應用代理防火牆

Ⅰ 什麼是網路級防火牆和應用級防火牆

網路級防火牆一般根據源、目的地址做出決策，輸入單個的IP包。一台簡單的路由器是「傳統的」網路級防火牆，因為它不能做出復雜的決策，不能判斷出一個包的實際含意或包的實際出處。現代網路級防火牆已變得越來越復雜，可以保持流經它的接入狀態、一些數據流的內容等等有關信息。許多網路級防火牆之間的一個重要差別是防火牆可以使傳輸流直接通過，因此要使用這樣的防火牆通常需要分配有效的IP地址塊。網路級防火牆一般速度都很快，對用戶很透明。

網路級防火牆的例子：在這個例子中，給出了一種稱為「屏蔽主機防火牆」（screened host
firewall）的網路級防火牆。在屏蔽主機防火牆中，對單個主機的訪問或從單個主機進行訪問是通過運行在網路級上的路由器來控制的。這台單個主機是一台橋頭堡主機（bastion host），是一個可以（希望如此）抵禦攻擊的高度設防和保險的要塞。

網路級防火牆的例子：在這個例子中，給出了一種所謂「屏蔽子網防火牆」的網路級防火牆。在屏蔽子網防火牆中，對網路的訪問或從這個網路中進行訪問是通過運行在網路級上的路由器來控制的。除了它實際上是由屏蔽主機組成的網路外，它與被屏蔽主機的作用相似。

應用級防火牆一般是運行代理伺服器的主機，它不允許傳輸流在網路之間直接傳輸，並對通過它的傳輸流進行記錄和審計。由於代理應用程序是運行在防火牆上的軟體部件，因此它處於實施記錄和訪問控制的理想位置。應用級防火牆可以被用作網路地址翻譯器，因為傳輸流通過有效地屏蔽掉起始接入原址的應用程序後，從一「面」進來，從另一面出去。在某些情況下，設置了應用級防火牆後，可能會對性能造成影響，會使防火牆不太透明。早期的應用級防火牆，如那些利用TIS防火牆工具包構造的防火牆，對於最終用戶不很透明，並需要對用戶進行培訓。應用級防火牆一般會提供更詳盡的審計報告，比網路級防火牆實施更保守的安全模型。

應用級防火牆舉例：這此例中，給出了一個所謂「雙向本地網關」（al homed gateway）的應用級防火牆。雙向本地網關是一種運行代理軟體的高度安全主機。它有兩個網路介面，每個網路上有一個介面，攔阻通過它的所有傳輸流。

Ⅱ 代理防火牆的原理

代理防火牆：
這種防火牆通過一種代理（Proxy）技術參與到一個TCP連接專的全過程。從內部發出屬的數據包經過這樣的防火牆處理後，就好像是源於防火牆外部網卡一樣，從而可以達到隱藏內部網結構的作用。這種類型的防火牆被網路安全專家和媒體公認為是最安全的防火牆。
代理防火牆為它們所支持的協議提供全面的協議意識安全分析。相比於那些只考慮數據包頭信息的產品，這使得它們能做出更安全的判定。例如，特定的支持FTP的代理防火牆，它能夠監視實際流出命令通道的FTP命令，並能夠停止任何禁止的活動。由於伺服器被代理防火牆所保護，而且代理防火牆允許協議意識記錄，這使得識別攻擊方法以及備份現有記錄更容易。
代理防火牆增加安全性也是要付出代價的。額外的代價是為每個會話建立兩個連接所需的花費，加上應用層驗證請求所需的時間，以及性能的降低。你可以將錢花費在代理伺服器上，但在真正的高帶寬網路上仍有可能到達瓶頸。可能您會發現為您的網路正確安裝以及配置所需的代理是困難的，還可能很難使VPN（虛擬專用網）通過代理防火牆工作。

Ⅲ 什麼是應用層防火牆，及應用層防火牆適用情況

我們平時接觸的防火牆是主要是對OSI三層及以下的防護，而應用層防火牆顧名思義可以對7層進行一個防護。傳統的防火牆一般是靜態的，針對特定的埠，特定的地址設定策略。而應用層防火牆，你可以把它理解為動態的，是基於應用層協議的檢測和阻斷，其原理應該是對網路中的流量進行抓包，將流量提取出來進行協議還原，模式匹配等等技術。功能接近於和IPS（入侵保護系統）。

Ⅳ 和所提供的功能什麼叫網路級防火牆和應用級防火牆

應用級防火牆一般是運行代理伺服器的主機，它不允許傳輸流在網路之間直接傳輸，並對通過它的傳輸流進行記錄和審計。由於代理應用程序是運行在防火牆上的軟體部件，因此它處於實施記錄和訪問控制的理想位置。應用級防火牆可以被用作網路地址翻譯器，因為傳輸流通過有效地屏蔽掉起始接入原址的應用程序後，從一「面」進來，從另一面出去。在某些情況下，設置了應用級防火牆後，可能會對性能造成影響，會使防火牆不太透明。早期的應用級防火牆，如那些利用TIS防火牆工具包構造的防火牆，對於最終用戶不很透明，並需要對用戶進行培訓。應用級防火牆一般會提供更詳盡的審計報告，比網路級防火牆實施更保守的安全模型。

應用級防火牆舉例：這此例中，給出了一個所謂「雙向本地網關」(al homed gateway)的應用級防火牆。雙向本地網關是一種運行代理軟體的高度安全主機。它有兩個網路介面，每個網路上有一個介面，攔阻通過它的所有傳輸流。

Ⅳ 應用代理防火牆技術工作在TCP/IP協議棧的哪一層NAT 代理防火牆技術工作在 TCP/IP 協議棧的哪一層

應用代理防火牆技術工作在TCP/IP協議棧的應用層。
NAT 代理防火牆技術工作在 TCP/IP 協議棧的網路層。

Ⅵ 包過濾防火牆與代理型防火牆的區別

包過濾防火牆與抄代理型防火牆的區別為：工作原理不同、處理層不同、網關不同。

一、工作原理不同

1、包過濾防火牆：包過濾防火牆過濾系統是一台路由器或是一台主機，可以根據過濾規則阻塞內部主機和外部主機或另外一個網路之間的連接。

2、代理型防火牆：代理型防火牆當代理伺服器收到一個客戶的連接請求時，先核實該請求，然後將處理後的請求轉發給真實伺服器，在接受真實伺服器應答並做進一步處理後，再將回復交給發出請求的客戶。

二、處理層不同

1、包過濾防火牆：包過濾防火牆只檢查當前所在層數據包的目標地址，並選擇一個達到目的地址的最佳路徑。

2、代理型防火牆：代理型防火牆可對網路上任一層的數據包進行檢查並經過身份認證，讓符合安全規則的包通過，並丟棄其餘的包。

三、網關不同

1、包過濾防火牆：包過濾防火牆內部網路的主機，需要設置防火牆為網關，才可以獲取Internet資源。

2、代理型防火牆：代理型防火牆內部網路的主機，無需設置防火牆為網關，只需直接將需要服務的IP地址指向代理伺服器主機，就可以獲取Internet資源。

參考資料來源：

網路——包過濾防火牆

網路——代理服務型防火牆

Ⅶ 防火牆的應用代理技術有哪些

①包過濾技術
其原理在於監視並過濾網路上流入流出的包，拒絕發送那些可疑的包。由於包過濾技術無法有效地區分相同IP地址的不同用戶，安全性相對較差。
②代理服務技術
其原理是在網關計算機上運行應用代理程序，運行時由兩部分連接構成：一部分是應用網關同內部網用戶計算機建立的連接，另一部分是代替原來的客戶程序與伺服器建立的連接。通過代理服務，內部網用戶可以通過應用網關安全地使用Internet服務，而對於非法用戶的請求將予拒絕。代理服務技術與包過濾技術不同之處，在於內部網和外部網之間不存在直接連接，同時提供審計和日誌服務
③網路地址轉換技術
其原理如同電話交換總機，當不同的內部網路用戶向外連接時，使用相同的IP地址(總機號碼)；內部網路用戶互相通信時則使用內部IP地址(分機號碼)。內部網路對外部網路來說是不可見的，防火牆能詳盡記錄每一個內部網計算機的通信，確保每個數據包的正確傳送
④虛擬專用網VPN技術
虛擬專用網(VPN)是區域網在廣域網上的擴展，是專用計算機網路在Internet上的延伸。VPN通過專用隧道技術在公共網路上模擬一條點到點的專線，實現安全的信息傳輸。雖然VPN不是真正的專用網路，但卻能夠實現專用網路的功能。
⑤審計技術
通過對網路上發生的各種訪問過程進行記錄和產生日誌，並對日誌進行統計處理，從而對網路資源的使用情況進行分析，對異常現象進行追蹤監視。
⑥信息加密技術

Ⅷ 應用層防火牆一般採用的是什麼技術

我們平時接觸的防火牆是主要是對OSI三層及以下的防護，而應用層防火牆顧名思義可以對7層進行一個防護。傳統的防火牆一般是靜態的，針對特定的埠，特定的地址設定策略。而應用層防火牆，你可以把它理解為動態的，是基於應用層協議的檢測和阻斷，其原理應該是對網路中的流量進行抓包，將流量提取出來進行協議還原，模式匹配等等技術。功能接近於和IPS（入侵保護系統）。

應用層網關（Application level gateway），也叫做應用層防火牆或應用層代理防火牆，通常用於描述第三代防火牆。當一個用戶在這個可信賴的網路希望連接到在不被信賴的網路的服務例如網際網路，這個應用專注於在防火牆上的代理伺服器。這個代理伺服器有效地偽裝成在網際網路上的真實伺服器。它評估請求和決定允許或拒絕基於一系列被個人網路服務管理規則的請求。
應用層防火牆
在現代的計算環境中，應用層防火牆日益顯示出其可以減少攻擊面的強大威力。
最初的網路安全不過是使用支持訪問列表的路由器來擔任。對簡單的網路而言，僅使用訪問控制列表和一些基本的過濾功能來管理一個網路對於未授權的用戶而言已經足夠。因為路由器位於每個網路的中心，而且這些設備還被用於轉發與廣域網的通信。
但路由器僅能工作在網路層，其過濾方式多少年來並沒有根本性的變化。製造路由器的公司也為增強安全性在這一層上也是下足了工夫。更明確地講，所有的安全措施只不過存在於路由器所在的網路層而已。
第三代防火牆稱為應用層防火牆或代理伺服器防火牆，這種防火牆在兩種方向上都有「代理伺服器」的能力，這樣它就可以保護主體和客體，防止其直接聯系。代理伺服器可以在其中進行協調，這樣它就可以過濾和管理訪問，也可以管理主體和客體發出和接收的內容。這種方法可以通過以各種方式集成到現有目錄而實現，如用戶和用戶組訪問的LDAP。
應用層防火牆還能夠仿效暴露在互聯網上的伺服器，因此正在訪問的用戶就可以擁有一種更加快速而安全的連接體驗。事實上，在用戶訪問公開的伺服器時，他所訪問的其實是第七層防火牆所開放的埠，其請求得以解析，並通過防火牆的規則庫進行處理。一旦此請求通過了規則庫的檢查並與不同的規則相匹配，就會被傳遞給伺服器。這種連接在是超高速緩存中完成的，因此可以極大地改善性能和連接的安全性。
而在OSI模型中，第五層是會話層，第七層是應用層。應用層之上的層為第八層，它在典型情況下就是保存用戶和策略的層次。

Ⅸ 應用代理防火牆工作在OSI/ISO模型的（）

D,應用層