计算机信息及网络安全实用教程 主编 蒋理 第9章 防火墙.pptVIP

　　（2）代理服务 　　应用层网关使用代理服务（Proxy Service）将通过防火墙的通信链路分为两段：防火墙内外的计算机系统间的应用层链路由两个终止于Proxy Server的“链路”来实现；外部计算机的网络链路只能到达Proxy Server，从而实现了企业内外计算机系统间的隔离区。如图9-3所示。 图9-3代理服务 　　与数据包过滤型防火墙不同，内部网与外部网之间不存在直接的连接，其连接过滤的工作是在应用层中进行的，如图9-4所示。 图9-4 应用网关防火墙 　　应用层网关可提供较为严谨的管制，它切断内部网络与外部网络之间的信道，由它来代理内部网络与外部网络主机之间的连接工作，如此一来，内部网络和外部网络可完全隔离，内部主机可使用私有IP地址，外界无法直接对内网主机进行攻击。应用网关防火墙又称为代理服务器防火墙，它还可同时提供日志（log）及审计（audit）服务。 　　所谓代理服务器是指运行代理服务程序的机器。 　　代理服务由两部分构成：服务器端程序和客户端程序。客户端程序与中间节点代理服务器连接，代理服务器再与要访问的真实服务器实际连接。 　　代理服务针对不同的应用服务都需要有对应的代理程序，内外网络之间的访问，必须通过代理。在堡垒主机上一般安装有限的代理服务，如Telnet，FTP，Web，E-mail等，因此，应用网关每一种代理服务（如Telnet、FTP等）或协议，必须要有相应的代理应用程序与之对应，独立设置，否则，网络中便无法提供该项服务，这样的后果是一些新出现的应用在代理服务器上将被阻断，出现了代理服务器不支持很多新型应用的局面。每个代理都是一个简短的程序，专门为网络安全目的而设计。 　　代理服务还提供用户认证，用户在访问代理服务之前堡垒主机可能要求附加认证。代理服务在安全性方面比数据包过滤器强，能防止防火墙遭到破坏。 　　但代理服务器防火墙一般不能处理高负荷通信量，且对用户的透明性不好。 　　2．应用层网关系统体系结构 　　代理服务器可采用下面介绍的双宿主机、屏蔽主机、屏蔽子网三种体系结构。 　　（1）双宿主机网关 　　双宿主机网关（Dual Homed Gateway）是在堡垒主机中插装两块网络接口卡，并在其上运行代理服务器软件，受保护网与Internet之间不能直接进行通信，必须经过堡垒主机，配置不必显式地列出受保护网与外部网之间的路由，受保护网除了看到堡垒主机之外，不能看到其他任何系统。同时堡垒主机不转发TCP/IP通信报文，网络中的所有服务都必须由此主机的相应代理程序来支持。 　　在实际中使用的应用层网关防火墙系统可能是上述基本防火墙中的任意一种或交叉组合。把数据包过滤和代理服务两种方法结合起来，可以形成新的防火墙。 　　在双宿网关的基础上又演化出两种防火墙结构，一种是屏蔽主机网关，另一种是屏蔽子网网关。 　　（2）屏蔽主机网关 　　屏蔽主机网关（Screened Host Gateway）防火墙配置时需要一个带数据包过滤功能的路由器和一台堡垒主机。常将堡垒主机设置在被保护网络，路由器设置在堡垒主机和Internet网络之间，这样堡垒主机是被保护网络惟一可到达Internet网络的系统。如图9-5所示。 图9-5 屏蔽主机防火墙 　　屏蔽主机网关防火墙系统提供的安全等级较高，因为它实现了网络层安全（数据包过滤）和应用层安全（代理服务）。所以入侵者在破坏内部网络的安全性之前，必须首先渗透两种不同的安全系统。 　　这种防火墙系统的优点之一是提供公开的信息服务的服务器，如Web，FTP服务器等，可以放置在由数据包过滤路由器和堡垒主机共用的网段上。 　　屏蔽主机网关是一种很灵活的防火墙，它可以有选择地允许那些值得信任的应用程序通过路由器。但它必须考虑两方面的安全性，即堡垒主机和路由器，并使它们互相协调。当路由器允许通过的服务数量逐渐增多时，验证防火墙的正确性就会变得越来越困难。 　　（3）屏蔽子网网关 　　屏蔽子网网关（Screened Subnet Gateway）防火墙采用两个包过滤路由器和一个堡垒主机。在受保护网与Internet之间有一个小型的独立网络，对这个屏蔽子网的访问受到路由器过滤规则的保护。常将堡垒主机、信息服务器、MODEM组以及其他公用服务器放在这个子网中，这个子网称为“停火区”或“非军事区”（Demilitarized Zone，DMZ）。 　　屏蔽子网中的主机是内部网和Internet都能访问到的惟一系统，它支持网络层和应用层安全功能，因此，屏蔽子网网关防火墙是最安全的防火墙系统之一。如图9-6所示。 图9-6 屏蔽子网防火墙 　　在一般情况下对DMZ配置成使用外部网（Internet）和内部网络（被保护的网络）系统能够访问DMZ网络上数目有限