文章详情

短信预约-IT技能 免费直播动态提醒

请输入下面的图形验证码

提交验证

短信预约提醒成功

什么是代理防火墙?代理防火墙有什么优缺点?

lzzyok小宝贝

lzzyok小宝贝

2024-04-18 00:24

关注

  由于网络访问式一项很复杂的活动,因而对它的管理也不容易,并且很多使用计算机用户也不是专业的计算机管理者,它们对于连接在网络上的计算机的保护很脆弱,导致其他用户在未经授权的情况下,很容易地通过网络进入到他的计算机中,窃取信息,或者破坏计算机系统。

什么是代理防火墙?代理防火墙有什么优缺点?_计算机_服务器_web_操作系统_编程学习网教育
  为了防止这些问题,计算机专家提出了防火墙的概念,防火墙是保护区与外界联系的唯一出口,然后由防火墙来决定,是放行还是封锁进出的数据包。根据防火墙在TCP/IP协议工作的不同的层次,可将防火墙分为应用层代理和网络层防火墙。本篇章就先来讲讲应用层代理防火墙。
  代理防火墙通过也叫应用层网关(Appliaction Gateway)防火墙。这种防火墙通过一种代理(Proxy)技术参与到一个TCP连接的全过程。从内部发出的数据包经过这样的防火墙处理后,就好像是源于防火墙外部网卡一样,从而可以达到隐藏内部网结构的作用,这种类型的防火墙被网络安全专家和媒体公认为是最安全的防火墙。它的核心技术就是代理服务器技术。
  应用网关防火墙有两种类型:连接网关防火墙CGF和直通代理防火墙CTP。
  1、连接网关防火墙
  CGF比CTP防火墙提供更多的保护。例如,用户在通过CGF建立一个连接到内部web服务器。CGF截获该连接并认证。通过认证后,CGF打开一个到内部Web服务器的单独连接。任何由用户发送到Web流量首先由CGF处理,然后重定向到内部Web服务器。其他流量都将被丢弃。
  很多CGF(和CTP)防火墙可以为一个用户配置多个授权规则。当用户成功通过认证后,所有的授权规则都将生效,而不用为每个连接请求进行认证。
  CGF能检查所有发送到Web服务器的数据。基本上,在连接中输入的任何字符对CGF都是可见的。这种类型的检查对包过滤或状态过滤防火墙是不可能的。。
  2、直通代理防火墙
  CGF防火墙的一个主要问题是,对于它支持的应用,所有的流量要在应用层上进行处理。这在个别的连接中会引入显著的时延。
  CTP认证后,连接和任何其他授权连接被添加到过滤规则中。认证过程在第7层进行处理,经过认证后,所有的流量在第3层和第4层上进行处理。但是,因为CTP不检查应用层数据,它不能检测应用层攻击。
  代理防火墙能够比其它类型的防火墙提供更多的安全性,但是,这是以牺牲速度和功能为代价的,因为代理防火墙能够限制你的网络支持什么应用程序。那么,为什么代理防火墙更安全呢?代理防火墙与稳定的防火墙不同,稳定的防火墙允许或者封锁网络数据包进出受保护的网络,而通信流不经过代理。如果使用代理防火墙,计算机要建立一个通向代理的连接,这个代理充当一个中介并且代表这台计算机的请求启动一个新的网络链接。这就阻止了防火墙两端的系统直接进行连接,使攻击者很难发现这个网络在什么地方,因为它们永远不接收它们的目标系统直接创建的数据包。
  代理防火墙也对它们支持的协议提供深入的和熟悉协议的安全分析。这使它们能够比那些纯粹以数据包头信息为重点的产品做出更好的安全决策。例如,一个专门为支持FTP协议而编写的代理防火墙能够监视在命令通道上发出的实际的FTP命令,并且阻止任何禁止的行为。代理防火墙允许实施熟悉协议的记录。因为服务器是由代理保护的,这种记录能够让人们很容易发现攻击方法并且为现有的记录创建一个备份。
  然而,代理防火墙提供增强的安全是要付出代价的。这种额外的开销来自于为每一个通话建立两个连接、在应用层验证请求需要耗费的时间以及降低性能等。你可以花钱增强你的代理服务器,但是,在一个真正高带宽的网络中,代理防火墙仍是一个瓶颈。你也许会发现为你的网络恰当地安装和设置一套必要代理是很困难的,而且让虚拟专用网通过一个代理防火墙是很难的。
  另外,虽然最新的代理防火墙为大量的互联网协议提供代理,但是,如果你的网络使用一个你的代理防火墙不支持的协议,你必须要使用一个普通的代理或者开发一个新的代理。使用普通的代理,你将失去熟悉协议的分析和记录功能,只有最基本的安全检查功能。重要的是需要指出这个行业正在摆脱代理防火墙,主要是因为性能和兼容性问题。安全行业似乎支持深度包检测防火墙。这种防火墙更灵活,能够处理速度更快的网络。然而,在你考虑进行转换之前,你需要了解,虽然深度包检测与代理一样在应用层是好用的,但是,在计算机系统之间仍有直接的联系。正如上面所说的那样,这种直接的联系很容易让黑客采集到操作系统和应用程序的指纹,以便确定利用哪一类安全漏洞攻击这个客户机系统。
  因为包过滤和状态防火墙相比,应用防火墙增加了智能功能,所以通常用在以下地方:
  ★一台CGF常常用作主要的过滤功能设备;
  ★一台CTP常常用作边界防御设备;
  ★一台应用代理用来减轻CGF上的日志过载,以及监控和记录其他类型的流量。

阅读原文内容投诉

免责声明:

① 本站未注明“稿件来源”的信息均来自网络整理。其文字、图片和音视频稿件的所属权归原作者所有。本站收集整理出于非商业性的教育和科研之目的,并不意味着本站赞同其观点或证实其内容的真实性。仅作为临时的测试数据,供内部测试之用。本站并未授权任何人以任何方式主动获取本站任何信息。

② 本站未注明“稿件来源”的临时测试数据将在测试完成后最终做删除处理。有问题或投稿请发送至: 邮箱/279061341@qq.com QQ/279061341

软考中级精品资料免费领

  • 历年真题答案解析
  • 备考技巧名师总结
  • 高频考点精准押题
  • 2024年上半年信息系统项目管理师第二批次真题及答案解析(完整版)

    难度     813人已做
    查看
  • 【考后总结】2024年5月26日信息系统项目管理师第2批次考情分析

    难度     354人已做
    查看
  • 【考后总结】2024年5月25日信息系统项目管理师第1批次考情分析

    难度     318人已做
    查看
  • 2024年上半年软考高项第一、二批次真题考点汇总(完整版)

    难度     435人已做
    查看
  • 2024年上半年系统架构设计师考试综合知识真题

    难度     224人已做
    查看

相关文章

发现更多好内容

猜你喜欢

AI推送时光机
位置:首页-资讯-考试认证-考试信息-考试报考
咦!没有更多了?去看看其它编程学习网 内容吧
首页课程
资料下载
问答资讯