另外一種情況是，服務(wù)器使用真實(shí)IP地址，防火墻配置成路由模式，不使用它的NAT功能。這種情況雖然可以實(shí)現(xiàn)，但會(huì)使你的網(wǎng)絡(luò)結(jié)構(gòu)變得很復(fù)雜，似乎也不會(huì)帶來(lái)效益的提高。

　　大多數(shù)IDC的機(jī)房不提供防火墻服務(wù)，你需要自己購(gòu)買和配置使用防火墻。你完全可以按透明模式或NAT模式來(lái)配置，具體怎么配取決于你的實(shí)際情況。有些IDC公司會(huì)提供防火墻服務(wù)，作為他們吸引客戶的一個(gè)手段。一般來(lái)說(shuō)，他們的防火墻服務(wù)會(huì)收費(fèi)。

　　如果你的服務(wù)器在IDC提供的公共防火墻后面，那么就有必要仔細(xì)考慮你的內(nèi)網(wǎng)結(jié)構(gòu)了。如果IDC提供給你的防火墻使用透明模式，也即是你的服務(wù)器全部使用真實(shí)IP地址，在這種情況下，除非你的服務(wù)器數(shù)量足夠多(象我們?cè)诒本┯?00多臺(tái))，那么在你的邏輯網(wǎng)段里肯定還有其他公司的主機(jī)存在。

　　這樣，雖然有防火墻，你的系統(tǒng)管理任務(wù)也不會(huì)輕松多少，因?yàn)槟阋艿酵痪W(wǎng)段里其他公司主機(jī)的威脅。例如，你的服務(wù)器的IP地址段是211.139.130.0/24，你使用了其中的幾個(gè)地址，那么在這個(gè)網(wǎng)段里還會(huì)有200多臺(tái)其他公司的主機(jī)，它們與你的主機(jī)同處于一個(gè)防火墻之后，雖然防火墻可以屏蔽來(lái)自因特網(wǎng)的某些訪問(wèn)，然而，內(nèi)部這些主機(jī)之間的相互訪問(wèn)卻沒(méi)有任何屏蔽措施。于是，其他公司不懷好意的人可以通過(guò)他們的主機(jī)來(lái)攻擊你。

　　或者，網(wǎng)絡(luò)中一臺(tái)主機(jī)被黑客入侵，則所有服務(wù)器都會(huì)面臨嚴(yán)重威脅。在這樣的網(wǎng)絡(luò)中，你不要運(yùn)行NFS、Sendmail、BIND這樣的危險(xiǎn)服務(wù)。

　　這種問(wèn)題的解決方法是自己購(gòu)買防火墻，并配置使用透明模式，不要使用公用防火墻的透明模式。

　　有的IDC公司會(huì)給你提供NAT方式的防火墻，你需要在服務(wù)器上設(shè)置私有IP地址，然后由防火墻來(lái)給服務(wù)器做地址轉(zhuǎn)換。這種情況與上述情況存在同樣的問(wèn)題，那就是，在你的服務(wù)器所在的邏輯網(wǎng)段里還有其他公司的主機(jī)。

　　例如在172.16.16.0/24這個(gè)網(wǎng)段可容納254臺(tái)主機(jī)，你的服務(wù)器使用了其中的幾個(gè)IP，那么可能還有200多臺(tái)其他公司的主機(jī)與你的服務(wù)器在同一個(gè)網(wǎng)段里。這樣，雖然對(duì)外有防火墻保護(hù)，但無(wú)法防范來(lái)自內(nèi)網(wǎng)的攻擊。

　　要解決這個(gè)問(wèn)題，你不必自己購(gòu)買防火墻。既然私有IP是可以任意分配的，那么你可以向IDC單獨(dú)要一個(gè)網(wǎng)段，例如172.16.19.0/24網(wǎng)段，把你的服務(wù)器都放在這個(gè)網(wǎng)段里，其中不要有其他公司的主機(jī)。這樣一來(lái)，你的內(nèi)網(wǎng)也無(wú)懈可擊了。

　　實(shí)際上，如果你有一個(gè)大的UNIX主機(jī)的網(wǎng)絡(luò)，那么沒(méi)必要讓每臺(tái)主機(jī)都在防火墻上打開(kāi)登陸端口。你可以特別設(shè)置一臺(tái)或兩臺(tái)主機(jī)做為登陸入口，對(duì)其他主機(jī)的訪問(wèn)都必須使用入口主機(jī)作為跳板。這樣做犧牲了使用的方便性，但帶來(lái)更強(qiáng)的安全性。當(dāng)然，前提是你必須管理好入口主機(jī)。

　　有一種電子令牌卡適合這種應(yīng)用，它是一張隨身攜帶的卡，每隔一段時(shí)間(這個(gè)時(shí)間通常很小，幾分鐘或者幾十秒)動(dòng)態(tài)產(chǎn)生一個(gè)口令，你只有使用這個(gè)口令才能登陸主機(jī)，并且該口令很快就會(huì)失效。

　　不僅是UNIX主機(jī)，對(duì)Windows主機(jī)的終端管理也可以采用這種跳板的方式。但Windows的終端比UNIX的shell要麻煩得多，如果你不愿犧牲太多的方便性，那么就不要這樣做。

　　網(wǎng)絡(luò)安全是服務(wù)器安全中重要的部分，希望大家已經(jīng)掌握以上的內(nèi)容，另外，還希望大家多多關(guān)注防火墻的知識(shí)，以更明白的了解服務(wù)器網(wǎng)絡(luò)安全。