应用级网关的表示 应用 应用层 应用 表示 表示层 话层 合话层 传南 传扈 传输 网络 网络 网络 【据链客层 好据涟层据详鼠 理 顿理 物理层 11
11 应用级网关的表示
应用级网关优点 应用级网关的最突出的优点就是安全。由于每一个内外 网络之间的连接都要通过 Proxy的介入和转换,通过专门 为特定的服务如Htt编写的安全化的应用程序进行处理 然后由防火墙本身提交请求和应答,没有给内外网络的 计算机以任何直接会话的机会,从而避免了入侵者使用 数据驱动类型的攻击方式入侵内部网。 应用级网关能够记录所有的连接,包括地址和持续时间, 这些信息对追踪攻击和发生的未授权访问的事件事很有 用的
12 应用级网关优点 ◼ 应用级网关的最突出的优点就是安全。由于每一个内外 网络之间的连接都要通过Proxy的介入和转换,通过专门 为特定的服务如Http编写的安全化的应用程序进行处理, 然后由防火墙本身提交请求和应答,没有给内外网络的 计算机以任何直接会话的机会,从而避免了入侵者使用 数据驱动类型的攻击方式入侵内部网。 ◼ 应用级网关能够记录所有的连接,包括地址和持续时间, 这些信息对追踪攻击和发生的未授权访问的事件事很有 用的
应用级网关缺点 首先它会使访问速度变慢,因为它不允许用户直接访问 网络,而且应用级网关需要对每一个特定的互联网服务 安装相应的代理服务软件 ■用户不能使用未被务器支持的服务,对每一类服务要使 用特殊的客户端软件,更不幸的是,并不是所有的互联 应用软件都可以使用代理服务器 13
13 应用级网关缺点 ◼ 首先它会使访问速度变慢,因为它不允许用户直接访问 网络,而且应用级网关需要对每一个特定的互联网服务 安装相应的代理服务软件。 ◼ 用户不能使用未被务器支持的服务,对每一类服务要使 用特殊的客户端软件,更不幸的是,并不是所有的互联 网应用软件都可以使用代理服务器
状态监测防火墙 该防火墙结合了包过滤防火墙和应用级网关的特点。它 同包过滤防火墙一样,规则检査防火墙能够在OSI网络层 上通过IP地址和端口号,过滤进出的数据包。它也象应 用级网关一样,可以在OSI应用层上检查数据包的内容, 查看这些内容是否能符合企业网络的安全规则。 规则检查防火墙不依靠与应用层有关的代理,而是依靠 某种算法来识别进出的应用层数据,这些算法通过已知 合法数据包的模式来比较进出数据包,这样从理论上就 能比应用级代理在过滤数据包上更有效 14
14 状态监测防火墙 ◼ 该防火墙结合了包过滤防火墙和应用级网关的特点。它 同包过滤防火墙一样,规则检查防火墙能够在OSI网络层 上通过IP地址和端口号,过滤进出的数据包。它也象应 用级网关一样,可以在OSI应用层上检查数据包的内容, 查看这些内容是否能符合企业网络的安全规则。 ◼ 规则检查防火墙不依靠与应用层有关的代理,而是依靠 某种算法来识别进出的应用层数据,这些算法通过已知 合法数据包的模式来比较进出数据包,这样从理论上就 能比应用级代理在过滤数据包上更有效
状态监测防火墙优点 安全性好 状态检测防火墙工作在数据链路层和网络层之间,它从这里截取数 据包,因为数据链路层是网卡工作的真正位置,网络层是协议栈的 第一层,这样防火墙确保了截取和检査所有通过网络的原始数据包 性能高效 状态检测防火墙工作在协议栈的较低层 扩展性好 状态检测防火墙不区分每个具体的应用,只是根据从数据包中提取 出的信息、对应的安全策略及过滤规则处理数据包,当有一个新的 应用时,它能动态产生新的应用的新的规则,而不用另外写代码, 所以具有很好的伸缩性和扩展性
15 状态监测防火墙优点 ◼ 安全性好 状态检测防火墙工作在数据链路层和网络层之间,它从这里截取数 据包,因为数据链路层是网卡工作的真正位置,网络层是协议栈的 第一层,这样防火墙确保了截取和检查所有通过网络的原始数据包。 ◼ 性能高效 状态检测防火墙工作在协议栈的较低层 ◼ 扩展性好 状态检测防火墙不区分每个具体的应用,只是根据从数据包中提取 出的信息、对应的安全策略及过滤规则处理数据包,当有一个新的 应用时,它能动态产生新的应用的新的规则,而不用另外写代码, 所以具有很好的伸缩性和扩展性