代理防火牆是最安全的防火牆形式,它在應用層過濾消息以保護網絡資源。 代理防火牆,也稱為應用程序防火牆或網關防火牆,限製網絡可以支持的應用程序,這提高了安全級別,但會影響功能和速度。
傳統防火牆並非設計用於解密流量或檢查應用程序協議流量。 他們通常使用入侵防禦系統 (IPS) 或防病毒解決方案來抵禦威脅,這僅涵蓋組織現在面臨的威脅環境的一小部分。
代理服務器通過在 Internet 上的計算機和服務器之間提供網關或中介來保護進出網絡的數據來解決這個問題。 它確定應允許和拒絕哪些流量,並分析傳入流量以檢測潛在網絡攻擊或惡意軟件的跡象。 代理服務器防火牆緩存、過濾、記錄和控制來自設備的請求,以確保網絡安全並防止未經授權方訪問和網絡攻擊。
代理防火牆如何工作?
代理防火牆被認為是最安全的防火牆形式,因為它可以防止網絡直接聯繫其他系統。 它有自己的互聯網協議 (IP) 地址,這意味著外部網絡連接無法直接從網絡接收數據包。
代理防火牆的工作原理是提供一個單點,使組織能夠評估應用程序協議的威脅級別並實施攻擊檢測、錯誤檢測和有效性檢查。 它使用深度數據包檢測 (DPI) 和基於代理的架構等策略來分析應用程序流量並發現高級威脅。
代理網絡可能會有一台計算機直接連接到互聯網。 網絡中的其他計算機以主計算機作為網關訪問互聯網,這使得代理可以緩存多個用戶請求的文檔。 試圖通過代理防火牆訪問外部站點的用戶將通過以下過程這樣做:
- 用戶通過文件傳輸協議 (FTP) 或超文本傳輸協議 (HTTP) 等協議請求訪問 Internet。
- 用戶的計算機嘗試在他們和服務器之間創建會話,從他們的 IP 地址向服務器的 IP 地址發送同步 (SYN) 消息包。
- 代理防火牆攔截請求,如果其策略允許,則使用來自請求服務器 IP 的同步確認 (SYN-ACK) 消息包進行回复
- 當用戶的計算機收到 SYN-ACK 數據包時,它會向服務器的 IP 地址發送一個最終的 ACK 數據包。 這可確保與代理的連接,但不是有效的傳輸控制協議 (TCP) 連接。
- 代理通過從其 IP 地址發送 SYN 數據包來完成與外部服務器的連接。 當它收到服務器的 SYN-ACK 數據包時,它會用一個 ACK 數據包進行響應。 這確保了代理與用戶計算機之間以及代理與外部服務器之間的有效 TCP 連接。
- 通過客戶端到代理連接發出的請求,然後是代理到服務器連接,將被分析以確保它們是正確的並符合公司政策,直到任何一方終止連接。
此過程可確保高度安全的網絡,對流入和流出網絡的每個數據包的內容進行深入檢查。
代理防火牆的工作示例
代理服務器通常是通過堡壘主機實現的,這些系統很可能會受到直接的網絡攻擊。 代理防火牆監控核心互聯網協議(例如第 7 層協議)的網絡流量,並且必須針對它支持的每種類型的應用程序運行。 其中包括域名系統 (DNS)、FTP、HTTP、互聯網控制消息協議 (ICMP) 和簡單郵件傳輸協議 (SMTP)。
代理防火牆本質上是網絡上每個連接的中間人。 網絡上的每台計算機都通過代理建立連接,這會創建一個新的網絡連接。 例如,如果用戶想要訪問外部網站,則在將數據包轉發到請求的網站之前,數據包會通過 HTTP 服務器進行處理。 然後,來自網站的數據包在轉發給用戶之前通過服務器進行處理。
代理防火牆將應用程序活動集中到一台服務器中。 這使組織能夠檢查數據包,而不僅僅是源地址和目標地址以及端口號。 因此,大多數防火牆現在都具有某種形式的代理服務器架構。
代理防火牆通常部署在一組支持特定應用程序協議的可信程序中。 這確保了對協議安全風險的完整分析,並提供比標準防火牆更強的安全控制。
代理防火牆的優缺點
代理防火牆提供高級網絡安全級別,但同時會影響網絡速度和性能。
優點
代理防火牆的主要目標是提供單一訪問點。 這使組織能夠評估應用程序協議造成的威脅級別、有效檢測威脅並檢查網絡流量的有效性。 代理防火牆還支持精細的設置控制,允許組織根據其網絡需求和公司策略對其進行微調。
代理防火牆還可以阻止用戶計算機與他們想要訪問的外部站點之間的直接連接,從而提供顯著的安全優勢。 它提供了最安全的網絡連接之一,因為它可以對進出網絡的每個數據包進行深度檢查。 這確保組織可以防止最複雜和高風險的惡意軟件攻擊。
缺點
儘管代理防火牆提供了額外的安全性,但這種方法也有缺點。 主要缺點之一是代理防火牆為每個傳出和傳入數據包創建一個新連接。 這可能會導致防火牆在流量中形成瓶頸,顯著減慢流程並對網絡性能產生負面影響,並造成單點故障。 一些代理防火牆可能只支持特定的網絡協議,這限制了網絡可以支持和保護的應用程序。