防火墙是一种网络安全系统,它根据特定的规则对网络流量进行过滤,以限制流向终端系统的流量。自从1993年防火墙诞生以来,它已经发展成许多不同的类型。最常用的两种防火墙是代理和包过滤防火墙。它们之间的主要区别是它们所操作的协议栈的级别,以及使用由此确定的IP地址和端口号。包过滤防火墙是可以根据特定规则过滤包的Internet路由器。从Internet客户机的角度来看,代理防火墙是一个多主机服务器主机,它是一个与TCP和UDP传输相关的端点,通常是路由IP协议层中的IP数据包。
1、包防火墙
包过滤防火墙作为一个互联网路由器,可以过滤一些网络流量。通常可以将它们配置为丢弃或转发数据包头中符合(或未能符合)特定条件的数据包,即过滤器。简单的过滤器包括网络层或传输层报头的各个部分的范围比较。最流行的过滤器包括IP地址或选项、ICMP包的类型以及基于数据包中的端口号的各种UDP或TCP服务。最简单的包过滤防火墙是无状态的,是单独处理每个数据报的防火墙,另一个更复杂的有状态的包过滤防火墙可以关联已经或即将到达的数据包来阻止数据报的信息,属于相同的传输连接(运输协会)的数据包或形成相同的IP数据报IP分片。
包过滤防火墙充当“内部”网络和“外部”网络之间的IP路由器,有时在第三个“DMZ”(非军事区)或外联网中,只允许某些流量通过。网络管理员将安装过滤器或访问控制列表(列出需要丢弃或转发的数据报类型的基本策略)到防火墙中。一个通用的配置允许所有的流量从内部网络到外部网络,但是只有少量的流量允许反向传输。在使用DMZ时,只允许从Internet访问某些服务。
2、代理防火墙
代理防火墙并不是真正的互联网路由器。它们本质上是运行一个或多个应用程序层网关的主机,具有多个网络接口,能够在应用层中与两个连接/关联之间转发特定类型的流量。它们通常不像路由器那样进行IP转发,不过现在有了可以组合各种功能、更复杂的代理防火墙。
代理防火墙内的客户端通常专门配置与代理防火墙关联(或连接),而不是连接到实际提供所需服务的真正终端主机(以这种方式与代理防火墙交互的应用程序需要提供相应的配置选项)。通常这些防火墙是多主机的,即使使用IP转发功能也会被禁用。与包过滤防火墙一样,常见的配置是将全局路由的IP地址分配给位“外部”接口,将私有IP地址分配给“内部”接口。因此,代理防火墙支持使用私有地址范围。
尽管这种类型的防火墙比包过滤防火墙安全得多,但它是以脆弱和不灵活为代价的。特别是,因为这种类型的防火墙必须为每个传输层服务都有一个代理,所以要使用的任何新服务都必须安装一个代理并启动连接。此外,必须将每个客户机配置为能够找到代理(例如,使用Web代理自动发现协议,但是也有其他选择,比如捕获代理来处理某种类型的所有流量,而不管它的目标地址是什么)。至于部署,这些防火墙在可以预先确定所有访问的网络服务的环境中工作良好,但是添加额外的服务可能需要网络运营商的大量干预,这意味着部署和更新防火墙需要更多的人工操作。
最常见的两种代理防火墙是HTTP代理防火墙和SOCKS防火墙。第一种类型,也称为Web代理,只能用于HTTP和HTTPS协议(Web)。这些代理充当内部网用户和访问外部站点的Web客户机的Web服务器。这样的代理通常也提供一个Web缓存,持有Web页面的一个副本,以便后续访问可以采取直接从缓存中消除了需要访问原始的Web服务器,减少显示Web页面的延迟和增加的速度,用户可以访问网站。一些Web代理还经常用作内容过滤器,以防止用户基于黑名单访问某些Web站点。相反,在Internet上有一些隧道代理服务器。这些服务器实际上执行相反的功能,以防止用户被内容过滤器阻塞。
Socks 协议比HTTP代理使用得更广泛,可以用于Web之外的服务。要使用SOCKS代理,应用程序必须在开发时添加SOCKS代理支持,并能够配置应用程序以了解代理的位置和版本。配置完成之后,客户端使用SOCKS协议请求网络连接代理并可选地执行DNS查找。
