FreeBSD防火墙技术

　　在包过滤的条件下，内部网络的计算机还是直接和外部计算机相通信的。由于这是直接在IP层工作，可以适合所有的应用服务，灵活性和效率都较高。但也存在缺点，比如不能了解应用协议的具体形式，也不能提供清晰的日志记录等。

代理服务

　　代理服务是另一种防火墙技术，与包过滤不同，它直接和应用服务程序打交道。它不会让数据包直接通过，而是自己接收了数据包，并对其进行分析。当代理程序理解了连接请求之后，它将自己启动另一个连接，向外部网络发送同样的请求，然后将返回的数据发送回那个提出请求的内部网计算机。

　　虽然代理服务器不必连接到两个网络上就能提供代理服务，然而要想通过代理服务器限制网络之间的通信，提供代理服务的计算机必须连接到两个网络上，所有的网络之间通信都需要通过它的代理才行，而不能直接连接到Internet上。因此代理服务器也不能打开包转发能力，如果代理服务器同时也是路由器，那么内部计算机就可以通过它的路由能力而非代理能力在不同的网络之间通信，代理服务器就起不到防火墙的作用。除非特定情况下，才能设置路由能力，此时也应该配置了更严格的包过滤规则，以保护网络安全。

　　在有代理服务的情况下，内部网络的计算机必须配置具体的代理服务使用的代理服务器，它只同代理服务器打交道，而由代理服务器发送请求并返回结果。代理服务器必须要了解它要代理的服务，并为每一种服务都提供详细的访问日志记录，并能针对不同的使用者进行认证。

　　一般来讲，由于代理服务器要针对一个请求启动一个代理服务连接，因此代理服务器效率不高，但是如果针对具体的服务应用，可以在代理服务器上配置大量的缓冲区，通过缓冲区可以提高其工作效率，提供更高的性能。例如对于使用HTTP 代理服务器时，代理服务器就能在缓冲区中查找到同样的数据，因而不必再次访问Internet，减少了对宝贵的Internet 带宽的占用。代理服务器不仅是一个防火墙技术，它还能用来提高访问Internet的效率。