web伺服器收數據會過濾ip嗎

㈠ 什麼叫代理伺服器，什麼是http伺服器，什麼是web伺服器，什麼是ftp伺服器，請舉例說明

■ 什麼是代理伺服器？ 代理伺服器英文全稱是Proxy Server，其功能就是代理網路用戶去取得網路信息。形象的說：它是網路信息的中轉站。在一般情況下，我們使用網路瀏覽器直接去連接其他Internet站點取得網路信息時，是直接聯繫到目的站點伺服器，然後由目的站點伺服器把信息傳送回來。代理伺服器是介於瀏覽器和Web伺服器之間的另一台伺服器，有了它之後，瀏覽器不是直接到Web伺服器去取回網頁而是向代理伺服器發出請求，信號會先送到代理伺服器，由代理伺服器來取回瀏覽器所需要的信息並傳送給你的瀏覽器。 大部分代理伺服器都具有緩沖的功能，就好象一個大的Cache，它有很大的存儲空間，它不斷將新取得數據儲存到它本機的存儲器上，如果瀏覽器所請求的數據在它本機的存儲器上已經存在而且是最新的，那麼它就不重新從Web伺服器取數據，而直接將存儲器上的數據傳送給用戶的瀏覽器，這樣就能顯著提高瀏覽速度和效率。 更重要的是：代理伺服器是 Internet鏈路級網關所提供的一種重要的安全功能，它的工作主要在開放系統互聯 (OSI) 模型的對話層，從而起到防火牆的作用。 鑒於上述原因，代理伺服器大多被用來連接INTERNET（區域網）和INTRANET（國際互聯網）。在國內，所謂中國多媒體公眾信息網和教育網都是獨立的大型國家級區域網，是與國際互聯網隔絕的。出於各種需要，某些集團或個人在兩網之間開設了代理伺服器，如果我們知道這些代理伺服器的地址，就可以利用它到達網外網，例如從169到達163。代理伺服器就象是連接兩岸的橋梁，但是169與163之間的代理伺服器一般的都被設置了訪問密碼，或者要收代理費用，阿Z搜索並提供的是完全免費的代理伺服器地址，完全沒有任何限制，不需繳交任何額外費用！ ■ 為何要開設代理伺服器？ 1、連接Internet與Intranet 充當firewall（防火牆）：因為所有內部網的用戶通過代理伺服器訪問外界時，只映射為一個IP地址，所以外界不能直接訪問到內部網；同時可以設置IP地址過濾，限制內部網對外部的訪問許可權；另外，兩個沒有互聯的內部網，也可以通過第三方的代理伺服器進行互聯來交換信息。 2、節省IP開銷：如前面所講，所有用戶對外只佔用一個IP，所以不必租用過多的IP地址，降低網路的維護成本。這樣，局域局內沒有與外網相連的眾多機器就可以通過內網的一台代理伺服器連接到外網，大大減少費用。當然也有它不利的一面，如許多網路黑客通過這種方法隱藏自己的真實IP地址，而逃過監視。 3、提高訪問速度：本身帶寬較小，通過帶寬較大的proxy與目標主機連接。而且通常代理伺服器都設置一個較大的硬碟緩沖區（可能高達幾個GB或更大），當有外界的信息通過時，同時也將其保存到緩沖區中，當其他用戶再訪問相同的信息時，則直接由緩沖區中取出信息，傳給用戶，從而達到提高訪問速度的目的。 使用代理伺服器有那些好處？ 在我國，上網分為163和169兩種。169用戶又分為三類（全國各地分類口徑可能不同），一類用戶擁有網外權，可以直接享受國際互聯網的所有服務；另一類為注冊用戶，使用注冊的帳號上網，第三類稱為GUEST用戶，使用公用的賬號上網，採取主叫記費制。無網外權用戶的收費低廉，但只能與中國多媒體信息網中的（IP地址以10開頭）的網站連接。所謂"暢游網路世界"只不過是句空話！您是否也經歷過這樣的痛苦：由於鈔票所限，每天只能徘徊在169上，仰頭望著163中一堆堆的國際互聯網信息、資源和免費大餐，口水直流……哎！ 現在好了，有了代理伺服器，我們大家就可以任意出國，用169的低廉代價得到163中的服務了！正如前面講到的，如果我們知道這些代理伺服器的地址，就可以利用它到達網外網，從169到達163。阿Z搜索並提供的是完全免費的代理伺服器地址，完全沒有任何限制，不需繳交任何額外費用！INTERNET上的免費電子信箱、主頁空間、ICQ、FTP、各種信息資源……統統敞著來吧！你仍然只需支付169的低廉上網費用！另外，由於目的伺服器只能查出你所使用的代理伺服器的IP，所以還有一些不言而喻的好處，例如在聊天室不容易輕易被人踢出去了！ 使用代理的上網速度怎樣？

㈡ 請寫出WEB伺服器、網站、域名、IP地址、DNS伺服器之間的關系。

域名首先指向你的伺服器，這個過程叫解析。
伺服器分成好多小塊，每小塊叫一個空間或者一個虛擬主機。
所以當你輸入你的域名以後，伺服器收到你域名的訪問信息，但不知道要打開這么多個小塊中的那一個。所以要在你的空間上增加進去你的域名，意思是你這個空間只支持輸入你的域名才可以訪問，這一過程叫做域名綁定。
只有用域名解析到伺服器上，才能實現輸入域名可以訪問到伺服器上的效果，只有把域名綁定到空間上。才能實現輸入你的域名直接打開你空間的目的。也就是說解析和綁定二者都是必須的。
希望你能看明白。

解析是在域名管理後台上做的，綁定域名是在DNS伺服器上做的，空間管理後台上一般都有這個功能。

㈢ 各位大俠，web伺服器和資料庫在同一台機器上，重啟後，資料庫伺服器能正常啟動，web伺服器無法啟動

你要搞清楚幾個關鍵詞,"伺服器"和"服務",伺服器是指固定的硬體設備,即電腦主機,服務則是運行於伺服器操作系統上的程序.你現在要確定你是有一台伺服器,還是有多台伺服器,如果只有一台伺服器,而且資料庫服務可以正常啟動,但Web服務不能啟動,可以查看系統日誌,看是否有錯誤發生,如果是IIS,檢查是IIS沒有啟動還是站點沒有啟動,檢查是否80埠被佔用.

㈣ TCP/IP如何篩選

tcp/ip
篩選只是篩選入站流量。此功能不影響出站流量，也不影響為接受來自出站請求的響應而創建的響應埠。
windows的tcp/ip篩選功能
在一個完備的網路中，人們通常會在路由器或防火牆中設定包過濾規則，以保護內網安全。但對於一個開放的伺服器或家庭個人pc，一般我們會通過在操作系統層面設定包過濾規則來保護我們的系統。windows的「tcp/ip篩選」功能由於其配置簡單容易管理被廣泛採用。
「tcp/ip篩選」隻影響入站流量，對出站無任何限制。
tcp/ip篩選簡單的說就是一個windows自帶的功能簡單的防火牆，只能限制埠。
對於你的機器本身來說，可能某些埠是一直開放的（假設你開放了一些服務），比如21、80、3389。
但是你啟用了tcp/ip篩選後，這樣外面的機器就不能連接你機器除了你允許開放的所有埠。
如果你沒添加任何埠，那麼就不能連接你的任何一個埠了。
沒記錯的話，tcp/ip篩選好象是先禁止所有，然後對外開放你允許的。而ipsec剛好相反（好象是這樣）
雖然你在tcp/ip篩選里沒添加任何埠，但是你的機器本身是開放一些埠的
當你訪問一個web伺服器時，肯定是你的某個隨機埠向web
server發出連接請求，通過tcp/ip三次握手建立一個tcp連接。我理解為數據是被動傳輸的，是你請求的。而不是對方主動發送給你的。和ftp的主動和被動方式差不多。
不知道我說有容易懂嗎？？？？

㈤ 第五章：Web伺服器

5.1各種形狀和尺寸的Web伺服器
Web伺服器會對HTTP請求進行處理並提供響應。術語「Web伺服器」可以用來表示Web伺服器的軟體，也可以用來表示提供Web頁面的特定設備或計算機。
Web伺服器有著不同的風格、形狀和尺寸。有普通的10行Perl腳本的Web伺服器、50MB的安全商用引擎以及極小的卡上伺服器。但不管功能有何差異，所有的 Web伺服器都能夠接收請求資源的 HTTP請求，將內容回送給客戶端（參見圖1-5)。
5.1.1Web伺服器的實現
Web伺服器實現了HTTP和相關的TCP連接處理。負責管理Web伺服器提供的資源,以及對Web伺服器的配置、控制及擴展方面的管理。
Web伺服器邏輯實現了HTTP 協議、管理著Web資源，並負責提供Web伺服器的管理功能。Web伺服器邏輯和操作系統共同負責管理TCP連接。底層操作系統負責管理底層計算機系統的硬體細節，並提供了TCP/IP網路支持、負責裝載Web資源的文件系統以及控制當前計算活動的進程管理功能。

5.3實際的Web伺服器會做些什麼
例5-1顯示的 Perl伺服器是一個Web伺服器的小例子。最先進的商用Web伺服器要比它復雜得多，但它們確實執行了幾項同樣的任務，如圖5-3所示。
(1)建立連接一—接受一個客戶端連接，或者如果不希望與這個客戶端建立連接，就
將其關閉。
(2)接收請求——從網路中讀取一條HTTP請求報文。(3)處理請求——對請求報文進行解釋，並採取行動。(4)訪問資源-———訪問報文中指定的資源。
(5)構建響應——創建帶有正確首部的 HTTP響應報文。(6)發送響應——將響應回送給客戶端。
(7)記錄事務處理過程—-將與已完成事務有關的內容記錄在一個日誌文件中。

5.4第一步——接受客戶端連接
如果客戶端已經打開了一條到伺服器的持久連接，可以使用那條連接來發送它的請求。否則，客戶端需要打開一條新的到伺服器的連接（回顧第4章，復習一下HTTP的連接管理技術)。

5.4.1處理新連接
客戶端請求一條到Web伺服器的TCP連接時，Web伺服器會建立連接，判斷連接的另一端是哪個客戶端，從TCP連接中將IP地址解析出來。'一旦新連接建立起來
並被接受，伺服器就會將新連接添加到其現存Web伺服器連接列表中，做好監視連接上數據傳輸的准備。
Web伺服器可以隨意拒絕或立即關閉任意一條連接。有些Web伺服器會因為客戶端IP地址或主機名是未認證的，或者因為它是已知的惡意客戶端而關閉連接。Web伺服器也可以使用其他識別技術。

5.4.2客戶端主機名識別
可以用「反向 DNS」對大部分Web伺服器進行配置，以便將客戶端IP地址轉換成客戶端主機名。Web伺服器可以將客戶端主機名用於詳細的訪問控制和日誌記錄。但要注意的是，主機名查找可能會花費很長時間，這樣會降低Web事務處理的速度。很多大容量Web伺服器要麼會禁止主機名解析，要麼只允許對特定內容進行解析。
可以用配置指令HostnameLookups啟用Apache的主機查找功能。比如，例5-2中的Apache配置指令就只打開了HTML和CGI資源的主機名解析功能。
例5-2配置Apache,為 HTML和CGI資源查找主機名
HostnameLookups off
<Files ~" - 《html |htmlcgi)$">
HostnameLookups on
</Files>

5.5第二步—接收請求報文
連接上有數據到達時，Web伺服器會從網路連接中讀取數據，並將請求報文中的內容解析出來（參見圖5-5)。
解析請求報文時，Web伺服器會:
·解析請求行，查找請求方法、指定的資源標識符（URI)以及版本號，3各項之
間由一個空格分隔，並以一個回車換行(CRLF)序列作為行的結束,「
·讀取以CRLF結尾的報文首部;
檢測到以CRLF結尾的、標識首部結束的空行（如果有的話)﹔
·如果有的話（長度由content-Length首部指定)，讀取請求主體。

解析請求報文時，Web伺服器會不定期地從網路上接收輸入數據。網路連接可能隨時都會出現延遲。Web伺服器需要從網路中讀取數據，將部分報文數據臨時存儲在內存中,直到收到足以進行解析的數據並理解其意義為止。
5.5.1 報文的內部表示法
有些Web伺服器還會用便於進行報文操作的內部數據結構來存儲請求報文。比如，數據結構中可能包含有指向請求報文中各個片段的指針及其長度，這樣就可以將這些首部存放在一個快速查詢表中，以便快速訪問特定首部的具體值了（參見圖5-6)。

5.5.2連接的輸入/輸出處理結構
高性能的 Web伺服器能夠同時支持數千條連接。這些連接使得伺服器可以與世界各地的客戶端進行通信，每個客戶端都向伺服器打開了一條或多條連接。某些連接可能在快速地向Web伺服器發送請求，而其他一些連接則可能在慢慢發送，或者不經常發送請求,還有一些可能是空閑的，安靜地等待著將來可能出現的動作。
因為請求可能會在任意時刻到達，所以Web伺服器會不停地觀察有無新的Web請求。不同的Web伺服器結構會以不同的方式為請求服務，如圖5-7所示。
·單線程Web伺服器(參見圖5-7a)
單線程的Web伺服器一次只處理一個請求，直到其完成為止。一個事務處理結束之後，才去處理下一條連接。這種結構易於實現，但在處理過程中，所有其他連接都會被忽略。這樣會造成嚴重的性能問題，只適用於低負荷的伺服器，以及type-o-serve這樣的診斷工具。
·多進程及多線程Web伺服器(參見圖5-7b)
多進程和多線程Web伺服器用多個進程,或更高效的線程同時對請求進行處理。3可以根據需要創建，或者預先創建一些線程/進程。°有些伺服器會為每條連接分配一個線程/進程，但當伺服器同時要處理成百、上千，甚至數以萬計的連接時，需要的進程或線程數量可能會消耗太多的內存或系統資源。因此，很多多線程Web伺服器都會對線程/進程的最大數量進行限制。
·復用I/O的伺服器(參見圖5-7c)
為了支持大量的連接，很多Web伺服器都採用了復用結構。在復用結構中，要同時監視所有連接上的活動。當連接的狀態發生變化時（比如，有數據可用，或出現錯誤時)，就對那條連接進行少量的處理，處理結束之後，將連接返回到開放連接列表中，等待下一次狀態變化。只有在有事情可做時才會對連接進行處理,在空閑連接上等待的時候並不會綁定線程和進程。
·復用的多線程Web伺服器（參見圖5-7d)
有些系統會將多線程和復用功能結合在一起，以利用計算機平台上的多個CPU.多個線程（通常是一個物理處理器）中的每一個都在觀察打開的連接(或打開的連接中的一個子集)，並對每條連接執行少量的任務。

5.6第三步———處理請求
一旦Web伺服器收到了請求，就可以根據方法、資源、首部和可選的主體部分來對請求進行處理了。
有些方法（比如POST)要求請求報文中必須帶有實體主體部分的數據。其他一些方法（比如OPTIONS）允許有請求的主體部分，也允許沒有。少數方法（比如GET)禁止在請求報文中包含實體的主體數據。
這里我們並不對請求的具體處理方式進行討論，因為本書其餘大多數章節都在討論這個問題。

5.7第四步——-對資源的映射及訪問
Web 伺服器是資源伺服器。它們負責發送預先創建好的內容，比如HTML頁面或JPEG 圖片，以及運行在伺服器上的資源生成程序所產生的動態內容。

5.7.1 docroot
Web伺服器支持各種不同類型的資源映射，但最簡單的資源映射形式就是用請求URI作為名字來訪問Web伺服器文件系統中的文件。通常，Web伺服器的文件系統中會有一個特殊的文件夾專門用於存放Web內容。這個文件夾被稱為文檔的根目錄(document root，或docroot)。Web伺服器從請求報文中獲取URI，並將其附加在文檔根目錄的後面。
在圖5-8中，有一條對/specials/saw-blade.gif 的請求到達。這個例子中Web伺服器的文檔根目錄為/us/local/httpd/files。Web伺服器會返迴文件/usr/local/httpd/files/specials/saw-blade.gif。

在配置文件httpd.conf中添加一個 DocumentRoot行就可以為Apache Web伺服器設置文檔的根目錄了:
DocumentRoot /usr/ local/httpd/files
伺服器要注意，不能讓相對URL退到docroot之外，將文件系統的其餘部分暴露出來。比如，大多數成熟的Web伺服器都不允許這樣的URI看到Joe的五金商店文檔根目錄上一級的文件:
http://www.joes-hardware.com/ ..

5.8.3重定向
Web伺服器有時會返回重定向響應而不是成功的報文。Web伺服器可以將瀏覽器重定向到其他地方來執行請求。重定向響應由返回碼3XX說明。Location響應首部包含了內容的新地址或優選地址的URI。重定向可用於下列情況。
·永久刪除的資源
資源可能已經被移動到了新的位置，或者被重新命名，有了一個新的URL。Web伺服器可以告訴客戶端資源已經被重命名了，這樣客戶端就可以在從新地址獲取資源之前，更新書簽之類的信息了。狀態碼301 Moved Permanently就用於此類重定向。·臨時刪除的資源
如果資源被臨時移走或重命名了，伺服器可能希望將客戶端重定向到新的位置上去。但由於重命名是臨時的，所以伺服器希望客戶端將來還可以回頭去使用老的URL，不要對書簽進行更新。狀態碼303 See Other以及狀態碼307 TemporaryRedirect就用於此類重定向。

㈥ 如何過濾webservice調用者的ip

只能在請求方來決定訪問哪個伺服器吧，webservice伺服器在沒有收到請求之前，怎麼能知道哪個伺服器會訪問它呢，它又沒有先見之明，人都沒有，別說機器了。
所以最好是在伺服器根據自己的IP來決定訪問哪個webservice

㈦ 什麼叫TCP/IP篩選

TCP/IP 篩選只是篩選入站流量。此功能不影響出站流量，也不影響為接受來自出站請求的響應而創建的響應埠。Windows的TCP/IP篩選功能在一個完備的網路中，人們通常會在路由器或防火牆中設定包過濾規則，以保護內網安全。但對於一個開放的伺服器或家庭個人PC，一般我們會通過在操作系統層面設定包過濾規則來保護我們的系統。Windows的「TCP/IP篩選」功能由於其配置簡單容易管理被廣泛採用。
「TCP/IP篩選」隻影響入站流量，對出站無任何限制。TCP/IP篩選簡單的說就是一個windows自帶的功能簡單的防火牆，只能限制埠。
對於你的機器本身來說，可能某些埠是一直開放的（假設你開放了一些服務），比如21、80、3389。
但是你啟用了TCP/IP篩選後，這樣外面的機器就不能連接你機器除了你允許開放的所有埠。
如果你沒添加任何埠，那麼就不能連接你的任何一個埠了。
沒記錯的話，TCP/IP篩選好象是先禁止所有，然後對外開放你允許的。而IPSec剛好相反（好象是這樣）
雖然你在TCP/IP篩選里沒添加任何埠，但是你的機器本身是開放一些埠的
當你訪問一個web伺服器時，肯定是你的某個隨機埠向web server發出連接請求，通過tcp/ip三次握手建立一個tcp連接。我理解為數據是被動傳輸的，是你請求的。而不是對方主動發送給你的。和ftp的主動和被動方式差不多。
不知道我說有容易懂嗎？？？？

㈧ 看問題補充。。

代理伺服器詳細教程

代理伺服器英文全稱是Proxy Server，其功能就是代理網路用戶去取得網路信息。形象的說：它是網路信息的中轉站。

在一般情況下，我們使用網路瀏覽器直接去連接其他Internet站點取得網路信息時，須送出Request信號來得到回答，然後對方再把信息以bit方式傳送回來。代理伺服器是介於瀏覽器和Web伺服器之間的一台伺服器，有了它之後，瀏覽器不是直接到Web伺服器去取回網頁而是向代理伺服器發出請求，Request信號會先送到代理伺服器，由代理伺服器來取回瀏覽器所需要的信息並傳送給你的瀏覽器。而且，大部分代理伺服器都具有緩沖的功能，就好象一個大的Cache，它有很大的存儲空間，它不斷將新取得數據儲存到它本機的存儲器上，如果瀏覽器所請求的數據在它本機的存儲器上已經存在而且是最新的，那麼它就不重新從Web伺服器取數據，而直接將存儲器上的數據傳送給用戶的瀏覽器，這樣就能顯著提高瀏覽速度和效率。

更重要的是：Proxy Server (代理伺服器)是 Internet鏈路級網關所提供的一種重要的安全功能，它的工作主要在開放系統互聯 (OSI) 模型的對話層。主要的功能有：

1、連接Internet與Intranet 充當firewall（防火牆）：因為所有內部網的用戶通過代理伺服器訪問外界時，只映射為一個IP地址，所以外界不能直接訪問到內部網；同時可以設置IP地址過濾，限制內部網對外部的訪問許可權；另外，兩個沒有互聯的內部網，也可以通過第三方的代理伺服器進行互聯來交換信息。

2、節省IP開銷：如前面所講，所有用戶對外只佔用一個IP，所以不必租用過多的IP地址，降低網路的維護成本。這樣，局域局內沒有與外網相連的眾多機器就可以通過內網的一台代理伺服器連接到外網，大大減少費用。當然也有它不利的一面，如許多網路黑客通過這種方法隱藏自己的真實IP地址，而逃過監視。

3、提高訪問速度：本身帶寬較小，通過帶寬較大的proxy與目標主機連接。而且通常代理伺服器都設置一個較大的硬碟緩沖區（可能高達幾個GB或更大），當有外界的信息通過時，同時也將其保存到緩沖區中，當其他用戶再訪問相同的信息時，則直接由緩沖區中取出信息，傳給用戶，從而達到提高訪問速度的目的。

代理伺服器的分類

一、HTTP代理按匿名功能分類。
是否具有隱藏IP的功能。

非匿名代理：不具有匿名功能。

匿名代理。使用此種代理時，雖然被訪問的網站不能知道你的IP地址，但仍然可以知道你在使用代理，有些偵測ip的網頁也仍然可以查到你的ip。

高度匿名代理：使用此種代理時，被訪問的網站不知道你的IP地址，也不知道你在使用代理進行訪問。此種代理的隱藏IP地址的功能最強。

二、按請求信息的安全性分類

全匿名代理：不改變你的request fields（報文），使伺服器端看來就像有個真正的客戶瀏覽器在訪問它。當然，你的真實IP是隱藏起來的。伺服器的網管不會認為你使用了代理。

普通匿名代理：能隱藏你的真實IP，但會更改你的request fields，有可能會被認為使用了代理，但僅僅是可能，一般說來是沒問題的。不過不要受它的名字的誤導，其安全性可能比全匿名代理更高，有的代理會剝離你的部分信息（就好比防火牆的stealth mode），使伺服器端探測不到你的操作系統版本和瀏覽器版本。

elite代理，匿名隱藏性更高，可隱藏系統及瀏覽器資料信息等。此種代理安全性特強。

透明代理（簡單代理）：透明代理的意思是客戶端根本不需要知道有代理伺服器的存在，它改編你的request fields（報文），並會傳送真實IP。注意，加密的透明代理則是屬於匿名代理，意思是不用設置使用代理了，例如Garden 2程序。

三、按代理伺服器的用途分類

Http代理：代理客戶機的http訪問，主要代理瀏覽器訪問網頁，它的埠一般為80、8080、3128等。

SSL代理:支持最高128位加密強度的http代理，可以作為訪問加密網站的代理。加密網站是指以https://開始的網站。ssl的標准埠為443。

HTTP CONNECT代理：允許用戶建立TCP連接到任何埠的代理伺服器，這種代理不僅可用於HTTP，還包括FTP、IRC、RM流服務等。

FTP代理：代理客戶機上的ftp軟體訪問ftp伺服器，其埠一般為21、2121。

POP3代理：代理客戶機上的郵件軟體用pop3方式收郵件，其埠一般為110。

Telnet代理：能夠代理通信機的telnet，用於遠程式控制制，入侵時經常使用。其埠一般為23。

Socks代理：是全能代理，就像有很多跳線的轉接板，它只是簡單地將一端的系統連接到另外一端。支持多種協議，包括http、ftp請求及其它類型的請求。它分socks 4 和socks 5兩種類型，socks 4隻支持TCP協議而socks 5支持TCP/UDP協議，還支持各種身份驗證機制等協議。其標准埠為1080。

TUNNEL代理：經HTTPTunnet程序轉換的數據包封裝成http請求（Request）來穿透防火牆，允許利用HTTP伺服器做任何TCP可以做的事情，功能相當於Socks5。

文獻代理：可以用來查詢資料庫的代理，通過這些代理，可以獲得互聯網的相關科研學術的資料庫資源，例如查詢Sciencedirect網站（簡稱SD）、Academic Press、IEEE，SPRINGER等資料庫。

教育網代理：指學術教育機構區域網通過特定的代理伺服器可使無出國許可權或無訪問某IP段許可權的計算機訪問相關資源。

跳板代理：應用於跳板程序，可以看作一種具有動態加密的特殊socks5代理，，也可直接用於PSD軟體。其埠一般為1813。

Ssso代理：代理客戶機上的ssso程序訪問遠程網站，具有SSL加密強度的超級代理，支持socks。

Flat代理：代理客戶機上的flatsurfer程序訪問遠程網站，具有高強度加密數據流的特殊代理，支持socks，最大可設置三次級聯，可以設置穿越代理。其埠一般為6700。

SoftE代理：代理客戶機上的SoftEther程序訪問遠程網站，應用虛擬集線器HUB和虛擬網卡技術，具備VPN功能及多種認證方式的代理，符合https協議。

=============================================================

代理既可以用代理軟體,也可以自己設置!設置方法:
依次打開:IE瀏覽器-->工具-->Internet選項-->連接-->區域網設置-->勾選"為LAN使用代理伺服器"-->填寫"地址"和"埠"-->"確定"退出!
注意:必須確保代理伺服器可用,代理伺服器很不穩定,需要經常更換的!
"地址"和"埠"的定義.例如:192.168.11.112:80
其中192.168.11.112是地址;80是埠(即:後面的是埠)

㈨ DMZ區域中WEB伺服器統計訪問IP問題！！

你目前做的應該是一個雙向NAT，也就是說，內網、DMZ出去時作了NAT，外網訪問DMZ時也作了NAT，所以才出現這種狀況。就決辦法：
1、製作單向NAT，內網、DMZ到Internet出口作NAT，對DMZ內需要提供Internet服務的主機作靜態NAT映射；
2、內網訪問DMZ時不做NAT，外網進入內網和DMZ時不需要做NAT，這樣，DMZ內伺服器收到的公網的訪問時，源地址就是公網的地址，不再是防火牆上的地址，而且內部的地址還是內部的地址，這就可以把地址分開；
也就是說，由防火牆到DMZ主機的埠不能使用NAT功能，由內部、DMZ到外部時才使用NAT，這個問題就可以解決了。我不知道你使用的是哪個廠家的防火牆，一般都可以做到這么定義。

㈩ 闡述數據包過濾防火牆的工作原理_______.

推薦看一看 朱雁冰 寫的《Windows防火牆與網路封包截獲技術》，上面介紹了三種分別基於用戶態和核心態下的防火牆編譯，雖然他提到的三種技術現在看來都有不足，但是是一本講解詳細的好書～～～！！

防火牆就是一種過濾塞（目前你這么理解不算錯），你可以讓你喜歡的東西通過這個塞子，別的玩意都統統過濾掉。在網路的世界裡，要由防火牆過濾的就是承載通信數據的通信包。

天下的防火牆至少都會說兩個詞：Yes或者No。直接說就是接受或者拒絕。最簡單的防火牆是乙太網橋。但幾乎沒有人會認為這種原始防火牆能管多大用。大多數防火牆採用的技術和標准可謂五花八門。這些防火牆的形式多種多樣：有的取代系統上已經裝備的TCP/IP協議棧；有的在已有的協議棧上建立自己的軟體模塊；有的乾脆就是獨立的一套操作系統。還有一些應用型的防火牆只對特定類型的網路連接提供保護（比如SMTP或者HTTP協議等）。還有一些基於硬體的防火牆產品其實應該歸入安全路由器一類。以上的產品都可以叫做防火牆，因為他們的工作方式都是一樣的：分析出入防火牆的數據包，決定放行還是把他們扔到一邊。

所有的防火牆都具有IP地址過濾功能。這項任務要檢查IP包頭，根據其IP源地址和目標地址作出放行/丟棄決定。看看下面這張圖，兩個網段之間隔了一個防火牆，防火牆的一端有台UNIX計算機，另一邊的網段則擺了台PC客戶機。

當PC客戶機向UNIX計算機發起telnet請求時，PC的telnet客戶程序就產生一個TCP包並把它傳給本地的協議棧准備發送。接下來，協議棧將這個TCP包「塞」到一個IP包里，然後通過PC機的TCP/IP棧所定義的路徑將它發送給UNIX計算機。在這個例子里，這個IP包必須經過橫在PC和UNIX計算機中的防火牆才能到達UNIX計算機。

現在我們「命令」（用專業術語來說就是配製）防火牆把所有發給UNIX計算機的數據包都給拒了，完成這項工作以後，「心腸」比較好的防火牆還會通知客戶程序一聲呢！既然發向目標的IP數據沒法轉發，那麼只有和UNIX計算機同在一個網段的用戶才能訪問UNIX計算機了。

還有一種情況，你可以命令防火牆專給那台可憐的PC機找茬，別人的數據包都讓過就它不行。這正是防火牆最基本的功能：根據IP地址做轉發判斷。但要上了大場面這種小伎倆就玩不轉了，由於黑客們可以採用IP地址欺騙技術，偽裝成合法地址的計算機就可以穿越信任這個地址的防火牆了。不過根據地址的轉發決策機制還是最基本和必需的。另外要注意的一點是，不要用DNS主機名建立過濾表，對DNS的偽造比IP地址欺騙要容易多了。

伺服器TCP/UDP 埠過濾

僅僅依靠地址進行數據過濾在實際運用中是不可行的，還有個原因就是目標主機上往往運行著多種通信服務，比方說，我們不想讓用戶採用 telnet的方式連到系統，但這絕不等於我們非得同時禁止他們使用SMTP/POP郵件伺服器吧？所以說，在地址之外我們還要對伺服器的TCP/ UDP埠進行過濾。

比如，默認的telnet服務連接埠號是23。假如我們不許PC客戶機建立對UNIX計算機（在這時我們當它是伺服器）的telnet連接，那麼我們只需命令防火牆檢查發送目標是UNIX伺服器的數據包，把其中具有23目標埠號的包過濾就行了。這樣，我們把IP地址和目標伺服器TCP/UDP埠結合起來不就可以作為過濾標准來實現相當可靠的防火牆了嗎？不，沒這么簡單。

客戶機也有TCP/UDP埠

TCP/IP是一種端對端協議，每個網路節點都具有唯一的地址。網路節點的應用層也是這樣，處於應用層的每個應用程序和服務都具有自己的對應「地址」，也就是埠號。地址和埠都具備了才能建立客戶機和伺服器的各種應用之間的有效通信聯系。比如，telnet伺服器在埠23偵聽入站連接。同時telnet客戶機也有一個埠號，否則客戶機的IP棧怎麼知道某個數據包是屬於哪個應用程序的呢？

由於歷史的原因，幾乎所有的TCP/IP客戶程序都使用大於1023的隨機分配埠號。只有UNIX計算機上的root用戶才可以訪問1024以下的埠，而這些埠還保留為伺服器上的服務所用。所以，除非我們讓所有具有大於1023埠號的數據包進入網路，否則各種網路連接都沒法正常工作。

這對防火牆而言可就麻煩了，如果阻塞入站的全部埠，那麼所有的客戶機都沒法使用網路資源。因為伺服器發出響應外部連接請求的入站（就是進入防火牆的意思）數據包都沒法經過防火牆的入站過濾。反過來，打開所有高於1023的埠就可行了嗎？也不盡然。由於很多服務使用的埠都大於1023，比如X client、基於RPC的NFS服務以及為數眾多的非UNIX IP產品等（NetWare/IP）就是這樣的。那麼讓達到1023埠標準的數據包都進入網路的話網路還能說是安全的嗎？連這些客戶程序都不敢說自己是足夠安全的。

雙向過濾

OK，咱們換個思路。我們給防火牆這樣下命令：已知服務的數據包可以進來，其他的全部擋在防火牆之外。比如，如果你知道用戶要訪問Web伺服器，那就只讓具有源埠號80的數據包進入網路：

不過新問題又出現了。首先，你怎麼知道你要訪問的伺服器具有哪些正在運行的埠號呢？ 象HTTP這樣的伺服器本來就是可以任意配置的，所採用的埠也可以隨意配置。如果你這樣設置防火牆，你就沒法訪問哪些沒採用標准埠號的的網路站點了！反過來，你也沒法保證進入網路的數據包中具有埠號80的就一定來自Web伺服器。有些黑客就是利用這一點製作自己的入侵工具，並讓其運行在本機的80埠！

檢查ACK位

源地址我們不相信，源埠也信不得了，這個不得不與黑客共舞的瘋狂世界上還有什麼值得我們信任呢？還好，事情還沒到走投無路的地步。對策還是有的，不過這個辦法只能用於TCP協議。

TCP是一種可靠的通信協議，「可靠」這個詞意味著協議具有包括糾錯機制在內的一些特殊性質。為了實現其可靠性，每個TCP連接都要先經過一個「握手」過程來交換連接參數。還有，每個發送出去的包在後續的其他包被發送出去之前必須獲得一個確認響應。但並不是對每個TCP包都非要採用專門的ACK包來響應，實際上僅僅在TCP包頭上設置一個專門的位就可以完成這個功能了。所以，只要產生了響應包就要設置ACK位。連接會話的第一個包不用於確認，所以它就沒有設置ACK位，後續會話交換的TCP包就要設置ACK位了。

舉個例子，PC向遠端的Web伺服器發起一個連接，它生成一個沒有設置ACK位的連接請求包。當伺服器響應該請求時，伺服器就發回一個設置了ACK位的數據包，同時在包里標記從客戶機所收到的位元組數。然後客戶機就用自己的響應包再響應該數據包，這個數據包也設置了ACK位並標記了從伺服器收到的位元組數。通過監視ACK位，我們就可以將進入網路的數據限制在響應包的范圍之內。於是，遠程系統根本無法發起TCP連接但卻能響應收到的數據包了。

這套機制還不能算是無懈可擊，簡單地舉個例子，假設我們有台內部Web伺服器，那麼埠80就不得不被打開以便外部請求可以進入網路。還有，對UDP包而言就沒法監視ACK位了，因為UDP包壓根就沒有ACK位。還有一些TCP應用程序，比如FTP，連接就必須由這些伺服器程序自己發起。

FTP帶來的困難

一般的Internet服務對所有的通信都只使用一對埠號，FTP程序在連接期間則使用兩對埠號。第一對埠號用於FTP的「命令通道」提供登錄和執行命令的通信鏈路，而另一對埠號則用於FTP的「數據通道」提供客戶機和伺服器之間的文件傳送。

在通常的FTP會話過程中，客戶機首先向伺服器的埠21（命令通道）發送一個TCP連接請求，然後執行LOGIN、DIR等各種命令。一旦用戶請求伺服器發送數據，FTP伺服器就用其20埠 (數據通道)向客戶的數據埠發起連接。問題來了，如果伺服器向客戶機發起傳送數據的連接，那麼它就會發送沒有設置ACK位的數據包，防火牆則按照剛才的規則拒絕該數據包同時也就意味著數據傳送沒戲了。通常只有高級的、也就是夠聰明的防火牆才能看出客戶機剛才告訴伺服器的埠，然後才許可對該埠的入站連接。

UDP埠過濾

好了，現在我們回過頭來看看怎麼解決UDP問題。剛才說了，UDP包沒有ACK位所以不能進行ACK位過濾。UDP 是發出去不管的「不可靠」通信，這種類型的服務通常用於廣播、路由、多媒體等廣播形式的通信任務。NFS、DNS、WINS、NetBIOS-over-TCP/IP和 NetWare/IP都使用UDP。

看來最簡單的可行辦法就是不允許建立入站UDP連接。防火牆設置為只許轉發來自內部介面的UDP包，來自外部介面的UDP包則不轉發。現在的問題是，比方說，DNS名稱解析請求就使用UDP，如果你提供DNS服務，至少得允許一些內部請求穿越防火牆。還有IRC這樣的客戶程序也使用UDP，如果要讓你的用戶使用它，就同樣要讓他們的UDP包進入網路。我們能做的就是對那些從本地到可信任站點之間的連接進行限制。但是，什麼叫可信任！如果黑客採取地址欺騙的方法不又回到老路上去了嗎？

有些新型路由器可以通過「記憶」出站UDP包來解決這個問題：如果入站UDP包匹配最近出站UDP包的目標地址和埠號就讓它進來。如果在內存中找不到匹配的UDP包就只好拒絕它了！但是，我們如何確信產生數據包的外部主機就是內部客戶機希望通信的伺服器呢？如果黑客詐稱DNS伺服器的地址，那麼他在理論上當然可以從附著DNS的UDP埠發起攻擊。只要你允許DNS查詢和反饋包進入網路這個問題就必然存在。辦法是採用代理伺服器。

所謂代理伺服器，顧名思義就是代表你的網路和外界打交道的伺服器。代理伺服器不允許存在任何網路內外的直接連接。它本身就提供公共和專用的DNS、郵件伺服器等多種功能。代理伺服器重寫數據包而不是簡單地將其轉發了事。給人的感覺就是網路內部的主機都站在了網路的邊緣，但實際上他們都躲在代理的後面，露面的不過是代理這個假面具。

小結

IP地址可能是假的，這是由於IP協議的源路有機制所帶來的，這種機制告訴路由器不要為數據包採用正常的路徑，而是按照包頭內的路徑傳送數據包。於是黑客就可以使用系統的IP地址獲得返回的數據包。有些高級防火牆可以讓用戶禁止源路由。通常我們的網路都通過一條路徑連接ISP，然後再進入Internet。這時禁用源路由就會迫使數據包必須沿著正常的路徑返回。

還有，我們需要了解防火牆在拒絕數據包的時候還做了哪些其他工作。比如，防火牆是否向連接發起系統發回了「主機不可到達」的ICMP消息？或者防火牆真沒再做其他事？這些問題都可能存在安全隱患。ICMP「主機不可達」消息會告訴黑客「防火牆專門阻塞了某些埠」，黑客立即就可以從這個消息中聞到一點什麼氣味。如果ICMP「主機不可達」是通信中發生的錯誤，那麼老實的系統可能就真的什麼也不發送了。反過來，什麼響應都沒有卻會使發起通信的系統不斷地嘗試建立連接直到應用程序或者協議棧超時，結果最終用戶只能得到一個錯誤信息。當然這種方式會讓黑客無法判斷某埠到底是關閉了還是沒有使用。