第5章防火墙技术概述.ppt

应用层代理防火墙的优点和缺点 应用层代理防火墙能够检查应用层、传输层和网络层的协议，对数据包的检测能力比较强，因而安全性高。但缺点也非常突出，主要有： （1）难于实现。每一种服务都需要有相应的代理软件，而不同的网络应用服务，其安全问题各不相同，分析困难，因此难于实现。 （2）处理速度慢。由于需要检查数据包的TCP/IP报头和数据，并转发信息，所以速度较慢。当用户对网络的吞吐量要求比较高时，防火墙就会成为内、外部网络之间的瓶颈。 （3）对用户不透明。客户端访问安装有代理防火墙的网络时，需要改动或安装特定的客户端软件，这无疑给用户增加了不透明度。 5.3.3 复合型防火墙 由于包过滤技术的处理速度快，而且实现方便，但没有审计功能，过滤规则不好设计，安全性较差；而代理技术能够方便地实现访问控制，安全性好，但却需要针对每一个应用服务都设计一个代理，因而难于实现。在实际应用时，可以将这两种技术结合起来使用。 复合型防火墙也称为自适应代理防火墙，是一种将代理服务器防火墙的安全性和包过滤防火墙的高效率等优点结合起来的防火墙，在保证安全性的同时，将防火墙的性能提高了数倍。它一般由自适应代理服务器和动态包过滤器组成，在内、外部网络的主机开始通信之前，初始的安全性检查仍在应用层进行，而一旦用户的身份通过了认证，其后的通信数据就可以通过速度较快的网络层进行传输。 5.4 个人防火墙技术 5.4.1