代理防火墙

7.3.3　代理防火墙

代理防火墙（Proxy）是一种较新型的防火墙技术，它分为应用层网关和电路层网关。

1.代理防火墙的原理

所谓代理服务器，是指代表客户处理在服务器连接请求的程序。当代理服务器得到一个客户的连接意图时，它将核实客户请求，并用特定的安全化的Proxy应用程序来处理连接请求，将处理后的请求传递到真实的服务器上，然后接受服务器应答，并做进一步处理后，将答复交给发出请求的最终客户。代理服务器在外部网络向内部网络申请服务时发挥了中间转接和隔离内、外部网络的作用，所以叫代理防火墙。代理防火墙工作于应用层，且针对特定的应用层协议。代理防火墙通过编程来弄清用户应用层的流量，并能在用户层和应用协议层间提供访问控制；而且，还可用来保持一个所有应用程序使用的记录。记录和控制所有进出流量的能力是应用层网关的主要优点之一。代理防火墙的工作原理如图7-16所示。

图7-16　代理防火墙的工作原理

从图7-16中可以看出，代理服务器（Proxy Sever）作为内部网络客户端的服务器，拦截住所有要求，也向客户端转发响应。代理客户（Proxy Clint）负责代表内部客户端向外部服务器发出请求，当然也向代理服务器转发响应。

2.应用层网关型防火墙

（1）原理。应用层网关（Application Level Gateways）防火墙是传统代理型防火墙，它的核心技术就是代理服务器技术，它是基于软件的，通常安装在专用工作站系统上。这种防火墙通过代理技术参与到一个TCP连接的全过程，并在网络应用层上建立协议过滤和转发功能，所以叫做应用层网关。当某用户（不管是远程的还是本地的）想和一个运行代理的网络建立联系时，此代理（应用层网关）会阻塞这个连接，然后在过滤的同时，对数据包进行必要的分析、登记和统计，形成检查报告。如果此连接请求符合预定的安全策略或规则，代理防火墙便会在用户和服务器之间建立一个“桥”，从而保证其通讯。对不符合预定的安全规则的，则阻塞或抛弃。也就是说，“桥”上设置了很多控制点。

同时，应用层网关将内部用户的请求确认后送到外部服务器，再将外部服务器的响应回送给用户。这种技术对ISP很常见，它被用于在Web服务器上高速缓存信息，并且扮演Web客户和Web服务器之间的中介角色。它主要保存Internet上那些最常用和最近访问过的内容：在Web上，代理首先试图在本地寻找数据；如果没有，再到远程服务器上去查找。为用户提供了更快的访问速度，并且提高了网络安全性。

（2）优点。应用层网关防火墙最突出的优点就是安全，这种类型的防火墙被网络安全专家和媒体公认为是最安全的防火墙。由于每一个内外网络之间的连接都要通过Proxy的介入和转换，通过专门为特定的服务如HTTP编写的安全化的应用程序进行处理，然后由防火墙本身提交请求和应答，没有给内外网络的计算机以任何直接会话的机会，从而避免了入侵者使用数据驱动类型的攻击方式入侵内部网络。从内部发出的数据包经过这样的防火墙处理后，就好像是源于防火墙外部网卡一样，从而可以达到隐藏内部网结构的作用。包过滤类型的防火墙是很难彻底避免这一漏洞的。

应用层网关防火墙同时也是内部网与外部网的隔离点，起着监视和隔绝应用层通信流的作用，它工作在OSI模型的最高层，掌握着应用系统中可用作安全决策的全部信息。

（3）缺点。代理防火墙的最大缺点就是速度相对比较慢，当用户对内外网络网关的吞吐量要求比较高时，（比如要求达到75Mbps～100Mbps时）代理防火墙就会成为内外网络之间的瓶颈，所幸的是，目前用户接入Internet的速度一般都远低于这个数字。在现实环境中，要考虑使用包过滤类型防火墙来满足速度要求的情况，大部分是高速网（ATM或千兆位Intranet等）之间的防火墙。

3.电路层网关防火墙

另一种类型的代理技术称为电路层网关（Circuit Level Gateway）或TCP通道（TCP Tunnels）。在电路层网关中，包被提交给用户应用层处理。电路层网关用来在两个通信的终点之间转换包，如图7-17所示。

图7-17　电路层网关

电路层网关是建立应用层网关的一个更加灵活方法。它是针对数据包过滤和应用网关技术存在的缺点而引入的防火墙技术，一般采用自适应代理技术，也称为自适应代理防火墙。在电路层网关中，需要安装特殊的客户机软件。组成这种类型防火墙的基本要素有两个：自适应代理服务器（Adaptive Proxy Sever）与动态包过滤器（Dynamic Packet Filter）。在自适应代理与动态包过滤器之间存在一个控制通道。在对防火墙进行配置时，用户仅仅将所需要的服务类型、安全级别等信息通过相应Proxy的管理界面进行设置就可以了。然后，自适应代理就可以根据用户的配置信息，决定是使用代理服务从应用层代理请求或是从网络层转发数据包。如果是后者，它将动态地通知包过滤器增减过滤规则，满足用户对速度和安全性的双重要求。所以，它结合了应用层网关型防火墙的安全性和包过滤防火墙的高速度等优点，在毫不损失安全性的基础之上将代理型防火墙的性能提高10倍以上。

电路层网关防火墙的特点是将所有跨越防火墙的网络通信链路分为两段，防火墙内外计算机系统间应用层的“链接”，由两个终止代理服务器上的“链接”来实现，外部计算机的网络链路只能到达代理服务器，从而起到了隔离防火墙内外计算机系统的作用。此外，代理服务也对过往的数据包进行分析、注册登记，形成报告，同时当发现被攻击迹象时会向网络管理员发出警报，并保留攻击痕迹。

4.代理技术的优点

（1）代理易于配置。代理因为是一个软件，所以它较过滤路由器更易配置，配置界面十分友好，如果代理实现得好，可以对配置协议要求较低，从而避免了配置错误。

（2）代理能生成各项记录。因代理工作在应用层，它检查各项数据，所以可以按一定的规则，让代理生成各项日志、记录。这些日志、记录对于流量分析、安全检验是十分重要和宝贵的。当然，也可以用于记费等应用。

（3）代理能灵活、完全地控制进出流量、内容。通过采取一定的措施，按照一定的规则，用户可以借助代理实现一整套的安全策略，比如说可以控制“谁”和“什么”，还有“时间”和“地点”。

（4）代理能过滤数据内容。用户可把一些过滤规则应用于代理，让它在高层实现过滤功能，例如文本过滤、图像过滤（目前还未实现，但这是一个热点研究领域），预防病毒或扫描病毒等。

（5）代理能为用户提供透明的加密机制。用户通过代理进出数据，可以让代理完成加解密的过程，从而方便用户，确保数据的机密性。这点在虚拟专用网中特别重要。代理可以广泛地用于企业外部网中，提供较高安全性的数据通信。

（6）代理可以方便地与其他安全手段集成。目前的安全问题解决方案很多，如认证（Authentication）、授权（Authorization）、账号（Accounting）、数据加密、安全协议（SSL）等。如果把代理与这些手段联合使用，将大大增加网络安全性。这也是近期网络安全的发展方向。

5.代理技术的缺点

（1）代理速度较路由器慢。路由器只是简单察看TCP/IP报头，检查特定的几个域，不作详细分析、记录。而代理工作于应用层，要检查数据包的内容，按特定的应用协议（如HTTP）进行审查、扫描数据包内容，并进行代理（转发请求或响应），故其速度较慢。

（2）代理对用户不透明。许多代理要求客户端作相应改动或安装定制客户端软件，这给用户增加了不透明度。由于硬件平台和操作系统都存在差异，要为庞大的互异网络的每一台内部主机安装和配置特定的应用程序既耗费时间，又容易出错。

（3）对于每项服务代理可能要求不同的服务器，可能需要为每项协议设置一个不同的代理服务器，因为代理服务器不得不理解协议以便判断什么是允许的和不允许的，并且还扮演一个对真实服务器来说是客户、对代理客户来说是服务器的角色。挑选、安装和配置所有这些不同的服务器也可能是一项较大的工作。

（4）代理服务不能保证免受所有协议弱点的限制。作为一个安全问题的解决方法，代理取决于对协议中哪些是安全操作的判断能力。每个应用层协议，都或多或少存在一些安全问题，对于一个代理服务器来说，要彻底避免这些安全隐患几乎是不可能的，除非关掉这些服务。代理取决于在客户端和真实服务器之间插入代理服务器的能力，这要求两者之间交流的相对直接性。有些服务的代理是相当复杂的。

（5）代理不能改进底层协议的安全性。因为代理工作于TCP/IP之上，属于应用层，所以它就不能改善底层通信协议的能力。不能应对诸如IP欺骗，伪造ICMP消息和一些拒绝服务的攻击。而这些方面，对于一个网络的健壮性是相当重要的。