RFC3093.docVIP

RFC3093 组织：中国互动出版网（/） RFC文档中文翻译计划（/compters/emook/aboutemook.htm） E-mail：ouyang@ 译者：prince1680（prince1680 prince1680@163.com） 译文发布时间：2001-5-24 版权：本中文翻译文档版权归中国互动出版网所有。可以用于非商业用途自由转载，但必须 保留本文档的翻译及版权信息。 Network Working Group M. Gaynor Request for Comments: 3093 S. Bradner Category: Informational Harvard University 1 April 2001 防火墙增强协议 （RFC3093 Firewall Enhancement Protocol (FEP)） 本备忘录的状态 本备忘录提供了 Internet community 的信息，但不说明任何一种类型的 Internet 标 准。发布本备忘录不受限制。 版权声明 Copyright (C) The Internet Society (2001). All Rights Reserved. 概要 Internet 端到端体系结构的透明性允许对其进行新技术和服务的创新 [1]，但是，近来 防火墙技术的发展改变了这种模式，制约了创新。我们提议了允许创新且不违反防火墙安全 模型的防火墙增强协议（FEP）。在没有防火墙管理员的协助下，FEP 允许任何应用程序通过 防火墙。我们的方法是，将任何应用程序的传输控制协议/用户数据报协议 (TCP/UDP) 包置 于超文本传输协议 (HTTP) 之上，因为 HTTP 包具有可通过防火墙的代表性。 由于防火墙被 设计用来阻止外部攻击和忽略内部威胁，故该方案并不违反实际防火墙的安全有效性。FEP 的 使用需要从防火墙内部的主机上进行协同操作，所以它与当前防火墙的安全模型相兼容。FEP 在防火墙的安全性和防火墙的透明传输通道两个方面达到最好。 1.0 术语 本文档中的关键字 MUST, MUST NOT, REQUIRED, SHALL, SHALL NOT, SHOULD, SHOULD NOT, RECOMMENDED, MAY, 和 OPTIONAL 在 RFC 2119 中已解 释。 2.0 简介 Internet 现在已做得很好了，考虑过去的 10 年间，telcos 宣称 Internet 甚至不能 在社团环境下工作。这有许多原因，其中最主要的一点就是由 Reed, Seltzer, 和 Clark 讨 论的端到端的论点 [2]。最后的创新是提出了动手比构思更有价值的有力方法。但是，世界 正象 Clark 所指出的那样已在改变 [6]。 社团世界接入 Internet，安全性尤为重要，甚至 付出阻断端到端模式的代价。 一个这样的例子就是防火墙 - 一种阻止外来者未经授权访问社团内部的设备。我们的新 协议，防火墙增强协议 (FEP)，就是为在保持防火墙建立的安全层次上恢复端到端模式而设 计的。 要看到端到端模型多么强大，请考虑以下例子。如果 Scott 和 Mark 有个好主意和实现 才能，他们可以制造一个物品，使用它，并可以送给朋友，若朋友们要保留它，把它做得更 好也许是个好主意。现在加入防火墙：如果 Mark 正好在一家安装了防火墙的公司工作，他 将不能与他的朋友 Scott 进行试验，创新将更困难，也许不可能实现。要使 Scott 和 Mark 能够做试验，IT 管理员应该做什么，以便于更好地服务于他们的用户呢？这就是 web 如何 建立的：一个有才能的人，某些好主意和创新的能力。 防火墙很重要，并且我们尊重每个人无论怎样保护他们自己的权利 (在其他人不麻烦的时 候)。 防火墙在工作，并在 Internet 中有一席之地。无论如何，防火墙是为阻止外部的威 胁而提供保护的，不是为内部的。我们提议的协议不违反防火墙的安全模型；它仍能阻止外 部危险，特别是防火墙能提供保护的危险。因为对防火墙内部的人来说，我们的协议必须运 行在可以访问 TCP 端口 80 的应用层。我们的概念是在绕过防火墙 IT 管