什么是代理防火墻
發(fā)布時(shí)間:
2022-05-25 14:45:42
什么是代理防火墻��?在防火墻的設(shè)計(jì)中引入“代理”的概念是革命性的�?����!按怼蓖耆白韪簟绷司W(wǎng)絡(luò)通信流����,使得從內(nèi)部網(wǎng)絡(luò)發(fā)出的數(shù)據(jù)包經(jīng)過代理技術(shù)處理后���,就好像是源于防火墻外部網(wǎng)卡一樣����,從而可以達(dá)到隱藏內(nèi)部網(wǎng)絡(luò)結(jié)構(gòu)的作用���。以代理技術(shù)為基礎(chǔ)的防火墻分為應(yīng)用層代理防火墻和電路層代理防火墻兩種�����。
(1)應(yīng)用層代理
應(yīng)用層代理防火墻�,又稱為應(yīng)用層網(wǎng)關(guān)(Application Level Gateway)工作在OSI的最高層——應(yīng)用層����。它通過代理技術(shù)參與到一個(gè)TCP連接的全過程,其特點(diǎn)是完全“阻隔”了網(wǎng)絡(luò)通信流�����,通過對(duì)每種應(yīng)用服務(wù)編制專門的代理程序��,實(shí)現(xiàn)監(jiān)視和控制應(yīng)用層通信流的作用�,在用戶層和應(yīng)用協(xié)議層間提供訪問控制。
當(dāng)客戶端提出一個(gè)請(qǐng)求時(shí)��,代理程序?qū)⒑藢?shí)請(qǐng)求�,處理連接請(qǐng)求,并將處理后的請(qǐng)求傳遞出去��,然后接受應(yīng)答并做處理�,最后將處理結(jié)果提交給發(fā)出請(qǐng)求的客戶端。代理程序在外部網(wǎng)絡(luò)和內(nèi)部網(wǎng)絡(luò)通信中起著中間轉(zhuǎn)接的作用����。圖1示意了應(yīng)用層代理防火墻的工作原理。
圖1 應(yīng)用層代理防火墻示意圖
應(yīng)用層代理服務(wù)器針對(duì)不同的網(wǎng)絡(luò)應(yīng)用提供不同的處理��,譬如HTTP代理��、FTP代理�、SMTP代理、POP3代理等��。它提供雙重服務(wù)功能,一是為內(nèi)部網(wǎng)絡(luò)提供了一個(gè)保護(hù)層�����,二是通過“緩存頁面(Caching pages)”方法向客戶提供對(duì)外部網(wǎng)絡(luò)的訪問�����。應(yīng)用層代理的主要問題是速度慢���,支持的并發(fā)連接數(shù)有限�����。為此����,研究人員提出了各種改進(jìn)方案���。例如��,TCP代理(TCP forwarder)是在TCP對(duì)(pair ofTCP connection)之間傳遞數(shù)據(jù)的網(wǎng)絡(luò)節(jié)點(diǎn)��,被廣泛應(yīng)用于防火墻中�����。
1998年��,美國網(wǎng)絡(luò)聯(lián)盟公司(Networks Associates)提出了自適應(yīng)代理(Adaptive Proxy)的概念��,并在其產(chǎn)品Gauntlet Firewall for NT中得以實(shí)現(xiàn)����。以自適應(yīng)代理技術(shù)為基礎(chǔ)的自適應(yīng)代理防火墻�,綜合了包過濾型和應(yīng)用代理型防火墻的優(yōu)點(diǎn),其安全性能和應(yīng)用代理型防火墻很接近����,而速度卻比狀態(tài)檢測(cè)防火墻快。
自適應(yīng)代理不僅能維護(hù)系統(tǒng)安全���,還能夠動(dòng)態(tài)“適應(yīng)”傳送中的分組流量��。它允許用戶根據(jù)具體需求��,定義防火墻策略����,以提高性能和效率,使“速度和安全”比處于最佳狀態(tài)���。自適應(yīng)代理防火墻的初始安全檢測(cè)依然在應(yīng)用層中進(jìn)行����,一旦檢測(cè)通過后(即:自適應(yīng)代理明確了會(huì)話的所有細(xì)節(jié))�,隨后的數(shù)據(jù)包就直接在網(wǎng)絡(luò)層上傳送。自適應(yīng)代理可以和安全脆弱性掃描器�、病毒安全掃描器和入侵檢測(cè)系統(tǒng)之間實(shí)現(xiàn)更加靈活的集成。作為自適應(yīng)安全計(jì)劃的一部分�,自適應(yīng)代理將允許經(jīng)過正確驗(yàn)證的設(shè)備在安全傳感器和掃描儀發(fā)現(xiàn)重要的網(wǎng)絡(luò)威脅時(shí),根據(jù)事先確定的安全策略�,自動(dòng)“適應(yīng)”防火墻級(jí)別。
組成自適應(yīng)代理防火墻的基本要素有兩個(gè):自適應(yīng)代理服務(wù)器(Adaptive ProxyServer)和動(dòng)態(tài)包過濾器(Dynamic Packet Filter)�。在自適應(yīng)代理服務(wù)器與動(dòng)態(tài)包過濾器之間存在一個(gè)控制通道。自適應(yīng)代理就可以根據(jù)用戶的配置信息��,決定是使用代理服務(wù)從應(yīng)用層代理請(qǐng)求還是從網(wǎng)絡(luò)層轉(zhuǎn)發(fā)數(shù)據(jù)包�。如果是后者,它將動(dòng)態(tài)地通知包過濾器增減過濾規(guī)則�,滿足用戶對(duì)速度和安全性的雙重要求。
(2)電路層代理
電路層代理防火墻又稱電路級(jí)網(wǎng)關(guān)(Circuit-Level Gateway)�����,如圖 6-3 所示,用來在兩個(gè)通信的終點(diǎn)之間實(shí)現(xiàn)數(shù)據(jù)包的轉(zhuǎn)換��。它監(jiān)視兩個(gè)主機(jī)建立連接時(shí)的握手信息�����,從而判斷該會(huì)話請(qǐng)求是否合法����。顯然��,電路層代理防火墻將所有跨越防火墻的網(wǎng)絡(luò)通信鏈路分成了兩段���。
圖2 電路層代理防火墻示意圖
SOCKS是一個(gè)客戶/服務(wù)器環(huán)境的代理協(xié)議�����,被應(yīng)用于實(shí)現(xiàn)電路級(jí)網(wǎng)關(guān)��。SOCKS包括兩個(gè)部件:SOCKS服務(wù)器和SOCKS客戶端�。SOCKS服務(wù)器在應(yīng)用層實(shí)現(xiàn)��,而SOCKS客戶端的實(shí)現(xiàn)位于應(yīng)用層和傳輸層之間。SOCKS協(xié)議的基本目的就是讓SOCKS服務(wù)器兩邊的主機(jī)能夠互相訪問�,而不需要直接的IP互聯(lián)。當(dāng)一個(gè)應(yīng)用程序客戶需要連接到一個(gè)應(yīng)用服務(wù)器時(shí)�����,客戶先連接到 SOCKS 代理服器����,代理服務(wù)器代表客戶連接到應(yīng)用服務(wù)器,并在客戶和應(yīng)用服務(wù)器之間中繼數(shù)據(jù)�。對(duì)于應(yīng)用服務(wù)器來說,代理服務(wù)器就是客戶���。
電路層代理防火墻僅監(jiān)視兩個(gè)主機(jī)建立連接時(shí)的握手信息�����,例如 Syn����、Ack 和序列數(shù)據(jù)等是否合乎邏輯��。雖然在電路層代理防火墻中����,數(shù)據(jù)包也是被提交應(yīng)用層處理的���,但它只負(fù)責(zé)傳遞數(shù)據(jù),而不進(jìn)行數(shù)據(jù)過濾�����。因而不能削弱應(yīng)用層攻擊的威脅���。
綜上所述�����,代理防火墻的最突出的優(yōu)點(diǎn)就是安全性較高�。由于每一個(gè)內(nèi)外網(wǎng)絡(luò)之間的連接都要通過“代理”的介入和轉(zhuǎn)換��,沒有給內(nèi)外網(wǎng)絡(luò)的主機(jī)以任何直接會(huì)話的機(jī)會(huì)��,從而避免了入侵者使用數(shù)據(jù)驅(qū)動(dòng)類型的攻擊方式入侵內(nèi)部網(wǎng)絡(luò)�。代理防火墻的較大缺點(diǎn)就是速度相對(duì)比較慢�����,支持的并發(fā)連接數(shù)有限。當(dāng)用戶對(duì)內(nèi)外網(wǎng)絡(luò)網(wǎng)關(guān)的吞吐量要求比較高時(shí)���,代理防火墻很可能成為內(nèi)外網(wǎng)絡(luò)之間的瓶頸����,代理防火墻還有一個(gè)比較明顯的問題�,就是必須為新的服務(wù)、新的網(wǎng)絡(luò)協(xié)議和網(wǎng)絡(luò)應(yīng)用撰寫專門的應(yīng)用代理程序��。
(3)網(wǎng)絡(luò)地址轉(zhuǎn)換
隱藏內(nèi)部網(wǎng)絡(luò)信息是防火墻的任務(wù)之一���。網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù)(Network AddressTranslation�����,NAT)因此得到廣泛地應(yīng)用�����。它的工作原理是在內(nèi)部網(wǎng)絡(luò)中使用內(nèi)部地址�,通過NAT把內(nèi)部地址轉(zhuǎn)換成合法的公網(wǎng)IP地址在Internet上使用��。當(dāng)一個(gè)請(qǐng)求被送往防火墻時(shí)���,NAT 將源地址字段替換為它自己的地址�,當(dāng)應(yīng)答返回到 NAT時(shí),再將目標(biāo)地址字段替換為最初建立請(qǐng)求的客戶的地址�。
由于NAT僅僅修改過往的數(shù)據(jù)包頭的個(gè)別信息,實(shí)現(xiàn)起來比較安全����,對(duì)用戶也基本上實(shí)現(xiàn)了透明服務(wù)。NAT 不僅能解決 IP 地址緊缺問題�,而且能使得內(nèi)外網(wǎng)絡(luò)隔離,對(duì)某些網(wǎng)絡(luò)攻擊方式有一定的防護(hù)能力���。例如��,NAT可以讓TCP SYN報(bào)文淹沒(TCP SYN Flooding)這種常見的網(wǎng)絡(luò)攻擊方式失去作用�。
上一篇:
防火墻系統(tǒng)設(shè)計(jì)要素
下一篇:
什么是包過濾技術(shù)
