学员中心登录
IT猎户网
IT就业网
博睿云
IT易学网
营运协同系统
联系我们
18922156670
English
集团站
切换校区
广州
深圳
全部课程
软件开发
Java
Java高级软件工程师
UI设计
UI高级设计师
HTML5
HTML5高级前端工程师
大数据
大数据高级软件工程师
华为认证
HCIA
Datacom
/
Security
/
Storage
/
Big-Data
/
Cloud
/
DC
/
UC
/
R&S
/
WLAN
/
Transmission
/
AI
/
IOT
/
GaussDB
/
Kunpeng
HCIP
Datacom
/
R&S
/
Security
/
Storage
/
Big-Data
/
Cloud
/
DC
/
UC
/
WLAN
/
Transmission
/
IOT
AI
HCIE
Datacom
/
R&S
/
Security
/
Storage
/
Big-Data
/
Cloud
/
DC
/
UC
/
WlAN
/
Transmission
思科认证
CCNA
R&S
/
Security
/
SP
/
DC
/
Collaboration
/
Enterprise
/
Cloud
CCNP
R&S
/
Security
/
SP
/
DC
/
Collaboration
/
Enterprise
/
Cloud
CCIE
R&S
/
Security
/
SP
/
DC
/
Collaboration
/
Wireless
微软认证
MTA
IT Fundamentals
/
Database Fundamentals
/
Development Fundamentals
MCSA
Windows Server(服务器)
/
SQL Server(数据库)
MCSE
Windows Server(服务器)
/
SQL Server(数据库)
数据认证
Oracle(甲骨文)
OCA
OCA 12C甲骨文认证专员
OCA 11g甲骨文认证专员
OCP
OCP 19C甲骨文认证专家
OCP 12C甲骨文认证专家
OCP 11g甲骨文认证专家
OCM
OCM 12C甲骨文认证大师
OCM 11g甲骨文认证大师
MySQL
MySQL技能班
MySQL精英强化班
红帽认证
RHCSA
RHCSA 8.0 红帽认证系统管理员
RHCSA 7.0 红帽认证系统管理员
RHCE
RHCE 8.0 红帽认证工程师
RHCE 7.0 红帽认证工程师
RHCA
红帽认证云计算工程师
OpenStack
OpenStack认证工程师
RHCVA
红帽认证虚拟化工程师
Docker
Ansible
Cloudera
Apache Hadoop管理员
Apache HBase
Spark及Hadoop开发员
数据分析师:Pig、Hive和Impala
Cloudera检索培训
Spark和Hadoop上的数据科学
其他课程
VMware
Python系统运维
Python网络运维
CompTIA
ITIL
CISSP
AIX
F5
Citrix
Bigdata
PMP
阿里云ACA
阿里云ACP
渗透入侵与信息安全
首页
优选课程
华为认证
红帽认证
甲骨文认证
JAVA认证
UI认证
HTML5认证
python认证
思科认证
职业技能等级证书
红帽培训订阅
高校合作
合作理念
合作院校
合作形式
案例分析
企业定制
服务理念
服务内容
服务特色
服务流程
案例汇集
合作名企
考试中心
热门认证考试
预约考试
官方授权考试服务
考场环境
考试流程
考试资讯
学习资源
学习文章
学习视频
关于我们
企业介绍
企业文化
企业环境
密码登录
验证码登录
获取验证码
验证码已发送,请查收短信
微信
电话
复制成功
微信号:
togogoi
添加微信好友, 详细了解课程
已复制成功,如果自动跳转微信失败,请前往微信添加好友
打开微信
新闻资讯
腾科动态
腾科新闻
业界新闻
考试资讯
业界新闻
当前位置:
首页
> >
业界新闻
> >
什么是代理防火墙
发布时间:
2022-05-25 14:45:42
什么是代理防火墙
?在防火墙的设计中引入“代理”的概念是革命性的。“代理”完全“阻隔”了网络通信流,使得从内部网络发出的数据包经过代理技术处理后,就好像是源于防火墙外部网卡一样,从而可以达到隐藏内部网络结构的作用。以代理技术为基础的防火墙分为应用层代理防火墙和电路层代理防火墙两种。
(1)应用层代理
应用层代理防火墙,又称为应用层网关(Application Level Gateway)工作在OSI的最高层——应用层。它通过代理技术参与到一个TCP连接的全过程,其特点是完全“阻隔”了网络通信流,通过对每种应用服务编制专门的代理程序,实现监视和控制应用层通信流的作用,在用户层和应用协议层间提供访问控制。
当客户端提出一个请求时,代理程序将核实请求,处理连接请求,并将处理后的请求传递出去,然后接受应答并做处理,最后将处理结果提交给发出请求的客户端。代理程序在外部网络和内部网络通信中起着中间转接的作用。图1示意了应用层代理防火墙的工作原理。
图1 应用层代理防火墙示意图
应用层代理服务器针对不同的网络应用提供不同的处理,譬如HTTP代理、FTP代理、SMTP代理、POP3代理等。它提供双重服务功能,一是为内部网络提供了一个保护层,二是通过“缓存页面(Caching pages)”方法向客户提供对外部网络的访问。应用层代理的主要问题是速度慢,支持的并发连接数有限。为此,研究人员提出了各种改进方案。例如,TCP代理(TCP forwarder)是在TCP对(pair ofTCP connection)之间传递数据的网络节点,被广泛应用于防火墙中。
1998年,美国网络联盟公司(Networks Associates)提出了自适应代理(Adaptive Proxy)的概念,并在其产品Gauntlet Firewall for NT中得以实现。以自适应代理技术为基础的自适应代理防火墙,综合了包过滤型和应用代理型防火墙的优点,其安全性能和应用代理型防火墙很接近,而速度却比状态检测防火墙快。
自适应代理不仅能维护系统安全,还能够动态“适应”传送中的分组流量。它允许用户根据具体需求,定义防火墙策略,以提高性能和效率,使“速度和安全”比处于最佳状态。自适应代理防火墙的初始安全检测依然在应用层中进行,一旦检测通过后(即:自适应代理明确了会话的所有细节),随后的数据包就直接在网络层上传送。自适应代理可以和安全脆弱性扫描器、病毒安全扫描器和入侵检测系统之间实现更加灵活的集成。作为自适应安全计划的一部分,自适应代理将允许经过正确验证的设备在安全传感器和扫描仪发现重要的网络威胁时,根据事先确定的安全策略,自动“适应”防火墙级别。
组成自适应代理防火墙的基本要素有两个:自适应代理服务器(Adaptive ProxyServer)和动态包过滤器(Dynamic Packet Filter)。在自适应代理服务器与动态包过滤器之间存在一个控制通道。自适应代理就可以根据用户的配置信息,决定是使用代理服务从应用层代理请求还是从网络层转发数据包。如果是后者,它将动态地通知包过滤器增减过滤规则,满足用户对速度和安全性的双重要求。
(2)电路层代理
电路层代理防火墙又称电路级网关(Circuit-Level Gateway),如图 6-3 所示,用来在两个通信的终点之间实现数据包的转换。它监视两个主机建立连接时的握手信息,从而判断该会话请求是否合法。显然,电路层代理防火墙将所有跨越防火墙的网络通信链路分成了两段。
图2 电路层代理防火墙示意图
SOCKS是一个客户/服务器环境的代理协议,被应用于实现电路级网关。SOCKS包括两个部件:SOCKS服务器和SOCKS客户端。SOCKS服务器在应用层实现,而SOCKS客户端的实现位于应用层和传输层之间。SOCKS协议的基本目的就是让SOCKS服务器两边的主机能够互相访问,而不需要直接的IP互联。当一个应用程序客户需要连接到一个应用服务器时,客户先连接到 SOCKS 代理服器,代理服务器代表客户连接到应用服务器,并在客户和应用服务器之间中继数据。对于应用服务器来说,代理服务器就是客户。
电路层代理防火墙仅监视两个主机建立连接时的握手信息,例如 Syn、Ack 和序列数据等是否合乎逻辑。虽然在电路层代理防火墙中,数据包也是被提交应用层处理的,但它只负责传递数据,而不进行数据过滤。因而不能削弱应用层攻击的威胁。
综上所述,代理防火墙的最突出的优点就是安全性较高。由于每一个内外网络之间的连接都要通过“代理”的介入和转换,没有给内外网络的主机以任何直接会话的机会,从而避免了入侵者使用数据驱动类型的攻击方式入侵内部网络。代理防火墙的较大缺点就是速度相对比较慢,支持的并发连接数有限。当用户对内外网络网关的吞吐量要求比较高时,代理防火墙很可能成为内外网络之间的瓶颈,代理防火墙还有一个比较明显的问题,就是必须为新的服务、新的网络协议和网络应用撰写专门的应用代理程序。
(3)网络地址转换
隐藏内部网络信息是防火墙的任务之一。网络地址转换技术(Network AddressTranslation,NAT)因此得到广泛地应用。它的工作原理是在内部网络中使用内部地址,通过NAT把内部地址转换成合法的公网IP地址在Internet上使用。当一个请求被送往防火墙时,NAT 将源地址字段替换为它自己的地址,当应答返回到 NAT时,再将目标地址字段替换为最初建立请求的客户的地址。
由于NAT仅仅修改过往的数据包头的个别信息,实现起来比较安全,对用户也基本上实现了透明服务。NAT 不仅能解决 IP 地址紧缺问题,而且能使得内外网络隔离,对某些网络攻击方式有一定的防护能力。例如,NAT可以让TCP SYN报文淹没(TCP SYN Flooding)这种常见的网络攻击方式失去作用。
您可能也喜欢:
华为HCIP是什么意思
ddr3和ddr4的区别
考了华为认证如何找工作
linux查看内存cpu
it培训机构哪个好
分享到:
QQ空间
新浪微博
腾讯微博
人人网
微信
更多
上一篇:
防火墙系统设计要素
下一篇:
什么是包过滤技术
相关课程推荐
华为认证
红帽认证
Oracle认证
思科认证
oracle认证ocp培训课程
oracle考试培训
红帽linux培训班
红帽rhcsa认证
华为hcie题库
十五年老品牌
微信咨询:togogoi
咨询电话:18922156670
咨询网站客服:
在线客服
点击QQ咨询
联系电话:18922156670
在线咨询
在线咨询
×
您好,请问有什么可以帮您?我们将竭诚提供最优质服务!
QQ咨询
下次再说