代理技术与包过滤技术完全不同,包过滤技术是在网络层拦截所有的信息流,代理技术是针对每一个特定应刚都有—一个程序。代理是企图在应用层实现防火墙的功能,代理的主要特点是有状态性。代理能提供部分与传输方面的信息,代理也能处理利管理信息。通过代理使得网络管理员实现比包过滤路由器更严格的安全策略。
代理的概念对于防火墙应刚是非常重要的,因为代理把网络IP地址替换成其它的暂时的地址。这种执行对于互联网来说有效地隐藏了真正的网络IP地址,因此保护了整个网络。
代理行几个用处,由于是当黑客开始活动的时候。见左图黑客所做的第一件事就是侦查你的网络上的弱点。通常都是利用端口扫描。为了防止这第一步,你需要尽可能地隐蔽内部系统的配置信息暴露给潜在的攻击者。代
理可以使你隐藏这些信息,并能提供有效的通信。
代理主要有三种基本类型:WEB代理、电路级网关,应用级网关。
WEB代理
WEB代理服务的最人好处就是能提高访问Internet的速度:一旦—个WEB代理服务器配置了足够的缓存,它就可以从这些缓存里对请求提供服务。而WEB代理客户端则可以得到很快速的响应。WEB代理第二个好处是WEB代理使客户端无需正接连接Internet,所以远离成为被攻击的目标。
电路级网关
电路级网关用来监控受信任的客户或服务器与不受信任的主机间的TCP握手信息,这样来决定该会话(session)是否合法。我们知道,要使用TCP协议,首先必须通过三次握手建立TCP连接,然后才开始发送数据。电路级网关通过在TCP握手过程中,检查双方的SYN、ACK和序列数据是否合理逻辑,来判断该请求的会话是否合法。一旦该网关认为会话是合法的,就会为双方建立连接,自此,网关仅复制、传递数据,而不进行过滤。电路级网关通常需要依靠特殊的应用程序来进行复制传递数据的服务。实际上,电路级网关并非作为一个独立的产品存在,它与其他的应用级网关结合在一起,所以有人也把电路级网关门为应用级网关。电路级网关是在OSI模型中会话层上来过滤数据包。也因为如此,它就无法检查应用层级的数据包。最流行的电路级网关是IBM发明的SOCKS网关。很多产品,包括微软的Microsfot ProxyServer就支持SOCKS。
优点和缺点
电路级网关的主要优点就是提供NAT,在使用内部网络地址机制时为网络管理员实现安全提供了很大的灵活性。电路级网关是基于和包过滤防火墙一样的规则。电路级网关提供包过滤提供的所有优点但却没有包过滤的缺点。
缺点为不能很好地区别好包与坏包、易受IP欺骗这类的攻击及复杂性这些都是电路级网关的弱点。电路级网关又一个主要的缺点是需要修改应用程序和执行程序。还有电路级网关要求终端用户通过网关的认证。