两种过滤结构的商用防火墙介绍

　　提供服务的条件：

　　假定系统中的内部用户是可信的，他们不会故意去试图绕过防火墙，并且也没有必要去监视和记录他们的因特网活动；

　　在屏蔽的内部网和参数网中，使用的是被授权赋予的正确的IP地址，并且已通过恰当的路由来引导（即屏蔽被授予地址，而且被网络服务供应商恰当地路由和通告到因特网），如果没有这样的授权地址，那么唯一的选择是通过代理服务，因为不能允许具有未授权IP地址的包被发到因特网上，即使它们已被发出了，相应的回答也没办法返回；

　　假定参数网和内部网使用了不同的网络号码，从而可以很容易地检测出伪造的包。

　　二、主机过滤结构的防火墙

　　主机过滤结构的防火墙，它没有参数网络,也没有内部路由器，通常也没有堡垒主机，而是由一台路由器和一台服务主机组成的。由一台服务主机向内部和外部客户提供因特网服务，路由器则用来保护内部网络和控制对它的访问。我们把这种结构称之为服务主机而不是堡垒主机，是因为它通常还要担任其它许多角色。比如，它可能是邮件服务器、Usenet新闻服务器和本站点的DNS服务器，它还可能是文件服务器、打印服务器等等，甚至它可能是本站点的唯一一台计算机。

　　把主机过滤结构的防火墙与子网过滤结构的防火墙进行比较，就不难发现主机过滤结构是一种安全性能低、价格便宜的一种选择，主机过滤结构通常被费用有限的比较小的站点采用。

　　服务主机也是本站点的邮件服务器、新闻服务器和域名服务器，但它不是本站点的唯一机器；

　　与子网过滤结构的防火墙相同，内部用户是可信赖的，他们不会主动去试图绕过防火墙，也没有特别的需要去监视或记录他们的因特网活动；

　　本站点中使用的是被授权赋予的合法IP地址，并且由服务提供商正确地路由和通告到因特网的其余部分。