防火墻原理入門(mén)

　　2． 代理防火墻

　　第一代：代理防火墻

　　代理防火墻也叫應用層網(wǎng)關(guān)（Application Gateway）防火墻。這種防火墻通過(guò)一種代理（Proxy）技術(shù)參與到一個(gè)TCP連接的全過(guò)程。從內部發(fā)出的數據包經(jīng)過(guò)這樣的防火墻處理后，就好像是源于防火墻外部網(wǎng)卡一樣，從而可以達到隱藏內部網(wǎng)結構的作用。這種類(lèi)型的防火墻被網(wǎng)絡(luò )安全專(zhuān)家和媒體公認為是最安全的防火墻。它的核心技術(shù)就是代理服務(wù)器技術(shù)。

　　所謂代理服務(wù)器，是指代表客戶(hù)處理在服務(wù)器連接請求的程序。當代理服務(wù)器得到一個(gè)客戶(hù)的連接意圖時(shí)，它們將核實(shí)客戶(hù)請求，并經(jīng)過(guò)特定的安全化的Proxy應用程序處理連接請求，將處理后的請求傳遞到真實(shí)的服務(wù)器上，然后接受服務(wù)器應答，并做進(jìn)一步處理后，將答復交給發(fā)出請求的最終客戶(hù)。代理服務(wù)器在外部網(wǎng)絡(luò )向內部網(wǎng)絡(luò )申請服務(wù)時(shí)發(fā)揮了中間轉接的作用。

代理類(lèi)型防火墻的最突出的優(yōu)點(diǎn)就是安全。由于每一個(gè)內外網(wǎng)絡(luò )之間的連接都要通過(guò)Proxy的介入和轉換，通過(guò)專(zhuān)門(mén)為特定的服務(wù)如Http編寫(xiě)的安全化的應用程序進(jìn)行處理，然后由防火墻本身提交請求和應答，沒(méi)有給內外網(wǎng)絡(luò )的計算機以任何直接會(huì )話(huà)的機會(huì )，從而避免了入侵者使用數據驅動(dòng)類(lèi)型的攻擊方式入侵內部網(wǎng)。包過(guò)濾類(lèi)型的防火墻是很難徹底避免這一漏洞的。就像你要向一個(gè)陌生的重要人物遞交一份聲明一樣，如果你先將這份聲明交給你的律師，然后律師就會(huì )審查你的聲明，確認沒(méi)有什么負面的影響后才由他交給那個(gè)陌生人。在此期間，陌生人對你的存在一無(wú)所知，如果要對你進(jìn)行侵犯，他面對的將是你的律師，而你的律師當然比你更加清楚該如何對付這種人。

　圖3 傳統代理型防火墻

　　代理防火墻的最大缺點(diǎn)就是速度相對比較慢，當用戶(hù)對內外網(wǎng)絡(luò )網(wǎng)關(guān)的吞吐量要求比較高時(shí)，（比如要求達到75-100Mbps時(shí)）代理防火墻就會(huì )成為內外網(wǎng)絡(luò )之間的瓶頸。所幸的是，目前用戶(hù)接入Internet的速度一般都遠低于這個(gè)數字。在現實(shí)環(huán)境中，要考慮使用包過(guò)濾類(lèi)型防火墻來(lái)滿(mǎn)足速度要求的情況，大部分是高速網(wǎng)（ATM或千兆位以太網(wǎng)等）之間的防火墻。

　　第二代：自適應代理防火墻

　　自適應代理技術(shù)（Adaptive proxy）是最近在商業(yè)應用防火墻中實(shí)現的一種革命性的技術(shù)。它可以結合代理類(lèi)型防火墻的安全性和包過(guò)濾防火墻的高速度等優(yōu)點(diǎn)，在毫不損失安全性的基礎之上將代理型防火墻的性能提高10倍以上。組成這種類(lèi)型防火墻的基本要素有兩個(gè)：自適應代理服務(wù)器（Adaptive Proxy Server）與動(dòng)態(tài)包過(guò)濾器（Dynamic Packet filter）。

　　圖4 自適應代理防火墻

在自適應代理與動(dòng)態(tài)包過(guò)濾器之間存在一個(gè)控制通道。在對防火墻進(jìn)行配置時(shí)，用戶(hù)僅僅將所需要的服務(wù)類(lèi)型、安全級別等信息通過(guò)相應Proxy的管理界面進(jìn)行設置就可以了。然后，自適應代理就可以根據用戶(hù)的配置信息，決定是使用代理服務(wù)從應用層代理請求還是從網(wǎng)絡(luò )層轉發(fā)包。如果是后者，它將動(dòng)態(tài)地通知包過(guò)濾器增減過(guò)濾規則，滿(mǎn)足用戶(hù)對速度和安全性的雙重要求。

小資料

　　防火墻的發(fā)展史

　　第一代防火墻

　　第一代防火墻技術(shù)幾乎與路由器同時(shí)出現，采用了包過(guò)濾（Packet filter）技術(shù)。下圖表示了防火墻技術(shù)的簡(jiǎn)單發(fā)展歷史。

　　第二、三代防火墻

　　1989年，貝爾實(shí)驗室的Dave Presotto和Howard Trickey推出了第二代防火墻，即電路層防火墻，同時(shí)提出了第三代防火墻——應用層防火墻（代理防火墻）的初步結構。

　　第四代防火墻

　　1992年，USC信息科學(xué)院的BobBraden開(kāi)發(fā)出了基于動(dòng)態(tài)包過(guò)濾（Dynamic packet filter）技術(shù)的第四代防火墻，后來(lái)演變?yōu)槟壳八f(shuō)的狀態(tài)監視（Stateful inspection）技術(shù)。1994年，以色列的CheckPoint公司開(kāi)發(fā)出了第一個(gè)采用這種技術(shù)的商業(yè)化的產(chǎn)品。

　　第五代防火墻

　　1998年，NAI公司推出了一種自適應代理（Adaptive proxy）技術(shù)，并在其產(chǎn)品Gauntlet Firewall for NT中得以實(shí)現，給代理類(lèi)型的防火墻賦予了全新的意義，可以稱(chēng)之為第五代防火墻。