精华区文章阅读

发信人: login (waiter), 信区: Networking
标  题: 防火墙（转载二）
发信站: 紫丁香
日  期: Fri Apr 18 21:47:51 1997
出  处: riee1.hit.edu.c

       二.    Proxy Service

    Proxy Service使用了和Packet filter不同的方法。Proxy使用一个客户程序(或许
被修改过), 使用这个称序与特定的中间结点(Firewall)连接, 然后中间结点与期望的
服务器进行实际连接。与Packet filter所不同的是, 使用这种类型的Firewall, 外部
网络之间不存在直接连接。因此, 即使Firewall发生了问题, 外部网络也无法获得与
被保护的网络的连接。我们通常把那个中间结点称之为"dual-homed Host"(双端主机)。
    Proxy提供了详细的注册(log)及审计(audit)功能, 这大大提高乐网络的安全性, 也
为改进现有软件的安全性能提供了可能性。Proxy server运行在dual-homed Host上, 它
是基于特定应用程序的。为了通过Proxy支持一个新的协议, 必须改进Proxy以适应新协
议。一个流行的Proxy集是TIS Internet Firewll Toolkit(FWTK), 它包括针对telnet、
rlogin、ftp、X-Window、http/Web、NNTP/VSenet News的Proxy。还有一个通用的Proxy
系统是SOCKS, 它可以用来编译成Client端应用程序, 使这些程序通过Firewall工作。
SOCKS的优点在于易于使用, 可是缺乏身份验证和基于协议注册的功能。而FWTK则缺乏
足够的透明性, 用户必须经过一定的训练。最新的Proxy Server在透明性方面有了很大
的改进。
    Proxy Server通常由两个部分构成: server端程序和client程序。相当多的Proxy
Server要求使用固定的Client程序。例如socks要求适应SICKS的Client程序。如果网络
管理员不能改变所有的server和Client程序, 系统就不能正常工作。Proxy使网络管理员
有了更大的能力改善网络的安全特性。然而, 它也给软件开发者、网络系统员和最终用
户带来了很大的不便, 这就是使用Proxy的代价。也有一些标准的Client程序可以利用
Proxy Server通过Firewall运行, 如mail,FTP和telnet等。即便如此, 最终用户也许
还需要学习特定的步骤通过Firewall。
    透明性对基于Proxy Service的Firewall显然是一个大问题。即使是那些声称是透明
性Firewall的Proxy也期望应用程序使用特定的TCP或UDP端口。假如一个节点在非标准端
口上运行一个标准应用程序, Proxy将不支持这个应用程序。许多Firewall允许系统管理
员运行两个Proxy拷贝, 一个在标准端口运行, 另一个在非标准端口运行, 常用服务的最
大数目取决于不通的Firewall产品。
    基于Proxy Service的Firewall厂商正在开始解决这个问题。基于Proxy的产品开始
改进成能够设置常用服务和非标准端口。然而, 只要应用程序需要升级, 基于Proxy的
用户会发现他们必须发展新的Proxy。一个明显的例子是许多的Web浏览器中加入了大量
的安全措施。Firewall的购买者应留心询问Firewall厂商他们的产品到底能处理哪些应
用程序。
    另外, 基于Proxy Service的Firewall常常会使网络性能明显下降。在《Data Magzine�
95年11月的报道, 相当多的Firewall不能处理高负载的网络通信。在被其测试的20种商业
Firewall中, 在T1
条件下,只有两种没有发生session丢失的情况.由于一种被称为"denial of service"
的黑客手法对Firewall的网络性能提出了很高的要求,如果Firewall的网络性能太差,
就很容易受到这种攻击.

--

                                * *
                                 ^

※ Origin:·紫丁香 pclinux·[FROM: riee1.hit.edu.c]

Network 版 (精华区)