防火墻原理入門
2. 代理防火墻
第一代:代理防火墻
代理防火墻也叫應(yīng)用層網(wǎng)關(guān)(Application Gateway)防火墻。這種防火墻通過一種代理(Proxy)技術(shù)參與到一個TCP連接的全過程。從內(nèi)部發(fā)出的數(shù)據(jù)包經(jīng)過這樣的防火墻處理后,就好像是源于防火墻外部網(wǎng)卡一樣,從而可以達(dá)到隱藏內(nèi)部網(wǎng)結(jié)構(gòu)的作用。這種類型的防火墻被網(wǎng)絡(luò)安全專家和媒體公認(rèn)為是最安全的防火墻。它的核心技術(shù)就是代理服務(wù)器技術(shù)。
所謂代理服務(wù)器,是指代表客戶處理在服務(wù)器連接請求的程序。當(dāng)代理服務(wù)器得到一個客戶的連接意圖時,它們將核實(shí)客戶請求,并經(jīng)過特定的安全化的Proxy應(yīng)用程序處理連接請求,將處理后的請求傳遞到真實(shí)的服務(wù)器上,然后接受服務(wù)器應(yīng)答,并做進(jìn)一步處理后,將答復(fù)交給發(fā)出請求的最終客戶。代理服務(wù)器在外部網(wǎng)絡(luò)向內(nèi)部網(wǎng)絡(luò)申請服務(wù)時發(fā)揮了中間轉(zhuǎn)接的作用。
代理類型防火墻的最突出的優(yōu)點(diǎn)就是安全。由于每一個內(nèi)外網(wǎng)絡(luò)之間的連接都要通過Proxy的介入和轉(zhuǎn)換,通過專門為特定的服務(wù)如Http編寫的安全化的應(yīng)用程序進(jìn)行處理,然后由防火墻本身提交請求和應(yīng)答,沒有給內(nèi)外網(wǎng)絡(luò)的計(jì)算機(jī)以任何直接會話的機(jī)會,從而避免了入侵者使用數(shù)據(jù)驅(qū)動類型的攻擊方式入侵內(nèi)部網(wǎng)。包過濾類型的防火墻是很難徹底避免這一漏洞的。就像你要向一個陌生的重要人物遞交一份聲明一樣,如果你先將這份聲明交給你的律師,然后律師就會審查你的聲明,確認(rèn)沒有什么負(fù)面的影響后才由他交給那個陌生人。在此期間,陌生人對你的存在一無所知,如果要對你進(jìn)行侵犯,他面對的將是你的律師,而你的律師當(dāng)然比你更加清楚該如何對付這種人。
圖3 傳統(tǒng)代理型防火墻
代理防火墻的最大缺點(diǎn)就是速度相對比較慢,當(dāng)用戶對內(nèi)外網(wǎng)絡(luò)網(wǎng)關(guān)的吞吐量要求比較高時,(比如要求達(dá)到75-100Mbps時)代理防火墻就會成為內(nèi)外網(wǎng)絡(luò)之間的瓶頸。所幸的是,目前用戶接入Internet的速度一般都遠(yuǎn)低于這個數(shù)字。在現(xiàn)實(shí)環(huán)境中,要考慮使用包過濾類型防火墻來滿足速度要求的情況,大部分是高速網(wǎng)(ATM或千兆位以太網(wǎng)等)之間的防火墻。
第二代:自適應(yīng)代理防火墻
自適應(yīng)代理技術(shù)(Adaptive proxy)是最近在商業(yè)應(yīng)用防火墻中實(shí)現(xiàn)的一種革命性的技術(shù)。它可以結(jié)合代理類型防火墻的安全性和包過濾防火墻的高速度等優(yōu)點(diǎn),在毫不損失安全性的基礎(chǔ)之上將代理型防火墻的性能提高10倍以上。組成這種類型防火墻的基本要素有兩個:自適應(yīng)代理服務(wù)器(Adaptive Proxy Server)與動態(tài)包過濾器(Dynamic Packet filter)。
圖4 自適應(yīng)代理防火墻
在自適應(yīng)代理與動態(tài)包過濾器之間存在一個控制通道。在對防火墻進(jìn)行配置時,用戶僅僅將所需要的服務(wù)類型、安全級別等信息通過相應(yīng)Proxy的管理界面進(jìn)行設(shè)置就可以了。然后,自適應(yīng)代理就可以根據(jù)用戶的配置信息,決定是使用代理服務(wù)從應(yīng)用層代理請求還是從網(wǎng)絡(luò)層轉(zhuǎn)發(fā)包。如果是后者,它將動態(tài)地通知包過濾器增減過濾規(guī)則,滿足用戶對速度和安全性的雙重要求。
小資料
防火墻的發(fā)展史
第一代防火墻
第一代防火墻技術(shù)幾乎與路由器同時出現(xiàn),采用了包過濾(Packet filter)技術(shù)。下圖表示了防火墻技術(shù)的簡單發(fā)展歷史。
第二、三代防火墻
1989年,貝爾實(shí)驗(yàn)室的Dave Presotto和Howard Trickey推出了第二代防火墻,即電路層防火墻,同時提出了第三代防火墻——應(yīng)用層防火墻(代理防火墻)的初步結(jié)構(gòu)。
第四代防火墻
1992年,USC信息科學(xué)院的BobBraden開發(fā)出了基于動態(tài)包過濾(Dynamic packet filter)技術(shù)的第四代防火墻,后來演變?yōu)槟壳八f的狀態(tài)監(jiān)視(Stateful inspection)技術(shù)。1994年,以色列的CheckPoint公司開發(fā)出了第一個采用這種技術(shù)的商業(yè)化的產(chǎn)品。
第五代防火墻
1998年,NAI公司推出了一種自適應(yīng)代理(Adaptive proxy)技術(shù),并在其產(chǎn)品Gauntlet Firewall for NT中得以實(shí)現(xiàn),給代理類型的防火墻賦予了全新的意義,可以稱之為第五代防火墻。
評論