学员中心登录
IT猎户网
IT就业网
博睿云
IT易学网
营运协同系统
联系我们
18922156670
English
集团站
切换校区
广州
深圳
全部课程
网络技术
华为
HCIA-Datacom
HCIP-Datacom
HCIE-Datacom
思科
CCNA-EI
CCNP-EI
CCIE-EI
系统运维
华为
HCIA-openEuler
HCIP-openEuler
HCIE-openEuler
红帽
RHCSA
RHCE
RHCA
麒麟
KYCA
KYCP
Kubernetes
CKA
CKS
Datacom
/
Security
/
Storage
/
Big-Data
/
Cloud
/
DC
/
UC
/
R&S
/
WLAN
/
Transmission
/
AI
/
IOT
/
GaussDB
/
Kunpeng
HCIP
Datacom
/
R&S
/
Security
/
Storage
/
Big-Data
/
Cloud
/
DC
/
UC
/
WLAN
/
Transmission
/
IOT
AI
HCIE
Datacom
/
R&S
/
Security
/
Storage
/
Big-Data
/
Cloud
/
DC
/
UC
/
WlAN
/
Transmission
数据库
华为
HCIA-openGauss
HCIP-openGauss
HCIE-openGauss
Oracle
OCP
OCM
MySQL
PostgreSQL
PGCA
PGCE
PGCM
TIDB
PCTA
PCTP
人大金仓
KCA
KCP
KCM
云计算
华为
HCIA
Cloud
/
Cloud Service
HCIP
Cloud
/
Cloud Service
HCIE
Cloud
/
Cloud Service
阿里云
ACA
ACP
ACE
腾讯云
TCCA
TCCP
TCCE
亚马逊云
SAA
SAP
安全
华为
HCIA-Security
HCIP-Security
HCIE-Security
CISP
CISP
CISP-PTE
CISP-DSG
CISSP
大数据
华为
HCIA-BigData
HCIP-BigData
HCIE-BigData
人工智能
华为
HCIA-AI
HCIP-AI
项目管理
PMP
ITIL
ITSS
软件开发
鸿蒙
鸿蒙OS移动应用开发
Java
Java高级软件工程师
HTML5
HTML5高级前端工程师
其他
VMware
VCP
技能等级证书
首页
优选课程
华为认证
红帽认证
甲骨文认证
JAVA认证
UI认证
HTML5认证
python认证
思科认证
职业技能等级证书
红帽培训订阅
高校合作
合作理念
合作院校
合作形式
案例分析
企业定制
服务理念
服务内容
服务特色
服务流程
案例汇集
合作名企
考试中心
热门认证考试
预约考试
官方授权考试服务
考场环境
考试流程
考试资讯
学习资源
学习文章
学习视频
关于我们
企业介绍
企业文化
企业环境
密码登录
验证码登录
获取验证码
验证码已发送,请查收短信
微信
电话
复制成功
微信号:
togogoi
添加微信好友, 详细了解课程
已复制成功,如果自动跳转微信失败,请前往微信添加好友
打开微信
新闻资讯
腾科动态
腾科新闻
业界新闻
考试资讯
业界新闻
当前位置:
首页
> >
业界新闻
> >
什么是代理防火墙
发布时间:
2022-05-25 14:45:42
什么是代理防火墙
?在防火墙的设计中引入“代理”的概念是革命性的。“代理”完全“阻隔”了网络通信流,使得从内部网络发出的数据包经过代理技术处理后,就好像是源于防火墙外部网卡一样,从而可以达到隐藏内部网络结构的作用。以代理技术为基础的防火墙分为应用层代理防火墙和电路层代理防火墙两种。
(1)应用层代理
应用层代理防火墙,又称为应用层网关(Application Level Gateway)工作在OSI的最高层——应用层。它通过代理技术参与到一个TCP连接的全过程,其特点是完全“阻隔”了网络通信流,通过对每种应用服务编制专门的代理程序,实现监视和控制应用层通信流的作用,在用户层和应用协议层间提供访问控制。
当客户端提出一个请求时,代理程序将核实请求,处理连接请求,并将处理后的请求传递出去,然后接受应答并做处理,最后将处理结果提交给发出请求的客户端。代理程序在外部网络和内部网络通信中起着中间转接的作用。图1示意了应用层代理防火墙的工作原理。
图1 应用层代理防火墙示意图
应用层代理服务器针对不同的网络应用提供不同的处理,譬如HTTP代理、FTP代理、SMTP代理、POP3代理等。它提供双重服务功能,一是为内部网络提供了一个保护层,二是通过“缓存页面(Caching pages)”方法向客户提供对外部网络的访问。应用层代理的主要问题是速度慢,支持的并发连接数有限。为此,研究人员提出了各种改进方案。例如,TCP代理(TCP forwarder)是在TCP对(pair ofTCP connection)之间传递数据的网络节点,被广泛应用于防火墙中。
1998年,美国网络联盟公司(Networks Associates)提出了自适应代理(Adaptive Proxy)的概念,并在其产品Gauntlet Firewall for NT中得以实现。以自适应代理技术为基础的自适应代理防火墙,综合了包过滤型和应用代理型防火墙的优点,其安全性能和应用代理型防火墙很接近,而速度却比状态检测防火墙快。
自适应代理不仅能维护系统安全,还能够动态“适应”传送中的分组流量。它允许用户根据具体需求,定义防火墙策略,以提高性能和效率,使“速度和安全”比处于最佳状态。自适应代理防火墙的初始安全检测依然在应用层中进行,一旦检测通过后(即:自适应代理明确了会话的所有细节),随后的数据包就直接在网络层上传送。自适应代理可以和安全脆弱性扫描器、病毒安全扫描器和入侵检测系统之间实现更加灵活的集成。作为自适应安全计划的一部分,自适应代理将允许经过正确验证的设备在安全传感器和扫描仪发现重要的网络威胁时,根据事先确定的安全策略,自动“适应”防火墙级别。
组成自适应代理防火墙的基本要素有两个:自适应代理服务器(Adaptive ProxyServer)和动态包过滤器(Dynamic Packet Filter)。在自适应代理服务器与动态包过滤器之间存在一个控制通道。自适应代理就可以根据用户的配置信息,决定是使用代理服务从应用层代理请求还是从网络层转发数据包。如果是后者,它将动态地通知包过滤器增减过滤规则,满足用户对速度和安全性的双重要求。
(2)电路层代理
电路层代理防火墙又称电路级网关(Circuit-Level Gateway),如图 6-3 所示,用来在两个通信的终点之间实现数据包的转换。它监视两个主机建立连接时的握手信息,从而判断该会话请求是否合法。显然,电路层代理防火墙将所有跨越防火墙的网络通信链路分成了两段。
图2 电路层代理防火墙示意图
SOCKS是一个客户/服务器环境的代理协议,被应用于实现电路级网关。SOCKS包括两个部件:SOCKS服务器和SOCKS客户端。SOCKS服务器在应用层实现,而SOCKS客户端的实现位于应用层和传输层之间。SOCKS协议的基本目的就是让SOCKS服务器两边的主机能够互相访问,而不需要直接的IP互联。当一个应用程序客户需要连接到一个应用服务器时,客户先连接到 SOCKS 代理服器,代理服务器代表客户连接到应用服务器,并在客户和应用服务器之间中继数据。对于应用服务器来说,代理服务器就是客户。
电路层代理防火墙仅监视两个主机建立连接时的握手信息,例如 Syn、Ack 和序列数据等是否合乎逻辑。虽然在电路层代理防火墙中,数据包也是被提交应用层处理的,但它只负责传递数据,而不进行数据过滤。因而不能削弱应用层攻击的威胁。
综上所述,代理防火墙的最突出的优点就是安全性较高。由于每一个内外网络之间的连接都要通过“代理”的介入和转换,没有给内外网络的主机以任何直接会话的机会,从而避免了入侵者使用数据驱动类型的攻击方式入侵内部网络。代理防火墙的较大缺点就是速度相对比较慢,支持的并发连接数有限。当用户对内外网络网关的吞吐量要求比较高时,代理防火墙很可能成为内外网络之间的瓶颈,代理防火墙还有一个比较明显的问题,就是必须为新的服务、新的网络协议和网络应用撰写专门的应用代理程序。
(3)网络地址转换
隐藏内部网络信息是防火墙的任务之一。网络地址转换技术(Network AddressTranslation,NAT)因此得到广泛地应用。它的工作原理是在内部网络中使用内部地址,通过NAT把内部地址转换成合法的公网IP地址在Internet上使用。当一个请求被送往防火墙时,NAT 将源地址字段替换为它自己的地址,当应答返回到 NAT时,再将目标地址字段替换为最初建立请求的客户的地址。
由于NAT仅仅修改过往的数据包头的个别信息,实现起来比较安全,对用户也基本上实现了透明服务。NAT 不仅能解决 IP 地址紧缺问题,而且能使得内外网络隔离,对某些网络攻击方式有一定的防护能力。例如,NAT可以让TCP SYN报文淹没(TCP SYN Flooding)这种常见的网络攻击方式失去作用。
您可能也喜欢:
一篇说全!红帽认证架构师RHCA考试介绍
华为欧拉认证考试一览_HCIA_HCIP_HCIE
腾科THIFF总赛季盟约大会圆满闭幕
校企携手结硕果,创新育人谱新篇 —— 腾科与合作院校喜获2024年广东省计算机学会 教育教学成果一等奖
红帽考试从报名到拿证一篇搞定!
分享到:
QQ空间
新浪微博
腾讯微博
人人网
微信
更多
上一篇:
防火墙系统设计要素
下一篇:
什么是包过滤技术
相关课程推荐
华为认证
红帽认证
Oracle认证
思科认证
oracle认证ocp培训课程
oracle考试培训
红帽linux培训班
红帽rhcsa认证
华为hcie题库
十八年老品牌
微信咨询:gz_togogo
咨询电话:18922156670
咨询网站客服:
在线客服
点击QQ咨询
电话18922156670
在线咨询
在线咨询
×
您好,请问有什么可以帮您?我们将竭诚提供最优质服务!
QQ咨询
下次再说