计算机信息及网络安全实用教程 主编 蒋理 第9章 防火墙新.pptVIP

　　（2）代理服务 　　应用层网关使用代理服务（Proxy Service）将通过防火墙的通信链路分为两段：防火墙内外的计算机系统间的应用层链路由两个终止于Proxy Server的“链路”来实现；外部计算机的网络链路只能到达Proxy Server，从而实现了企业内外计算机系统间的隔离区。如图9-3所示。 图9-3代理服务 　　与数据包过滤型防火墙不同，内部网与外部网之间不存在直接的连接，其连接过滤的工作是在应用层中进行的，如图9-4所示。 图9-4 应用网关防火墙 　　应用层网关可提供较为严谨的管制，它切断内部网络与外部网络之间的信道，由它来代理内部网络与外部网络主机之间的连接工作，如此一来，内部网络和外部网络可完全隔离，内部主机可使用私有IP地址，外界无法直接对内网主机进行攻击。应用网关防火墙又称为代理服务器防火墙，它还可同时提供日志（log）及审计（audit）服务。 　　所谓代理服务器是指运行代理服务程序的机器。 　　代理服务由两部分构成：服务器端程序和客户端程序。客户端程序与中间节点代理服务器连接，代理服务器再与要访问的真实服务器实际连接。 　　代理服务针对不同的应用服务都需要有对应的代理程序，内外网络之间的访问，必须通过代理。在堡垒主机上一般安装有限的代理服务，如Telnet，FTP，Web，E-mail等，因此，应用网关每一种代理服务（