什么是代理防火墙

什么是代理防火墙？在防火墙的设计中引入“代理”的概念是革命性的。“代理”完全“阻隔”了网络通信流，使得从内部网络发出的数据包经过代理技术处理后，就好像是源于防火墙外部网卡一样，从而可以达到隐藏内部网络结构的作用。以代理技术为基础的防火墙分为应用层代理防火墙和电路层代理防火墙两种。

(1)应用层代理

应用层代理防火墙，又称为应用层网关(Application Level Gateway)工作在OSI的最高层——应用层。它通过代理技术参与到一个TCP连接的全过程，其特点是完全“阻隔”了网络通信流，通过对每种应用服务编制专门的代理程序，实现监视和控制应用层通信流的作用，在用户层和应用协议层间提供访问控制。

当客户端提出一个请求时，代理程序将核实请求，处理连接请求，并将处理后的请求传递出去，然后接受应答并做处理，最后将处理结果提交给发出请求的客户端。代理程序在外部网络和内部网络通信中起着中间转接的作用。图1示意了应用层代理防火墙的工作原理。


图1 应用层代理防火墙示意图
应用层代理服务器针对不同的网络应用提供不同的处理，譬如HTTP代理、FTP代理、SMTP代理、POP3代理等。它提供双重服务功能，一是为内部网络提供了一个保护层，二是通过“缓存页面(Caching pages)”方法向客户提供对外部网络的访问。应用层代理的主要问题是速度慢，支持的并发连接数有限。为此，研究人员提出了各种改进方案。例如，TCP代理(TCP forwarder)是在TCP对(pair ofTCP connection)之间传递数据的网络节点，被广泛应用于防火墙中。

1998年，美国网络联盟公司(Networks Associates)提出了自适应代理(Adaptive Proxy)的概念，并在其产品Gauntlet Firewall for NT中得以实现。以自适应代理技术为基础的自适应代理防火墙，综合了包过滤型和应用代理型防火墙的优点，其安全性能和应用代理型防火墙很接近，而速度却比状态检测防火墙快。

自适应代理不仅能维护系统安全，还能够动态“适应”传送中的分组流量。它允许用户根据具体需求，定义防火墙策略，以提高性能和效率，使“速度和安全”比处于最佳状态。自适应代理防火墙的初始安全检测依然在应用层中进行，一旦检测通过后(即：自适应代理明确了会话的所有细节)，随后的数据包就直接在网络层上传送。自适应代理可以和安全脆弱性扫描器、病毒安全扫描器和入侵检测系统之间实现更加灵活的集成。作为自适应安全计划的一部分，自适应代理将允许经过正确验证的设备在安全传感器和扫描仪发现重要的网络威胁时，根据事先确定的安全策略，自动“适应”防火墙级别。

组成自适应代理防火墙的基本要素有两个：自适应代理服务器(Adaptive ProxyServer)和动态包过滤器(Dynamic Packet Filter)。在自适应代理服务器与动态包过滤器之间存在一个控制通道。自适应代理就可以根据用户的配置信息，决定是使用代理服务从应用层代理请求还是从网络层转发数据包。如果是后者，它将动态地通知包过滤器增减过滤规则，满足用户对速度和安全性的双重要求。

(2)电路层代理

电路层代理防火墙又称电路级网关(Circuit-Level Gateway)，如图 6-3 所示，用来在两个通信的终点之间实现数据包的转换。它监视两个主机建立连接时的握手信息，从而判断该会话请求是否合法。显然，电路层代理防火墙将所有跨越防火墙的网络通信链路分成了两段。


图2 电路层代理防火墙示意图
SOCKS是一个客户/服务器环境的代理协议，被应用于实现电路级网关。SOCKS包括两个部件：SOCKS服务器和SOCKS客户端。SOCKS服务器在应用层实现，而SOCKS客户端的实现位于应用层和传输层之间。SOCKS协议的基本目的就是让SOCKS服务器两边的主机能够互相访问，而不需要直接的IP互联。当一个应用程序客户需要连接到一个应用服务器时，客户先连接到 SOCKS 代理服器，代理服务器代表客户连接到应用服务器，并在客户和应用服务器之间中继数据。对于应用服务器来说，代理服务器就是客户。

电路层代理防火墙仅监视两个主机建立连接时的握手信息，例如 Syn、Ack 和序列数据等是否合乎逻辑。虽然在电路层代理防火墙中，数据包也是被提交应用层处理的，但它只负责传递数据，而不进行数据过滤。因而不能削弱应用层攻击的威胁。

综上所述，代理防火墙的最突出的优点就是安全性较高。由于每一个内外网络之间的连接都要通过“代理”的介入和转换，没有给内外网络的主机以任何直接会话的机会，从而避免了入侵者使用数据驱动类型的攻击方式入侵内部网络。代理防火墙的最大缺点就是速度相对比较慢，支持的并发连接数有限。当用户对内外网络网关的吞吐量要求比较高时，代理防火墙很可能成为内外网络之间的瓶颈，代理防火墙还有一个比较明显的问题，就是必须为新的服务、新的网络协议和网络应用撰写专门的应用代理程序。

(3)网络地址转换

隐藏内部网络信息是防火墙的任务之一。网络地址转换技术(Network AddressTranslation，NAT)因此得到广泛地应用。它的工作原理是在内部网络中使用内部地址，通过NAT把内部地址转换成合法的公网IP地址在Internet上使用。当一个请求被送往防火墙时，NAT 将源地址字段替换为它自己的地址，当应答返回到 NAT时，再将目标地址字段替换为最初建立请求的客户的地址。

由于NAT仅仅修改过往的数据包头的个别信息，实现起来比较安全，对用户也基本上实现了透明服务。NAT 不仅能解决 IP 地址紧缺问题，而且能使得内外网络隔离，对某些网络攻击方式有一定的防护能力。例如，NAT可以让TCP SYN报文淹没(TCP SYN Flooding)这种常见的网络攻击方式失去作用。