昨天講到應用代理防火牆，今天來把他的一些有趣性質補完

重新包裝

一個新進來的封包來到應用代理防火牆時，防火牆不僅會幫你拆開封包檢查資料內容，而且會將原始的封包破壞，重新包裝成封包再傳輸至內網

也就是這個社區管理員不僅會幫你收包裹，檢查裡面裝的東西有沒有問題，他還會把原本的包裝都拆掉，換成屬於社區大樓的包裝再傳進去

這一個好處是可以防止先前談到的窗口掃描攻擊

想像現在有一個不同於先前TCP ACK的窗口掃描方式，他是在封包的網路層IP表頭中，加上存活時間的資訊
例如存活時間設為四，該封包會在跳躍四個節點後立即消滅，而該消滅的訊息會根據IP協定傳送一個錯誤訊息給發送者

假設Trudy知道防火牆的IP位置，以及內網的主機IP位置，他可以將存活時間設置成到防火牆位置+1，藉此達成窗口掃描的效果(和TCP ACK使用不同的原理)

例如以下的圖

如果該防火牆只進行封包篩選，Trudy馬上就知道防火牆開放的窗口是1209
但是如果是應用代理，該訊息被重新包裝再寄出給內部網路，該時間超過的訊息也只會被退回應用代理層面，不會返還至Trudy，因此將封包重新組裝寄出可以有效避免這種攻擊

多重防火牆

在設計一套保護內部網路的安全系統時，甚至可以將多種類型的防火牆安插在系統的不同層級上

例如，網頁伺服器、FTP伺服器、DNS伺服器等會對外開放的服務，可以用一個簡單的封包篩選進行過濾，而對於想要深入內網的封包，便可加裝比較強的應用代理防火牆進行二重保護
由於想進來內網的封包不多，因此比較不會有封包卡在應用代理處理太久的問題

甚至可以在內網安裝更深層的保護，安裝客製化的防火牆，讓進來的數據封包經過徹底篩選，以確保系統安全

這種多重防護的結構，即使一邊的防火牆壞掉，也可以由其他防火牆補上待其修復
因此也稱作是縱深防護的機制，是一種相當安全的保護措施