互联网上的主要服务功能有电子邮件(E-mail)、简单部件传输协议(SMTP)、局协议(POP)、文件传输协议(FTP)、远程登录录(Telnet)、存储转发协议(NNTP)、万维网(HTTP)和域名服务(DNS)等。

互联网上的主要服务功能有电子邮件(E-mail)、简单部件传输协议(SMTP)、局协议(POP)、文件传输协议(FTP)、远程登录录(Telnet)、存储转发协议(NNTP)、万维网(HTTP)和域名服务(DNS)等。
 
(1)电子邮件(E-mail)

从用户观点来看，电子邮件是最基本的互联网服务。然而，它同时也是一种最弱的服务。邮件服务器成为被攻击的目标，是因为它们可以从任意外部主机上接任何数据。电子邮件系统由以下三部分组成:



①一个服务器，用来向外部主机发送邮件或从外部主机接收邮件；
 
②发信代理，用于将邮件正确地放入本地主机邮箱中；
 
③用户代理，用于让收信人阅读邮件并编辑出站邮件。这三部分可以由不同程序、同一程序或其组合来实现。

电子邮件由于各种不同的原因，每一部分都是脆弱且易于被侵入的。

①服务器由于直接接受外部主机的命令(与发信有关)，如果服务器存在安全它将为侵袭者提供访问权；

②发信代理，因为有对邮箱的写权力，尽管它不必与外界对话，但如果被攻破，入侵者仍可得到非常广泛的存取权；

③用户代理以用户方式运行，它不与外界通话，这限制了它的能力和访问权。但是，它能经常运行与接收到的数据相对应的其他任意程序。

因为要与外部通话，所以服务器抵抗外界命令侵袭的能力很弱，这样的侵袭称为命令通道侵袭。发信代理和用户代理不直接接受命令，但无力抵制邮件信息内容的危害，这样的侵袭称为数据驱动侵袭。另外，某些人通过命令行缺陷知道如何控制程序运行(使用什么变量，哪个用户正在运行某个程序，它的数据文件是什么)，使程序对于误用显得非常弱。
 
(2)简单邮件传输协议(SMTP)的代理特点

因为SMTP是一个存储转发协议，所以它特别适合于进行代理。任何一个SMTP服务器都有可能为其他站点进行邮件转发，因而很少将它设置成一个单独的代理。大多数站点将输入的SMTP连接到一台安全运行SMTP服务的堡全主机上，该堡全主机就是一个代理。现有提供代理服务的防火墙产品都能够进行SMTP服务的代理，因为SMTP采用单个连接，所以其配置相当简单。在防火墙中，不要让一个外部主机直接连接到一个标准的非安全的SMTP服务器上，即使它通过一个代理系统，也不要这样做。
 
(3)邮局协议(POP)的代理特点

邮局协议(POP)对于代理系统来说非常简单，因为它采用单个连接，内置的支持代理的POP客户程序还很少，主要原因是POP多用于局域网，而很少用于互联网，没有一个简单的方法为内部客户程序和外部服务器的连接进行配置，除非所有的客户程序连接到同一台服务器。如果是这样，可以在自己的堡全主机的POP3端口上运行一个公用的TCP代理程序，将所有的POP请求连接到一个单独的POP服务器，然后再配置自己的客户程序，以访问在堡全主机上的“POP服务器”(实际上是一个代理程序)。

如果不提供访问多个POP服务器，而且能够确定所有的客户程序是从一个给定的P越址或域名来的，并连接到一个特定的服务器，那么可以用程序来设置较复杂的规则，根据连接请求的来源，将它连接到合适的服务器上。如果在同一个客户机或多个客户机上有多个用户需要通过防火墙访间不同的POP服务器，目前还没有简单的方法能做到这一点。但可以通过编写一个特殊的POP代理服务程序运行在堡垒主机上来认证用户，决定用户所要连接的服务器，并提供连接。可由POP服务器认证用户，然后扮演传统代理服务器的角色进行数据传输，但必须使用密钥来完成此项服务

(4)文件传输协议(FTP)FTP将文件从一台机器传送到另一台机器上。
 
使用FTP可以传送任何类型的文件，包括可执行的二进制文件、图形文件、 ASCII文本文件和音频及视頻文件等。有两种类型的FIP访问:有名FTP和匿名FTP。有名FTP要求用户在服务器上有账号，当登录FTP服务器后，用户访问能访问的全部文件。匿名FTP是为那些在FTP服务器上没有账号的人提供的，主要使用户能访问一些公用文件。目前，匿名FTP主要应用在互联网上。匿名FTP服务器是散发程序、信息和其他文件的标准机构。如果一个站点提供匿名FTP服务器，那么在互联网上的任何人都可以使用FIP连接到该站点，然后在一个被控制区域内访问服务器管理者提供的文件。

FTP使用两个独立的FTP连接，一个在服务器和客户程序之间传递命令和结果(通常称为命令通道):另一个用来传递真实的文件和目录列表(通常称为数据通道)。在服务器上，命令通道使用众所知的端口号21，而数据通道使用端口号20。客户程序则在命令和数据通道上分别使用大于1023的端国号。在开始使用一个FTP连接时，客户程序首先为自己分配两个大于1023的TCP端口。

它使用第一个端口作为命令通道端口与服务器连接，然后发出端口命令，告诉服务器它的第二个作为数据通道的端口号，这样服务器就能打开数据通道了。大多数FTP服务器(特别是那些用在互联网上的匿名FTP站点)和许多FTP客户程序都支持一种允许客户程序打开命令通道和数据通道来连接到FIP服务器的方式，这种方式称为“反向方式”。

在使用反向方式时，一个FTP客户程序需要分配两个TCP端口供其使用。它使用第一个TCP端口与FTP服务器连接，但客户程序通过反向方式命令代替原来的端端口命令来告诉服务器客户程序的第二个TCP端口。这样就能使服务器为本身的数据通道分配第二个TCP口；并通知客户程序所分配的那个端口号(由于系统设计的原因，服务器将使用任意一个大于1023的端口来代替原来正常方式时的端口20)，这时，客户程序就从它的数据通道的连接到服务器刚才通知它的那个端口上。不是所有的FTP客户程序都支持反向方式。
 
如果一个客户程序支持反向方式，它通常会在文件或描述中提到这点。有一些客户程序同时支持正常方式和反向方式，并给用户提供一些方法来决定采用哪种方式。现在，许多浏览器内置的FTP客户程序就采用反向方式。如果FTP客户程序(或连接的FTP服务器)不支持反向方式，同时又要求允许通过包过滤来使用FTP(而不是通过代理)，那么就不得不对包过滤规则作一个特殊的扩充，即允许将FTP服务器所打开的数据通道返回给客户程序。如果这样做，系统就很容易被入侵了。因此要尽可能地限制这种情况的发生。

由于存在FTP的反向方式问题，对外部FTP进行代理是一个较好的解决方案。采用正常方式的代理，客户程序允许与外部服务器相连接，但只允许数据通道的TCP连接到进行代理的堡垒主机而不允许连接到其他主机。
 
(5)远程登录( Telnet)代理系统能够很好地支持Telnet。
 
几乎所有的商用代理软件包都包含对 Telnet服务代理的支持，因为 Telnet是互联网上一个使用非常广泛的协议。
 
(6)存储转发协议(NNTP)

NNTP是一个存储转发协议，它作为一个简单的单个连接协议很容易实现代理，并有能力进行自己的代理。另外，NNTP也可以通过 Socks实现代理。
 
(7)万维网(HTTP)

各种HTTP客户程序都支持代理方案。也有一些支持Socks代理，另一些通过特殊的HTTP服务器支持对用户透明的代理，还有一些则对两者都支持。

使用HTTP代理服务器的另一个好处是:服务器能够把从互联网上得到的信息存储在缓存中，它将改善客户程序的执行效率并降低网络带宽。这样做将保证一些流行的Www页面在自己的站点中只需连接一次，今后各次请求将从本地缓存中得到该页面，而不用再到互联网服务器中获取了。
 
(8)域名服务(DNS)

DNS具有这样的结构:网站建设服务器充当客户程序的代理。利用DNS能够转发自身的特点，可以使一个DNS服务器成为另一个DNS服务器的代理。在真正实现时，绝大多数情况下，可以修改DNS库来使用修改的客户程序代理。在不支持动态链接的机器上，使用DNS修改客户程序的代理需要重新编译网络中使用的每个程序。因为用户不直接为DNS指定服务器信息，修改过程的代理几乎是不可能的。