代理服务器和应用级防火墙.ppt

第5章 代理服务器和应用级防火墙 本章学习目标： 1）了解与代理服务器相关的基本概念及工作原理 2）选用一个代理服务器和SOCKS协议一起工作 3）了解代理服务器防火墙的优点 4）了解反向代理的使用方法 5.1 代理服务器概述 5.1.1 代理服务器工作流程 代理服务器是运行在内部用户和外部主机之间并且可以在它们之间转发数据的软件。它们的工作是通过监测每项服务所用的端口，屏蔽出入每个端口的数据，并依据代理服务器管理员设定的规则，判断是否阻断出入的数据。 代理服务器截取来自于受保护网络中的一台计算机的请求，然后将请求传送到Internet上的步骤： 1）内部主机发出访问Web站点的请求 2）请求到达代理服务器，代理服务器根据防火墙管理员设定的规则检查数据包中的报头信息和数据 3）代理服务器变换数据包的IP地址，重新创建数据包 4）代理服务器将数据包发送到目标计算机；数据包显示来自于代理服务器，而不是最先发出请求的终端用户 5）返回的数据包又被发送到代理服务器。代理服务器再次检查它并将它与规则集作比较 6）代理服务器重建返回的数据包，然后将它发送给最先发出请求的计算机；而此时数据包显示来自于外部主机，而非代理服务器 5.1.3 代理服务器和数据包过滤的不同 代理服务器和数据包过滤将同时被使用在防火墙中，提供多层多种类的安全保护。它们都在应用层工作，但它们检查IP地址数据包的不同部分，并且对IP地址数据包进行处理的方式也不同。 1）代理服务器对整个IP数据包的数据都进行扫描，所以它可比数据包过滤器建立更多、更详细的文件日志列表。 2）如果数据包和某一包过滤器规则匹配，数据包被允许通过，原封不动的到达目标计算机；而代理服务器则用新的源IP地址对数据包进行重建，对外部用户隐藏内部用户。 3）使用代理服务器意味着Internet必须有一个服务器，一个内部主机不直接和外部主机相连。因为代理服务器要对经过它的所有数据包进行重建，所以那些带有恶意攻击的数据包将不能到达内部主机。 4）对网络通信而言，代理服务器比数据过滤器重要得多。假如包过滤器由于某种原因而不能工作，可能出现的结果是所有的数据包都能通过且到达内部网络。如果一个代理服务器的网关或防火墙坏了，那么整个网络通信将被终止 5.1.4 代理服务器配置实例 代理服务器必须放在局域网（LAN）主机和外部主机之间，为内部和外部用户提供服务。一个代理服务器有两个接口：一个是它自身和外部网络之间的接口，另一个是它自身和内部网络的接口。代理服务器的双重接口表明：双宿主计算机对计算机提供了理想的配置。 虽然屏蔽计算机/代理服务器有一个直接和Internet相连的接口，但实际上不直接和Internet相连。 在实际场景中，将代理服务器安装在防火墙后面，防火墙应当有一个和Internet的接口，可以对在他后面的代理服务器起到保护的作用。因为当代理服务器被黑客攻击时，代理服务器会误以为黑客是内部客户机而允许其通过代理服务器，这样将会对受保护的组织造成灾难性的后果。唯一可以直接将代理服务器连接到Internet上的原因是代理是否用来作为反向代理。 5.2 代理服务器的目标 5.2.1 隐藏内部客户机的身份 即令网络内部客户机的身份对试图访问内部网络的外部客户机是不可见的。在经过代理服务器的连接中，外部客户机并不是连接到诸如IP地址为，等内部主机，它能看到的仅仅是安装了代理服务器程序的计算机，对外部主机来说，整个网络就好像是一台计算机，因为在处理转发自内部网络的请求时，她只看到一台计算机。 代理服务器对内部客户机的隐藏类似于NAT 5.2.2 阻断URL 网络管理员可以阻止用户访问一些URL。这一功能可以让雇员无法看到一些网站提供的内容。URL既可以指定为IP地址，也可以指定为DNS名。 阻断URL是不可靠的。主要原因是代理服务器阻断的URL通常是以纯文本形式给定的。简单的代理服务器（NetProxy），要求输入的是WWW代理网关站点的URL，如果输入的是站点的域名，而终端用户输入的是与该URL相对应的IP地址，他们同样可以访问该站点。 5.2.3 阻断和过滤内容 代理服务器可以扫描出哪些内容可能引发问题的数据包，也可以阻止Java applet 或Active X控件通过，而且可以删除它们。除此之外，可以让代理服务器删除一些附在电子邮件中的可执行文件。 5.2.4 电子邮件的代理保护 该代理服务器可对网络提供电子邮件保护 5.2.5 提高性能 代理服务器会减慢对信息请求的时间，但它可以加快对重复请求的文档的访问速度。它可以将Web页存储在磁盘缓存中，当其他用户请求相同的页面时，代理服务器可以从缓存中读取该页。 5.2.6 保障安全 日志文件可以记录网络登录、访问文件等行为进行记录，也可以提供以下功能：