試談電子商務(wù)系統(tǒng)的網(wǎng)絡(luò)設(shè)施

第三講電子商務(wù)系統(tǒng)的網(wǎng)絡(luò)設(shè)施1主要內(nèi)容：1、網(wǎng)絡(luò)設(shè)施2、電子商務(wù)系統(tǒng)與Internet的連接方式3、防火墻21、網(wǎng)絡(luò)設(shè)施InternetIntranetExtranet3主要內(nèi)容：1、網(wǎng)絡(luò)設(shè)施2、電子商務(wù)系統(tǒng)與Internet的連接方式3、防火墻42、電子商務(wù)系統(tǒng)與Internet的連接方式2.1專(zhuān)線接入2.2服務(wù)器托管2.3虛擬主機(jī)2.4數(shù)據(jù)中心52.1專(zhuān)線接入通過(guò)專(zhuān)門(mén)的線路將企業(yè)的工作環(huán)境接入到Internet。這里的專(zhuān)線是指所有能夠連接Internet的連接線路方式，包括DDN專(zhuān)線、幀中繼FR、光纖等形式。缺點(diǎn)：專(zhuān)線方式是所有的接入方式中最昂貴的，除了連接線路的費(fèi)用之外，還需要有自己的路由器和服務(wù)器。此外根據(jù)網(wǎng)站訪問(wèn)量的大小，對(duì)服務(wù)器的要求也大不一樣，從幾萬(wàn)元到幾十萬(wàn)元不等，甚至百萬(wàn)元以上。62.1專(zhuān)線接入優(yōu)點(diǎn)：服務(wù)器在自己企業(yè)的工作環(huán)境中，所以開(kāi)發(fā)和維護(hù)非常方便，同時(shí)，一條專(zhuān)線可以連接多種服務(wù)，也就是說(shuō)可以同時(shí)擁有自己的E-mail服務(wù)器、SSH服務(wù)器以及代理服務(wù)器等，整個(gè)企業(yè)的計(jì)算機(jī)都可以通過(guò)一條專(zhuān)線上網(wǎng)，所以對(duì)于某些內(nèi)部上網(wǎng)需求量大的單位，專(zhuān)線接入應(yīng)該是一種最節(jié)約的方式。72.2服務(wù)器托管服務(wù)器托管（主機(jī)托管）是指為了提高網(wǎng)站的訪問(wèn)速度，將企業(yè)的服務(wù)器及相關(guān)設(shè)備托管到具有完善機(jī)房設(shè)施、高品質(zhì)網(wǎng)絡(luò)環(huán)境、豐富帶寬資源和運(yùn)營(yíng)經(jīng)驗(yàn)、可對(duì)用戶(hù)的網(wǎng)絡(luò)和設(shè)備進(jìn)行實(shí)時(shí)監(jiān)控的網(wǎng)絡(luò)數(shù)據(jù)中心內(nèi)（如電信局或其他提供托管服務(wù)的網(wǎng)絡(luò)公司），以此使系統(tǒng)達(dá)到安全、可靠、穩(wěn)定、高效運(yùn)行的目的。托管的服務(wù)器可以由企業(yè)自己進(jìn)行維護(hù)，也可以由其它的授權(quán)人進(jìn)行遠(yuǎn)程維護(hù)。8當(dāng)企業(yè)有意建設(shè)自己的Web、E-mail、FTP服務(wù)器，并且企業(yè)網(wǎng)站的應(yīng)用很復(fù)雜或網(wǎng)站的訪問(wèn)率很高時(shí)，企業(yè)可以選擇自已購(gòu)買(mǎi)服務(wù)器，進(jìn)行整機(jī)托管。優(yōu)點(diǎn)：收費(fèi)與專(zhuān)線接入的費(fèi)用比較起來(lái)要低得多，而且能提供這項(xiàng)服務(wù)的地方一般都有較高的網(wǎng)絡(luò)帶寬，可以提供很好的訪問(wèn)速度。2.2服務(wù)器托管92.3虛擬主機(jī)許多ISP不僅有富余的網(wǎng)絡(luò)帶寬，而且還有剩余磁盤(pán)空間租用給用戶(hù)。虛擬主機(jī)，就是在網(wǎng)絡(luò)服務(wù)器上劃分出一定的磁盤(pán)空間供用戶(hù)放置站點(diǎn)、應(yīng)用組件等，提供必要的站點(diǎn)功能與數(shù)據(jù)存放、傳輸功能。優(yōu)點(diǎn)：可以省去自己購(gòu)買(mǎi)服務(wù)器的開(kāi)支，并且同樣可以獲得較高的訪問(wèn)速度。缺點(diǎn)：由于沒(méi)有對(duì)服務(wù)器的自主權(quán)，所受的限制也就特別多，例如遠(yuǎn)程管理有限、軟件不便安裝等。10★什么是虛擬主機(jī)？Internet上聯(lián)有上億臺(tái)計(jì)算機(jī)，這些計(jì)算機(jī)不管是什么機(jī)型、運(yùn)行什么操作系統(tǒng)、使用什么軟件，都可以歸結(jié)為兩大類(lèi)：客戶(hù)機(jī)和服務(wù)器。客戶(hù)機(jī)是訪問(wèn)別人信息的機(jī)器。當(dāng)通過(guò)電信或其他ISP上網(wǎng)時(shí)，電腦就被臨時(shí)分配了一個(gè)IP地址，利用這個(gè)臨時(shí)身份證，就可以在Internet上獲取信息，斷線后，電腦就脫離了Internet，IP地址也被收回。服務(wù)器是提供信息讓別人訪問(wèn)的機(jī)器，通常稱(chēng)為主機(jī)。由于人們?nèi)魏螘r(shí)候都可能訪問(wèn)它，因此作為主機(jī)必須每時(shí)每刻都連接在Internet上，擁有自己永久的IP地址。為此不僅得設(shè)置專(zhuān)用的電腦硬件，還得租用昂貴的數(shù)據(jù)專(zhuān)線，再加上各種維護(hù)費(fèi)用如房租、人工、電費(fèi)等，企業(yè)較難承受。11★什么是虛擬主機(jī)？虛擬主機(jī)技術(shù)可以把一臺(tái)真正的主機(jī)分成許多“虛擬”的主機(jī)，每一臺(tái)虛擬主機(jī)都具有獨(dú)立的域名和IP地址（或共享的IP地址），具有完整的Internet服務(wù)器功能（支持WWW,FTP,E-mail等）。在同一臺(tái)硬件、同一個(gè)操作系統(tǒng)上，運(yùn)行著為多個(gè)用戶(hù)打開(kāi)的不同的服務(wù)器程序，互不干擾；而各個(gè)用戶(hù)擁有自己的一部分系統(tǒng)資源（IP地址、文件存儲(chǔ)空間、內(nèi)存、CPU時(shí)間等）。虛擬主機(jī)之間完全獨(dú)立，在外界看來(lái)，每一臺(tái)虛擬主機(jī)和一臺(tái)獨(dú)立的主機(jī)的表現(xiàn)完全一樣。但一臺(tái)服務(wù)器主機(jī)只能夠支持一定數(shù)量的虛擬主機(jī)，當(dāng)超過(guò)這個(gè)數(shù)量時(shí)，用戶(hù)將會(huì)感到性能急劇下降。12★什么是虛擬主機(jī)？虛擬主機(jī)的優(yōu)勢(shì)是費(fèi)用低廉。由于多臺(tái)虛擬主機(jī)共享一臺(tái)真實(shí)主機(jī)的資源，每個(gè)虛擬主機(jī)用戶(hù)承受的硬件費(fèi)用、網(wǎng)絡(luò)維護(hù)費(fèi)用、線路通信費(fèi)用均大幅度降低。目前，許多企業(yè)建立網(wǎng)站都采用這種方法，這樣不僅大大節(jié)省了購(gòu)買(mǎi)機(jī)器和租用專(zhuān)線的費(fèi)用，同時(shí)也不必為使用和維護(hù)服務(wù)器的技術(shù)問(wèn)題擔(dān)心，更不必聘用專(zhuān)門(mén)的管理人員。132.4數(shù)據(jù)中心為了更好的支持主機(jī)托管和虛擬主機(jī)服務(wù)，ISP建立起環(huán)境更為優(yōu)越的數(shù)據(jù)中心。數(shù)據(jù)中心擁有更大的機(jī)房面積，可以存放上千臺(tái)主機(jī)，不僅提供普通市電，還提供UPS甚至發(fā)電機(jī)組，大功率的空調(diào)保證機(jī)房?jī)?nèi)恒溫恒濕，另外還提供消防和保安防護(hù)系統(tǒng)。14★UPS（不間斷電源）UPS（UninterruptiblePowerSupply）不間斷電源，是能夠提供持續(xù)、穩(wěn)定、不間斷的電源供應(yīng)的重要外部設(shè)備。它可以保障計(jì)算機(jī)系統(tǒng)在停電之后繼續(xù)工作一段時(shí)間以使用戶(hù)能夠緊急存盤(pán)，不致因停電而影響工作或丟失數(shù)據(jù)。UPS在計(jì)算機(jī)系統(tǒng)和網(wǎng)絡(luò)應(yīng)用中，主要起到兩個(gè)作用：一是應(yīng)急使用，防止突然斷電而影響正常工作，給計(jì)算機(jī)造成損害；二是消除市電上的電涌、瞬間高/低電壓、電線噪聲等“電源污染”，改善電源質(zhì)量，為計(jì)算機(jī)系統(tǒng)提供高質(zhì)量的電源。152.4數(shù)據(jù)中心網(wǎng)絡(luò)接入方面，數(shù)據(jù)中心提供高帶寬（100M以上）接入到互聯(lián)主干網(wǎng)。為保證用戶(hù)的訪問(wèn)速度，可以在各地分別設(shè)立分?jǐn)?shù)據(jù)中心或者各個(gè)數(shù)據(jù)中心進(jìn)行合作，互為對(duì)方用戶(hù)主機(jī)建立鏡像，最大限度地提高服務(wù)質(zhì)量。為了保證網(wǎng)絡(luò)安全，數(shù)據(jù)中心還設(shè)立了防火墻及防病毒系統(tǒng)，最大限度地保證用戶(hù)網(wǎng)絡(luò)軟件平臺(tái)的安全。16主要內(nèi)容：1、網(wǎng)絡(luò)設(shè)施2、電子商務(wù)系統(tǒng)與Internet的連接方式3、防火墻173、防火墻3.1防火墻的基本概念3.2防火墻的功能3.3防火墻的分類(lèi)3.4防火墻的選擇原則183.1防火墻的基本概念防火墻是一組軟、硬件設(shè)備的組合，它在內(nèi)部網(wǎng)絡(luò)（專(zhuān)用網(wǎng)絡(luò)）與外部網(wǎng)絡(luò)（公用網(wǎng)絡(luò)）之間形成一道安全保護(hù)屏障，以防止非法用戶(hù)訪問(wèn)內(nèi)部網(wǎng)絡(luò)上的資源和非法向外傳遞內(nèi)部信息，同時(shí)也防止這類(lèi)非法和惡意的網(wǎng)絡(luò)行為導(dǎo)致內(nèi)部網(wǎng)絡(luò)的運(yùn)行遭到破壞。防火墻能增強(qiáng)組織內(nèi)部網(wǎng)絡(luò)的安全性。防火墻系統(tǒng)決定了外界可以訪問(wèn)哪些內(nèi)部服務(wù)；外界的哪些人可以訪問(wèn)內(nèi)部服務(wù)；內(nèi)部人員可以訪問(wèn)哪些外部服務(wù)。防火墻必須只允許授權(quán)的數(shù)據(jù)通過(guò)，而且防火墻本身也必須能夠免于滲透。193.2防火墻的功能（1）網(wǎng)絡(luò)安全控制防火墻能夠過(guò)濾掉不安全的服務(wù)和請(qǐng)求，從而降低網(wǎng)絡(luò)安全的風(fēng)險(xiǎn)。能夠監(jiān)測(cè)、限制信息流從一個(gè)安全控制點(diǎn)進(jìn)入或離開(kāi)。允許網(wǎng)絡(luò)管理員定義一個(gè)中心點(diǎn)來(lái)防止非法用戶(hù)進(jìn)入內(nèi)部網(wǎng)絡(luò)。（2）屏蔽內(nèi)部信息使用防火墻就是要使內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)隔斷，讓外部網(wǎng)絡(luò)的用戶(hù)在未經(jīng)授權(quán)的情況下不能訪問(wèn)內(nèi)部網(wǎng)絡(luò)，盡可能的隱藏內(nèi)部的信息、結(jié)構(gòu)和運(yùn)行情況。通過(guò)防火墻對(duì)內(nèi)部網(wǎng)絡(luò)的劃分，還可以實(shí)現(xiàn)對(duì)重點(diǎn)網(wǎng)絡(luò)的隔離。20213.2防火墻的功能（3）提供日志和審計(jì)功能通過(guò)防火墻的所有訪問(wèn)都應(yīng)該能夠記錄到日志文件中，同時(shí)也應(yīng)該提供網(wǎng)絡(luò)流量以及使用情況的統(tǒng)計(jì)數(shù)據(jù)。提供計(jì)費(fèi)服務(wù)。（4）提供報(bào)警服務(wù)當(dāng)有潛在的威脅的訪問(wèn)或請(qǐng)求經(jīng)過(guò)防火墻時(shí)，防火墻不僅應(yīng)該記錄其動(dòng)作，還應(yīng)及時(shí)向系統(tǒng)管理報(bào)警。（5）部署NAT

將有限的IP地址動(dòng)態(tài)或靜態(tài)的與內(nèi)部的IP地址對(duì)應(yīng)起來(lái)，用來(lái)緩解地址空間短缺的問(wèn)題。22★NAT在一個(gè)網(wǎng)絡(luò)內(nèi)部，根據(jù)需要可以隨意自定義IP地址而不需要經(jīng)過(guò)申請(qǐng)，網(wǎng)絡(luò)內(nèi)部各計(jì)算機(jī)間通過(guò)內(nèi)部的IP地址進(jìn)行通訊。而當(dāng)內(nèi)部的計(jì)算機(jī)要與外部Internet網(wǎng)絡(luò)進(jìn)行通訊時(shí)，具有NAT功能的設(shè)備負(fù)責(zé)將其內(nèi)部的IP地址轉(zhuǎn)換為合法的IP地址進(jìn)行通信。

23★NATNAT（NetworkAddressTranslation，網(wǎng)絡(luò)地址轉(zhuǎn)換），是一種把內(nèi)部網(wǎng)絡(luò)的私有IP地址（如企業(yè)內(nèi)部網(wǎng)Intranet）翻譯成合法網(wǎng)絡(luò)IP地址（如互聯(lián)網(wǎng)Internet）的技術(shù)。通過(guò)在內(nèi)部使用非注冊(cè)的IP地址，并將它們轉(zhuǎn)換為一小部分外部注冊(cè)的IP地址，從而減少I(mǎi)P地址注冊(cè)的費(fèi)用，也可以有效解決目前網(wǎng)絡(luò)環(huán)境中IP地址短缺的問(wèn)題，節(jié)省目前越來(lái)越缺乏的地址空間（IPv4）。同時(shí)，這也對(duì)外隱藏了內(nèi)部網(wǎng)絡(luò)結(jié)構(gòu)，從而降低了內(nèi)部網(wǎng)絡(luò)受到攻擊的風(fēng)險(xiǎn)。24IPv4目前的全球因特網(wǎng)所采用的協(xié)議族是TCP/IP協(xié)議族。IP是TCP/IP協(xié)議族中網(wǎng)絡(luò)層的協(xié)議，是TCP/IP協(xié)議族的核心協(xié)議。目前IP協(xié)議的版本號(hào)是4（簡(jiǎn)稱(chēng)為IPv4，v－version版本），核心技術(shù)屬于美國(guó)。IPv4的地址位數(shù)為32位，其最大問(wèn)題是網(wǎng)絡(luò)地址資源有限，從理論上講，IPv4技術(shù)可使用的IP地址有43億個(gè)，其中北美占有3/4，約30億個(gè)，而人口最多的亞洲只有不到4億個(gè)，中國(guó)只有3千多萬(wàn)個(gè)，只相當(dāng)于美國(guó)麻省理工學(xué)院的數(shù)量。地址不足，嚴(yán)重地制約了我國(guó)及其他國(guó)家互聯(lián)網(wǎng)的應(yīng)用和發(fā)展。25IPv6IPv6（InternetProtocolVersion6，互聯(lián)網(wǎng)協(xié)議第6版），采用128位地址長(zhǎng)度，按保守方法估算IPv6實(shí)際可分配的地址，整個(gè)地球的每平方米面積上仍可分配1000多個(gè)地址。在IPv6的設(shè)計(jì)過(guò)程中除了一勞永逸地解決了地址短缺問(wèn)題以外，還考慮了在IPv4中解決不好的其它問(wèn)題，主要有端到端IP連接、服務(wù)質(zhì)量（QoS）、安全性、多播、移動(dòng)性、即插即用等。26IPv6IPv6也會(huì)造成大量的IP地址浪費(fèi)。使用IPv6的網(wǎng)絡(luò)并沒(méi)有2128-1個(gè)能充分利用的地址。首先，要實(shí)現(xiàn)IP地址的自動(dòng)配置，局域網(wǎng)所使用的子網(wǎng)的前綴必須等于64，但是很少有一個(gè)局域網(wǎng)能容納264個(gè)網(wǎng)絡(luò)終端；其次，由于IPv6的地址分配必須遵循聚類(lèi)的原則，地址的浪費(fèi)在所難免。但是，如果說(shuō)IPv4實(shí)現(xiàn)的只是人機(jī)對(duì)話，而IPv6則擴(kuò)展到任意事物之間的對(duì)話，它不僅可以為人類(lèi)服務(wù)，還將服務(wù)于眾多硬件設(shè)備，如家用電器、傳感器、遠(yuǎn)程照相機(jī)、汽車(chē)等，它將是無(wú)時(shí)不在、無(wú)處不在的深入社會(huì)每個(gè)角落的真正的寬帶網(wǎng)，而且它所帶來(lái)的經(jīng)濟(jì)效益將非常巨大。27★NATNAT的應(yīng)用環(huán)境：情況1：一個(gè)企業(yè)不想讓外部網(wǎng)絡(luò)用戶(hù)知道自己的網(wǎng)絡(luò)內(nèi)部結(jié)構(gòu)，可以通過(guò)NAT將內(nèi)部網(wǎng)絡(luò)與外部Internet隔離開(kāi)，則外部用戶(hù)根本不知道通過(guò)NAT設(shè)置的內(nèi)部IP地址。情況2：一個(gè)企業(yè)申請(qǐng)的合法InternetIP地址很少，而內(nèi)部網(wǎng)絡(luò)用戶(hù)很多?？梢酝ㄟ^(guò)NAT功能實(shí)現(xiàn)多個(gè)用戶(hù)同時(shí)公用一個(gè)合法IP與外部Internet進(jìn)行通信。283.3防火墻的分類(lèi)包過(guò)濾型代理服務(wù)器型29包過(guò)濾型防火墻包過(guò)濾型的技術(shù)依據(jù)是網(wǎng)絡(luò)中的分包傳輸技術(shù)。網(wǎng)絡(luò)上的數(shù)據(jù)都是以“數(shù)據(jù)包”為單位進(jìn)行傳輸?shù)?，?shù)據(jù)被分割成一定大小的數(shù)據(jù)包，每一個(gè)數(shù)據(jù)包中都包含諸如數(shù)據(jù)源地址、目標(biāo)地址、TCP/UDP端口號(hào)等特定信息。包過(guò)濾型防火墻在網(wǎng)絡(luò)間相互連接的設(shè)備上加載允許（或禁止）來(lái)自某些特定的源地址、目標(biāo)地址、TCP端口號(hào)等規(guī)則，通過(guò)讀取數(shù)據(jù)包中的信息并與系統(tǒng)管理員制定的規(guī)則表進(jìn)行對(duì)比，對(duì)通過(guò)設(shè)備的數(shù)據(jù)包進(jìn)行檢查，限制數(shù)據(jù)包進(jìn)出內(nèi)部網(wǎng)絡(luò)。30包過(guò)濾型防火墻優(yōu)點(diǎn)：廉價(jià)邏輯簡(jiǎn)單，易于安裝和使用31包過(guò)濾型防火墻缺點(diǎn)：安全控制層次在網(wǎng)絡(luò)層，只能根據(jù)數(shù)據(jù)包的源地址、目標(biāo)地址和端口號(hào)等信息進(jìn)行判斷，不能判斷高級(jí)協(xié)議里的數(shù)據(jù)是否有害，無(wú)法識(shí)別基于應(yīng)用層的惡意入侵，例如惡意的Java小程序以及現(xiàn)在比較流行的通過(guò)電子郵件中附帶病毒等。因?yàn)閿?shù)據(jù)包的源地址、目標(biāo)地址、端口號(hào)等信息在數(shù)據(jù)包的頭部，有經(jīng)驗(yàn)的黑客很容易通過(guò)竊聽(tīng)和假冒，騙過(guò)包過(guò)濾型的防火墻。所以包過(guò)濾型防火墻只能進(jìn)行較為初步的安全控制。32代理服務(wù)器型防火墻代理服務(wù)器作為一個(gè)為用戶(hù)保密或者突破訪問(wèn)限制的數(shù)據(jù)轉(zhuǎn)發(fā)通道，在網(wǎng)絡(luò)上應(yīng)用廣泛。一個(gè)完整的代理設(shè)備包含一個(gè)服務(wù)端和客戶(hù)端，服務(wù)端接收來(lái)自用戶(hù)的請(qǐng)求，調(diào)用自身的客戶(hù)端模擬一個(gè)基于用戶(hù)請(qǐng)求的連接到目標(biāo)服務(wù)器，再把目標(biāo)服務(wù)器返回的數(shù)據(jù)轉(zhuǎn)發(fā)給用戶(hù)，完成一次代理工作過(guò)程。在一臺(tái)代理設(shè)備的服務(wù)端和客戶(hù)端之間連接一個(gè)過(guò)濾措施的思想造就了“應(yīng)用代理”防火墻，這種防火墻實(shí)際上就是一臺(tái)小型的帶有數(shù)據(jù)檢測(cè)過(guò)濾功能的透明代理服務(wù)器，但是它并不是單純的在一個(gè)代理設(shè)備中嵌入包過(guò)濾技術(shù)，而是一種被稱(chēng)為“應(yīng)用協(xié)議分析”的新技術(shù)。33代理服務(wù)器型防火墻優(yōu)點(diǎn)：“應(yīng)用協(xié)議分析”技術(shù)工作在OSI模型的最高層——應(yīng)用層，在這一層里能接觸到的所有數(shù)據(jù)都是最終形式，也就是說(shuō)，代理防火墻“看到”的數(shù)據(jù)和我們看到的是一樣的，而不是一個(gè)個(gè)帶著地址、端口協(xié)議等原始內(nèi)容的數(shù)據(jù)包，因而它可以實(shí)現(xiàn)更高級(jí)的數(shù)據(jù)檢測(cè)過(guò)程。代理防火墻不僅能根據(jù)數(shù)據(jù)層提供的信息判斷數(shù)據(jù)，更能像管理員分析服務(wù)器日志那樣“看”內(nèi)容辨危害。34由于工作在應(yīng)用層，防火墻還可以實(shí)現(xiàn)雙向限制，在過(guò)濾外部網(wǎng)絡(luò)有害數(shù)據(jù)的同時(shí)也監(jiān)控著內(nèi)部網(wǎng)絡(luò)的信息，管理員可以配置防火墻實(shí)現(xiàn)一個(gè)身份驗(yàn)證和連接時(shí)限的功能，進(jìn)一步防止內(nèi)部網(wǎng)絡(luò)信息泄漏的隱患。由于代理防火墻采取代理機(jī)制進(jìn)行工作，內(nèi)外部網(wǎng)絡(luò)之間的通信都需先經(jīng)過(guò)代理服務(wù)器審核，通過(guò)后再由代理服務(wù)器連接，根本沒(méi)有給分隔在內(nèi)外部網(wǎng)絡(luò)兩邊的計(jì)算機(jī)直接會(huì)話的機(jī)會(huì)，可以避免入侵者使用“數(shù)據(jù)驅(qū)動(dòng)”攻擊方式（一種能通過(guò)包過(guò)濾型防火墻規(guī)則的數(shù)據(jù)報(bào)文，但是當(dāng)它進(jìn)入計(jì)算機(jī)處理后，卻變成能夠修改系統(tǒng)設(shè)置和用戶(hù)數(shù)據(jù)的惡意代碼）滲透內(nèi)部網(wǎng)絡(luò)，可以說(shuō)，“應(yīng)用代理”是比包過(guò)濾技術(shù)更完善的防火墻技術(shù)。35代理服務(wù)器型防火墻缺點(diǎn)：由于基于代理技術(shù)，通過(guò)防火墻的每個(gè)連接都必須建立在為之創(chuàng)建的代理程序進(jìn)程上，代理進(jìn)程自身就要消耗一定時(shí)間，更何況代理進(jìn)程里還有一套復(fù)雜的協(xié)議分析機(jī)制在同時(shí)工作，于是數(shù)據(jù)在通過(guò)代理防火墻時(shí)不可避免的發(fā)生數(shù)據(jù)遲滯現(xiàn)象。代理防火墻是以犧牲速度為代價(jià)換取了比包過(guò)濾防火墻更高的安全性能，在網(wǎng)絡(luò)吞吐量不是很大的情況下，也許用戶(hù)不會(huì)察覺(jué)到什么，但是在數(shù)據(jù)交換頻繁時(shí)，代理防火墻就成了整個(gè)網(wǎng)絡(luò)的瓶頸，而且一旦防火墻的硬件配置支撐不住高強(qiáng)度的數(shù)據(jù)流量而發(fā)生罷工，整個(gè)網(wǎng)絡(luò)可能會(huì)因此癱瘓。所以，代理防火墻的普及范圍還遠(yuǎn)遠(yuǎn)不及包過(guò)濾型防火墻，而在軟件防火墻方面更是幾乎沒(méi)見(jiàn)過(guò)類(lèi)似產(chǎn)品——單機(jī)并不具備代理技術(shù)所需的條件，所以就目前龐大的軟件防火墻市場(chǎng)來(lái)說(shuō)，代理防火墻很難有立足之地。363.4