07 网络信息安全技术 第7章.ppt

为了使用应用层网关，用户必须登录到应用程序网关的机器上，或者在每一台将使用特定服务的主机上实施指定的代理应用程序服务。每一个应用程序的网关模块应具有自己的一套管理工具和命令语言。  应用层网关的缺点是，用户经常为每个应用程序而写程序。 但是从安全角度来看，这也是一个优点，因为无法进入防火墙， 除非能提供非常明确的应用层网关。 用户的应用程序相当于一个代理，它不仅能接收进来的呼叫而且还能对呼叫进行检查，以防备任何类型请求的访问被允许。 这个事件中的代理是一个应用程序服务器代理。接收呼叫， 并且验证任何呼叫允许后，代理就把它转发给请求服务器。 因此，代理既是服务器又是客户机（如图7.33所示），它在接收进入的请求时是作为服务器，在转发请求时是作为客户机。会话建立后， 应用程序代理作为一个转接， 在一初始化应用程序的客户机和服务器之间拷贝数据。因为在客户机和服务器之间的所有数据都由应用程序代理拦截，所以它对会话拥有全部的控制，并详尽的处理记录。图7.33显示了作为客户机和服务器的代理。在众多的实现中，这是一个单应用程序模块的实现方法。 图 7.33 作为客户机和服务器的代理 为了与代理应用程序连接，许多应用层网关要求用户在内部机器上运行客户机应用程序。另外，用户可以用Telnet命令指定代理应用程序服务可用的端口