2.2 配置 NAT 实现连接共享 n使用Winroute实现可以连接共享,方法有两个:一个是通过网络地址转换NAT,另一个是使用代理服务器。首先介绍如何配置Winroute的网络地址转换。n(1)在 Winroute Administration 主窗口中单击【Interface Table】按钮,或者通过菜单【Setting/Interface Table】,打开【Interfaces/NAT】对话框,进行 NAT 的设置。n(2)在【I
18、nterfaces/NAT】对话框的【Available Interface】列表中列出了计算机上装有的两个网络接口,这里是两块网卡,一块是用来与外部因特网连接,配真实IP地址202.201.56.100(该地址根据用户所申请的实际地址而定),一块是与内部局域网相连,配虚拟IP地址192.168.0.1。要是内部网络的计算机使用连接共享访问Internet,必须对外部网络接口启用网络地址转换NAT功能,而接入局域网的网卡,则不必选NAT。9.2.2 配置 NAT 实现连接共享n设置的方法为:在【Interfaces/NAT】的对话框中选择外部网卡名称,单击【属性】按钮,弹出【Interface
19、 Properties】对话框。如图9-17所示。图9-17 NAT接口设置9.2.2 配置 NAT 实现连接共享n(3)该对话框会自动地检测外部网卡的型号,物理地址,IP地址以及掩码信息,显示在【Interface Description】列表框中。在【Setings】的选项中,第一个设置选项,是否允许指定的网卡使用NAT选项,必须选中这个NAT复选框,然后单击【确定】按钮,以启用网络地址转换功能。如图9-18所示。图9-18 启用NAT9.2.2 配置 NAT 实现连接共享n(4)另外必须禁止内部网络接口的网络地址转换NAT功能才能使内部网络可以访问Internent。重复第二步,打开内部
20、连接设备的【Interface Description】对话框,确认没有勾选NAT,单击【确定】按钮。返回【Interfaces/NAT】对话框,检查配置,单击【OK】确认。9.2.3 DHCP服务的配置 n(1)从菜单栏中选择【SettingsDHCP Server】菜单命令,程序将会弹出【DHCP Server】对话框。如图9-19所示。图9-19 DHCP设置9.2.3 DHCP服务的配置n(2)选中【DHCP Server enabled】,在向客户机提供DHCP服务之前,需要图9-19 DHCP设置n设置相应的DHCP域。单击【Add New Scope】按钮,打开【Add Scop
21、e】对话框。在弹出的对话框中设置一个DHCP服务器上的动态IP地址分配范围,在【FROM】文本栏中填入一个起始地址,比如192.168.0.2。在【TO】文本栏后填入结束地址,比如192.168.0.254。在【MASK】文本栏中输入屏蔽的IP地址,比如255.255.255.0。图9-20 DHCP地址范围9.2.3 DHCP服务的配置n(3)为简化客户端管理,定义【Option】列表,n从【Option】列表中选择相应的选项,最常用的是【Default Gatway】和【DNS Sever】,选中【Default Gatway】,在右边的【Specify】文本栏中输入地址,通常将Winro
22、ute计算机的内部网络接口地址用作默认网关,即192.168.0.1,选中【DNS Server】,同时在右边的【Specify】文本栏中输入DNS服务器地址。如图9-21所示。图9-21 DHCP默认网关9.2.4 启用内置的DNS功能 n如果使用在第六章中架设的DNS服务器,不必启用Winroute的DNS服务。具体的配置过程如下:n(1)从菜单栏中选择【SettingsDNS Server】菜单命令,程序将会弹出一个如图9-22所示的对话框。图9-22 启用DNS9.2.4 启用内置的DNS功能n(2)在弹出的对话框中默认选中【Enable DNS forwarding和Forward
23、DNS queries to the sever automatically selected from DNS severs known to the operating system】表示使用DNS转发。Winroute将DNS查询转发到操作系统网络设置里面设定的DNS服务器。也可根据需要,选中【Forward DNS queries to the specific DNS servers】,定义要使用特定的DNS服务器而不是操作系统设定的DNS服务器。在对话框的下半部分,可以勾选在转发DNS查询之前先使用用户定义的HOSTS文件。使用【Edit file】按钮编辑HOSTS文件。HOST
24、S文件以一行为一条记录。每条记录包括一个IP地址和相应的域名,中间至少用一个空格隔开。9.2.5 配置端口映射开放内部服务 n所以配置端口映射实际上就是定义一组映射记录。以开放内部Web服务为例说明端口映射的设置。n配置这一端口映射过程如下:n(1)在【Winroute Administration】主窗口中单击【Interface Table】按钮,或者通过菜单【SettingsAdvancedPort Mapping】进行端口映射MAP的设置,见图9-23。图9-23 添加端口映射9.2.5 配置端口映射开放内部服务n(2)在打开的【Port Mapping】对话框中单击【Add】按钮增加
25、端口映射记录。n(3)在打开的【Edit Item】对话框中【Protocol】下拉列表框中选择服务所使用的协议类型,这里选择TCP,在【Listen】下拉列表框中选择或者输入用于侦听的地址(映射的原地址),这里应该填入Winroute的外部网络接口的IP地址。n(4)在返回的【Port Mapping】对话框中显示了刚刚做的设置,可以单击【Edit】进行修改。图9-24 端口映射详细设置9.2.6 配置代理服务 n(1)首先要从菜单栏中选择【SETTINGS】菜单项,并从其下拉菜单中单击【PROXY SERVER】命令,程序会打开下图所示的参数设置框。n当打开代理设置对话框时,程序会默认打开
26、【GENERAL】(一般设置)选项卡的内容。如图9-25所示,图9-25 代理一般选项9.2.6 配置代理服务n(2)【CACHE】(缓存设置)选项卡,用来对缓存进行设置,如图9-26。图9-26 代理缓存选项9.2.6 配置代理服务n(3)在CACHE标签下,有一个复选项【Use server supplied time-to-live】是用来决定是否起用TIME TO LIVE(保存时间)功能,选中这个复选项后,可以在【time-to-live】选项卡中对指定的缓存服务或者对象进行时间设置,如图9-27。图9-27 代理缓存生存时间选项9.2.6 配置代理服务n(4)Winroute代理服
27、务器软件支持基于IP地址的过滤和限制,可以限制和允许特定的用户或者用户组访问特定的URL。用鼠标单击该标签时,程序将会弹出一个如图9-29所示的对话框。nADMIN组成员是不受代理服务器的任何限制,如果不想代理服务器起作用,就不设任何帐号,并且利用通配符【*】限制访问任何站点,如图9-28。图9-28 代理访问限制选项9.2.6 配置代理服务n(5)在【ADVANCED】(高级设置)标签下设置二级代理服务器的域名或者IP地址及端口,。如图9-29。如果安装Winroute的计算机不能和Internet直接通信,而要借助其它的服务器(这个代理服务器称为父代理服务器或者二级代理服务器),就需要在这
28、个对话框中指定。图9-29 二级代理设置9.2.7 定义包过滤规则 n(1)通过菜单【Settings】【Advanced】【Packet Filter】,打开包过滤对话框,如图9-30。对话框中有【Incoming】和【Outcoming】两个选项卡,分别列出数据包流入和流出的过滤规则。这些规则是应用与每一个网络接口的,【Any interface】中的规则对所有的接口都起作用。图9-30 包过滤规则9.2.7 定义包过滤规则n(2)从【Incoming】选项卡的列表中,选择一个网络接口,单击【Add】。在弹出的对话框中为该接口添加流入数据包的过滤规则,如图9-31。一条过滤规则包括下面这些
29、选项:图9-31 过滤规则条目设置9.2.7 定义包过滤规则n(3)举例来说,要使外部用户只能访问WWW、FTP服务,而拒绝所有其它访问,需要对【Incoming】卡中外部网络接口进行如下设置:n允许Internet用户访问Web服务器,如图9-32:图9-32 允许访问Web的过滤规则9.2.7 定义包过滤规则n允许Internet用户访问FTP服务器,如图9-33:图9-33 允许FTP的过滤规则9.2.7 定义包过滤规则n最后设置一条拒绝所有流入的数据包,放在最下面。这样当不是WWW和FTP的服务请求到达时,就会全部被拒绝,如图9-34。图9-34 拒绝所有流入的规则9.2.7 定义包过
30、滤规则n最终的设置结果如图所示:9.3 构建代理服务的其它方案 n9.3.1 使用Sygate n9.3.2 使用Wingate 9.3.1 使用SygatenSygate的优越之处主要表现在以下几个方面:n一是便于安装。n二是易于使用。n三是管理方便。n四是花费最少。n五是防火墙保护。nSygate使用网络地址转换NAT实现连接共享。安装它的计算机必须有两个网络接口,一个接口用于连接内部局域网,另一个接口用于连接Internet。为内部接口配置虚拟IP地址,外部接口使用ISP提供的配置。9.3.1 使用Sygaten安装程序执行完成后,重新启动计算机Wingate自动运行。使用开始菜单【开始
31、】【程序】【Sygate Offer network】【Sygate管理器】命令打开Sygate服务器控制台。单击工具栏的【Advanced】按钮,展开的具体功能模块。如图9-36所示。图9-36 Sygate管理程序9.3.1 使用Sygaten单击Configuration】配置按钮,或者选择菜单【Tool】【Configuation】命令进入,Sygate的设置窗口。nSygate能够自动读取操作系统的网络配置情况,通常安装后无须任何手动设置,它能够自己识别出用于内部网络和用于Internet连接的网络接口,并启用连接共享。不过可以通过这个设置对话框做调整。图9-37 Sygate配置对
32、话框9.3.2 使用Wingate nWingate是一个代理服务器及防火墙软件包,可以让多个用户仅通过一个连接同时访问 Internet。nWingate 还可以通过它的防火墙组件保护您的内部网络。nWingate为用户提供信息服务代理,对网络的物理连接设备无特殊要求。nWingate实现连接共享的方式有三种:网络地址转换NAT,Wingate因特网客户端和代理服务器。这三种方式网络地址转换速度快,但是配置的余地小。代理服务器配置的余地大,因为处理复杂,所以速度慢一些。n使用Wingate做代理服务器,需要将Wingate安装到一台具有两个网络接口的计算机上。一个接口用于连接内部局域网,另一
33、个接口用于连接Internet。为内部接口配置虚拟IP地址,外部接口使用ISP提供的配置。9.3.2 使用Wingaten可以从Internet上免费得到Wingate的试用版本。运行安装程序,选择安装服务器端,不要选择客户端。安装程序执行完成后,重新启动计算机Wingate自动运行。在任务栏的右端显示一个图标。n可以通过双击任务栏图标运行GateKeeper管理程序。使用工具栏的control按钮,切换到配置界面。如图9-38所示。图9-38 Wingate管理窗口9.3.2 使用Wingaten(1)在Wingate控制面板的【Services】选项卡中右击【WWW Proxy serve
34、r】项,选择【Properties】命令,打开WWW代理服务器的属性对话框。n(2)【General】一般选项卡用来设置一般属性,包括服务名称,说明信息,服务是否自动启动,服务所使用的端口。n(3)【Bindings】绑定选项会用来将服务绑定到某一端口。如图9-39所示。图9-39 代理设置绑定选项9.3.2 使用Wingaten(4)【Interfaces】选项卡用来定义外出连接的接口。选中【connections to be made out on the following interface only】项,设置指定的接口(202.201.56.87)作为Internet的连接接口。如图
35、所示。这一端口始终与Internet相连。其它两个选项,一个使用操作系统自己选择,另一个可以设置多个接口作为Internet连接。图9-40 代理设置接口选项9.3.2 使用Wingaten(5)【Connection】选项用来设置建立连接的方法。一般默认directly,即当Wingate服务器直接连接到Internet,使用直接连接。如图所示。n(6)其它的选项卡【non-proxy-request】定义在Wingate服务器上运行的其它服务。默认情况下是拒绝非代理服务。【Policies】设置WWW代理服务中建立站点过滤的策略。图9-41 代理设置接口选项9.3.2 使用Wingaten
36、(7)设置好Wingate的代理服务器以后,就可以在客户端使用它了。在客户端启动IE,在IE窗口中,执行【工具/Internet】菜单命令,弹出【Internet 选项】对话框,切换到【连接】选项卡,如图9-42所示。图9-42 代理服务客户端设置9.3.2 使用Wingaten(8)单击【局域网设置】按钮,弹出【局域网(LAN)设置】对话框,选中【使用代理服务器】复选框,在【地址】文本框中输入代理服务器的IP地址,也就是安装Wingate的计算机使用的内部网络接口。在端口文本框中输入端口地址,Wingate提供的WWW代理服务器使用TCP80端口。如图9-43所示。图9-43 设置代理服务器
37、地址9.3.2 使用Wingaten(9)Wingate不仅仅提供WWW服务代理,还提供FTP服务,Gogher和Socks代理。设置的方法和WWW一样。要在课后端使用它们。在上面的对话框种单击【高级】按钮,弹出【代理服务器设置】对话框,可以针对不同的服务设置不同的代理服务器地址和端口号。Wingate提供的代理服务的默认端口HTTP为80,FTP为21,Gopher为70,SOCKS为1080。如图所示。本章小结 n局域网和Internet互联面临两个问题:一个是IP地址资源有限,另一个是安全问题。解决IP地址资源有限的方法是连接共享,解决安全问题的方法是防火墙。连接共享的实现有两种方法:网络地址转换NAT和代理服务器。防火墙的实现从网络层次上大体上可以分两类:工作在网络层(IP层)的报文过滤(包过滤防火墙)和网络地址转换,以及工作在应用层的应用层网关(代理防火墙)。现有的代理服务器软件多数都提供网络地址转换,代理服务器和包过滤规则的功能。Sygate,Wingate,Winroute是常用的三种代理服务器软件,分别具有各自的特点,可以根据具体应用情景选择。