代理技術(shù)與包過(guò)濾技術(shù)完全不同,包過(guò)濾技術(shù)是在網(wǎng)絡(luò )層攔截所有的信息流,代理技術(shù)是針對每一個(gè)特定應剛都有—一個(gè)程序。代理是企圖在應用層實(shí)現防火墻的功能,代理的主要特點(diǎn)是有狀態(tài)性。代理能提供部分與傳輸方面的信息,代理也能處理利管理信息。通過(guò)代理使得網(wǎng)絡(luò )管理員實(shí)現比包過(guò)濾路由器更嚴格的安全策略。
代理的概念對于防火墻應剛是非常重要的,因為代理把網(wǎng)絡(luò )IP地址替換成其它的暫時(shí)的地址。這種執行對于互聯(lián)網(wǎng)來(lái)說(shuō)有效地隱藏了真正的網(wǎng)絡(luò )IP地址,因此保護了整個(gè)網(wǎng)絡(luò )。
代理行幾個(gè)用處,由于是當黑客開(kāi)始活動(dòng)的時(shí)候。見(jiàn)左圖黑客所做的第一件事就是偵查你的網(wǎng)絡(luò )上的弱點(diǎn)。通常都是利用端口掃描。為了防止這第一步,你需要盡可能地隱蔽內部系統的配置信息暴露給潛在的攻擊者。代
理可以使你隱藏這些信息,并能提供有效的通信。
代理主要有三種基本類(lèi)型:WEB代理、電路級網(wǎng)關(guān),應用級網(wǎng)關(guān)。
WEB代理
WEB代理服務(wù)的最人好處就是能提高訪(fǎng)問(wèn)Internet的速度:一旦—個(gè)WEB代理服務(wù)器配置了足夠的緩存,它就可以從這些緩存里對請求提供服務(wù)。而WEB代理客戶(hù)端則可以得到很快速的響應。WEB代理第二個(gè)好處是WEB代理使客戶(hù)端無(wú)需正接連接Internet,所以遠離成為被攻擊的目標。
電路級網(wǎng)關(guān)
電路級網(wǎng)關(guān)用來(lái)監控受信任的客戶(hù)或服務(wù)器與不受信任的主機間的TCP握手信息,這樣來(lái)決定該會(huì )話(huà)(session)是否合法。我們知道,要使用TCP協(xié)議,首先必須通過(guò)三次握手建立TCP連接,然后才開(kāi)始發(fā)送數據。電路級網(wǎng)關(guān)通過(guò)在TCP握手過(guò)程中,檢查雙方的SYN、ACK和序列數據是否合理邏輯,來(lái)判斷該請求的會(huì )話(huà)是否合法。一旦該網(wǎng)關(guān)認為會(huì )話(huà)是合法的,就會(huì )為雙方建立連接,自此,網(wǎng)關(guān)僅復制、傳遞數據,而不進(jìn)行過(guò)濾。電路級網(wǎng)關(guān)通常需要依靠特殊的應用程序來(lái)進(jìn)行復制傳遞數據的服務(wù)。實(shí)際上,電路級網(wǎng)關(guān)并非作為一個(gè)獨立的產(chǎn)品存在,它與其他的應用級網(wǎng)關(guān)結合在一起,所以有人也把電路級網(wǎng)關(guān)門(mén)為應用級網(wǎng)關(guān)。電路級網(wǎng)關(guān)是在OSI模型中會(huì )話(huà)層上來(lái)過(guò)濾數據包。也因為如此,它就無(wú)法檢查應用層級的數據包。最流行的電路級網(wǎng)關(guān)是IBM發(fā)明的SOCKS網(wǎng)關(guān)。很多產(chǎn)品,包括微軟的Microsfot ProxyServer就支持SOCKS。
優(yōu)點(diǎn)和缺點(diǎn)
電路級網(wǎng)關(guān)的主要優(yōu)點(diǎn)就是提供NAT,在使用內部網(wǎng)絡(luò )地址機制時(shí)為網(wǎng)絡(luò )管理員實(shí)現安全提供了很大的靈活性。電路級網(wǎng)關(guān)是基于和包過(guò)濾防火墻一樣的規則。電路級網(wǎng)關(guān)提供包過(guò)濾提供的所有優(yōu)點(diǎn)但卻沒(méi)有包過(guò)濾的缺點(diǎn)。
缺點(diǎn)為不能很好地區別好包與壞包、易受IP欺騙這類(lèi)的攻擊及復雜性這些都是電路級網(wǎng)關(guān)的弱點(diǎn)。電路級網(wǎng)關(guān)又一個(gè)主要的缺點(diǎn)是需要修改應用程序和執行程序。還有電路級網(wǎng)關(guān)要求終端用戶(hù)通過(guò)網(wǎng)關(guān)的認證。