代理防火墻原理

壹、當前防火墻技術分類防火墻技術經歷了包過濾、應用代理網關、再到狀態檢測三個階段。1.1包過濾技術包過濾防火墻工作在網絡層，具有識別和控制數據包來源和目的IP的功能。對於傳輸層，只能識別數據包是TCP還是UDP以及使用的端口信息，如下圖所示。今天的路由器、交換路由器和壹些操作系統已經具備了用包過濾進行控制的能力。由於只分析數據包的IP地址、TCP/UDP協議和端口，包過濾防火墻的處理速度更快，且易於配置。包過濾防火墻有壹個根本缺陷:1。它不能防止黑客攻擊。包過濾防火墻的工作是建立在網絡管理者知道哪些IP地址是可信網絡，哪些是不可信網絡的前提下的。然而，隨著遠程辦公等新應用的出現，網絡管理員無法區分可信網絡和不可信網絡。對於黑客來說，通過把源IP包改成合法的IP，就可以輕松穿過包過濾防火墻進入內網，任何初級黑客都可以騙過IP地址。2.不支持應用層協議。如果內網用戶提出這樣的需求，只允許內網員工訪問外網的網頁(使用HTTP協議)，不允許外網下載電影(壹般使用FTP協議)。包過濾防火墻因為不知道數據包中的應用層協議，訪問控制的粒度太粗，什麽都做不了。3.無法應對新的安全威脅。它無法跟蹤TCP狀態，所以TCP層的控制存在漏洞。例如，當它被配置為只允許從內向外的TCP訪問時，從外部以TCP響應包的形式對內部網的壹些攻擊仍然可以穿透防火墻。綜上所述，包過濾防火墻的技術技能太過初級，就像壹個保安只能根據壹個訪客來自哪個省市來判斷是否允許他進入，很難履行保護內網安全的職責。1.2代理網關技術和代理網關防火墻完全切斷了內網和外網的直接通信，內網用戶訪問外網變成了防火墻訪問外網，再由防火墻轉發給內網用戶。所有通信都必須由應用層代理軟件轉發。訪問者在任何時候都不能與服務器建立直接的TCP連接，應用層的協議會話過程必須滿足代理的安全策略要求。應用代理網關的優點是可以檢查應用層、傳輸層和網絡層的協議特征，對數據包的檢測能力很強。缺點也很突出，主要表現為:難以配置。因為每個應用都需要壹個單獨的代理進程，這就要求網絡管理員能夠了解每個應用協議的弱點，合理配置安全策略。由於配置復雜，難以理解，很容易出現配置錯誤，最終影響內網的安全防範能力。處理速度非常慢。理論上，由防火墻斷開所有連接並重新建立連接，可以使應用代理防火墻具有極高的安全性。但在實際應用中並不可行，因為對於內網的每壹個Web訪問請求，應用代理都需要打開壹個單獨的代理進程。保護內部網的Web服務器、數據庫服務器、文件服務器、郵件服務器、業務程序等。，有必要建立壹個服務代理來處理客戶端訪問請求。這樣應用代理的處理延遲會很大，內網用戶的正常Web訪問無法得到及時響應。總之，應用代理防火墻無法支持大規模並發連接，用在速度敏感的行業就是災難。此外，防火墻核心要求預先構建壹些已知應用的代理，這使得壹些新的應用被無情地阻擋在代理防火墻中，無法很好地支持新的應用。在IT領域，新應用、新技術、新協議層出不窮，代理防火墻很難適應這種情況。因此，在壹些重要領域和行業的核心業務應用中，代理防火墻逐漸被異化。然而，自適應代理技術的出現為代理防火墻技術的應用帶來了新的契機，它將代理防火墻的安全性與包過濾和防火結合起來。