计算机网络与信息安全：应用代理防火墙优劣

2023-10-18 理论教育版权反馈

【摘要】：（二）应用代理防火墙的优缺点1.应用代理防火墙的优点应用代理易于配置因为代理是一个软件，所以比过滤路由器容易配置。（三）应用代理防火墙的分类代理服务器工作在应用层，针对不同的应用协议，需要建立不同的服务代理。

在实际应用中，一些特殊的报文攻击仅仅使用包过滤的方法并不能消除危害，因此需要一种更全面的防火墙保护技术，于是，采用“应用代理”（Application Proxy）技术的防火墙诞生了。

代理服务器（Proxy Server）是指代表内网用户向外网服务器进行连接请求的服务程序。代理服务器运行在两个网络之间，它对于客户机来说像是一台真正的服务器，而对于外网的服务器来说，它又是一台客户机。

代理服务器的基本工作过程是，当客户机需要使用外网服务器上的数据时，首先将请求发给代理服务器，代理服务器再根据这一请求向服务器索取数据，然后再由代理服务器将数据传输给客户机。

也就是说，代理服务器通常运行在两个网络之间，是客户机和真实服务器之间的中介，代理服务器彻底隔断内部网络与外部网络的“直接”通信，内部网络的客户机对外部网络的服务器的访问，变成了代理服务器对外部网络的服务器的访问，然后由代理服务器转发给内部网络的客户机。代理服务器对内部网络的客户机来说像是一台服务器，而对于外部网络的服务器来说，又像是一台客户机。

如果在一台代理设备的服务器端和客户端之间连接一个过滤措施，就成了“应用代理”防火墙，这种防火墙实际上就是一台小型的带有数据“检测、过滤”功能的透明代理服务器（Transparent Proxy），但是并不是单纯地在一个代理设备中嵌入包过滤技术，而是一种被称为“应用协议分析”（Application Protocol Analysis）的技术。所以也经常把代理防火墙称为代理服务器、应用网关（Application Gateway），工作在应用层，适用于某些特定的服务，如HTTP、FIP等。其工作原理如图7-3所示。

pagenumber_ebook=144,pagenumber_book=138

图7-3　代理防火墙的工作原理

代理防火墙体现的是另一种风格的防火墙设计。它没有使用通用的安全机制和安全规则描述，而是具有很强的针对性和专用性，可以对特定的应用服务在内部网络内外的使用实施有效控制。通过代理防火墙，内部网络中的用户名被防火墙中的名字取代，增加了攻击者寻找攻击对象的难度。而且，由于应用级代理，可以对过去操作进行检查和控制，禁止了不安全的行为，日志、记录也更加简洁有用。此外，代理防火墙不仅提供报文过滤，还可以对传输时间、带宽等进行控制，因此从应用的角度来看更安全、更有效。

（二）应用代理防火墙的优缺点

1.应用代理防火墙的优点

（1）应用代理易于配置

因为代理是一个软件，所以比过滤路由器容易配置。如果代理实现得好，可以对配置协议要求较低，从而避免了配置错误。

（2）应用代理能生成各项记录

因代理在应用层检查各项数据，所以可以按一定准则，让代理生成各项日志、记录。这些日志、记录对于流量分析、安全检验是十分重要和宝贵的。

（3）应用代理能灵活、完全地控制进出信息

通过采取一定的措施，按照一定的规则，可以借助代理实现一整套的安全策略，控制进出信息。

（4）应用代理能过滤数据内容

可以把一些过滤规则应用于代理，让它在应用层实现过滤功能。

（5）代理能为用户提供透明的加密机制

代理能够完成加解密的功能，从而确保数据的机密性，这点在虚拟专用网中特别重要。

（6）代理可以方便地与其他安全手段集成

目前的安全问题解决方案很多，如认证（authentication）、授权（authorization）、账号（accounting）、数据加密、安全协议（SSL）等。如果将代理与这些手段联合使用，将大大增加网络安全性。(www.chuimin.cn)

2.应用代理防火墙的缺点

代理防火墙技术具有以下缺点。

（1）代理速度较路由器慢

路由器只是简单检查TCP/IP报头特定的几个域，不做详细分析、记录。而代理工作于应用层，要检查数据包的内容，按特定的应用协议（如HTTP）审查、扫描数据包内容，进行代理（转发请求或响应），速度较慢。

（2）代理对用户不透明

许多代理要求用户安装特定客户端软件，这给用户增加了不透明度。安装和配置特定的应用程序既耗费时间，又容易出错。

（3）对于每项服务，应用代理可能要求不同的服务器

因此可能需要为每项协议设置一个不同的代理服务器，挑选、安装和配置所有这些不同的服务器是一项繁重的工作。

（4）应用代理服务通常要求对客户或过程进行限制

除了一些为代理而设置的服务外，代理服务器要求对客户或过程进行限制，每一种限制都有不足之处，人们无法按他们自己的步骤工作。由于这些限制，代理应用就不能像非代理应用那样灵活运用。

（5）应用代理服务受协议弱点的限制

每个应用层协议，都或多或少存在一些安全隐患，对于一个代理服务器来说，要彻底避免这些安全隐患几乎是不可能的，除非关掉这些服务。

（三）应用代理防火墙的分类

代理服务器工作在应用层，针对不同的应用协议，需要建立不同的服务代理。按代理服务器的用途分类如下。

1.HTTP代理

目前各种园区网络都大量地使用代理服务器（proxy），而且各种HTTP客户程序都透明地支持代理方案。使用代理的另一个好处是，代理服务器能够将获得的信息进行缓存，从而改善客户的执行效率，并降低网络带宽的使用。

2.POP代理

POP对于代理系统来说是很简单的，因为它采用单个连接。但由于POP协议及其实现的缺陷，最好不要允许用户经Internet来传输内部网络站点上的邮件，除非不用输入口令就能完成连接，并且不关心邮件的保密问题或者另有加密措施。另外，如果有的用户用POP从其他站点下载邮件，最好也限制从特定站点来的连接或使其连接到内部网络的特定主机。

3.Telnet代理

Telnet是网络中最常用的服务之一，也是最危险的服务之一，尤其是外部网络向内部网络的远程登录。目前几乎所有的商用代理软件包都包含了Telnet代理，使用改进过的登录进程对外来的Telnet呼叫进行鉴别，然后再将其转到目标主机，如果需要通过Telnet传输保密信息，可以考虑使用Telnet的加密版本。

还有，FTP代理：代理客户机上的FTP软件访问FTP服务器，端口一般为21、2121。SSL代理：支持最高128位加密强度的HTTP代理，可以作为访问加密网站的代理。加密网站是指以https：//开始的网站。SSL的标准端口为443。HTTP CONNECT代理：允许用户建立TCP连接到任何端口的代理服务器，这种代理不仅可用于HTTP，还包括FTP、IRC、RM流服务等。Socks代理：全能代理，支持多种协议，包括HTTP、FTP请求及其他类型的请求，标准端口为1080等。

除了上述常用的代理，还有各种各样的应用代理：文献代理、教育网代理、跳板代理、Ssso代理、Flat代理、SoftE代理等。

计算机网络与信息安全：应用代理防火墙优劣

相关推荐