包过滤防火墙和代理防火墙的比较期刊

收稿日期:2003-06-05

作者简介:黄 菊(1975-),女,河南信阳人,从事计算机教学工作,助教。

包过滤防火墙和代理防火墙的比较

黄 菊

(郑州航空工业管理学院,河南 郑州 450015)

摘 要:防火墙是网络安全策略的重要组成部分,选择合适的防火墙技术是用户应用网络的前提。对包过滤防火墙和代理防火墙技术进行了比较分析,并针对二者存在的问题提出了解决的方法。关键词:防火墙;包过滤防火墙;代理防火墙

中图分类号:TP393.08 文献标识码:A 文章编号:1007-9734(2003)04-0118-03Abstract:Firewall is an important part of the web safty tactics,choosing proper firewall is the premise of the network implication.The packet filtering firewall and proxy firewall are analyzed and compared in this paper,the methods that can solve the existed problems are also put forward.Key words:firewall;packet filtering firewall;proxy firewall

防火墙技术目前已经广泛应用于专用网络与公用网络的互联环境中。防火墙大致可以分为两大类:包过滤防火墙和代理防火墙。它们代表了当今防火墙产品中的两种主流类型,它们各自有着不同的优缺点和适用范围,选择哪一种防火墙作为组建网络的防范措施对用户来说是很重要的。下面针对这两种防火墙作一比较。

一、包过滤防火墙和代理防火墙的工作机制

包过滤防火墙是最普通的防火墙,适用于简单网络。这种方法只需简单地在Internet 网关处安装一个数据包过滤路由器,并设置过滤规则阻挡协议或地址。包过滤防火墙在网络层和传输层起作用。数据包过滤器在发送前先检查每一个数据包,根据数据包的IP 源地址、IP 目的地址、所用的TCP 源端口号和目的端口号、TCP 链路状态等因素或它们的组合来确定是否允许数据包通过,只有满足过滤逻辑的数据包才能被转发至相应的目的地的输出端口,其余数据包则从数据流中被删除。

代理防火墙又称应用层网关级防火墙,是一种较新型的防火墙技术,它作用于应用层,针对特定的应用层协议,通过对每种应用服务编制专门的代理程序,实现监视和控制应用层通信流的作用。代理防火墙使用一个代理服务器作为内部网的服务器,拦截所有来自因特网的要求,同时也向内部网客户转发响应;代理客户负责代表内部客户向外部服务器发出请求,同时也向代理服务器转发响应。当用户想和一个运行代理的网络建立联系时,代理服务器会阻塞这个连接,然后对连接请求的各个域进行检查,如果此连接请求符合预定的安全策略或规则,代理防火墙便会让其通过,对那些不符合预定安全规则的请求,

就阻塞或抛弃。

图1

包过滤防火墙示意

图2 代理防火墙示意二、包过滤防火墙和代理防火墙的比较1.两种防火墙基本构件不同

包过滤防火墙是基于硬件的防火墙,数据包过滤用在内部主机和外部主机之间,过滤系统由一台路由器或是一台主机来完成过滤任务,因此大多数防火墙都配置

第21卷 第4期2003年12月 郑州航空工业管理学院学报

Journal of Zhengzhou Institute of Aeronautical Industry M anagement Vol.21No.4 Dec.2003

成无状态的包过滤路由器,因而实现包过滤几乎没有任何耗费。而代理防火墙是基于软件的防火墙,它将过滤路由器和软件代理技术结合在一起,在作为代理的服务器上运行一种服务器程序。目前较为流行的代理服务器软件有WinGate和Proxy Server。

2.包过滤防火墙比代理防火墙的工作效率高

包过滤防火墙工作在OSI模型的网络层和传输层,过滤路由器只检查IP包头相应的字段,一般不查看数据包的内容,而且某些核心部分是由专用硬件实现的,故其转发速度快、效率较高。代理防火墙工作于应用层,需要检查数据包的内容,按特定的应用协议(如HTTP)进行审查、扫描数据包内容,并进行代理(转发请求或响应),故其速度较慢,不适用于高速网之间的应用。

3.包过滤防火墙为用户提供了一种透明的服务

由于数据包过滤不要求任何主机安装特定的软件,也不要求用户有任何特殊的训练或操作,更理想的情况是用户甚至可以无视它的存在。而代理防火墙对用户不透明,许多代理要求客户端作相应改动或安装定制客户端软件,这给用户增加了不透明度。

4.代理防火墙比包过滤防火墙更安全

代理防火墙工作在应用层,完全控制会话,它可以按一定准则,让代理生成各项日志、记录。这些日志、记录对于流量分析、安全检验是十分重要和宝贵的,同时用户通过代理进出数据,可以让代理完成加解密的功能,从而方便用户,确保数据的机密性。而在包过滤防火墙中,大多数包过滤路由器都是基于源IP地址、目的IP地址而进行过滤的,它可以防止一种IP地址的欺骗,即外部主机伪装内部主机的IP地址,但是IP地址的伪造是很容易很普遍的,所以当入侵的外部主机伪装成另一台外部主机,包过滤就不能阻挡它的进入,即使按MAC地址进行绑定,也是不可信的。另外,由于包过滤防火墙不可能提供有用的日志,因此如果有危险的数据包通过了,它也无法被检测出来。另外数据包过滤防火墙上的信息不能完全满足我们对安全策略的需求。例如,当数据包来自某一主机,而不是某个用户时,我们就不能强行限制特殊的用户。而且一些应用协议不适合于经由数据包过滤安全保护,如FTP。

5.代理防火墙的使用方法与包过滤防火墙不同

代理使用一个客户程序与特定的中间结点连接,然后中间结点与代理服务器进行实际连接。与包过滤防火墙不同的是,使用这类防火墙时外部网络与内部网络之间不存在直接连接,因此,即使防火墙发生了问题,外部网络也无法与被保护的网络连接。而对于包过滤防火墙来说,外部网络的非法访问一旦突破防火墙,就可对内部主机上的软件和配置漏洞构成攻击。

6.代理防火墙比包过滤防火墙更易于配置

因为代理防火墙是基于软件的,只需在代理服务器上装上相应的服务器程序,所以它较包过滤防火墙更易配置,且配置界面友好,如果能较好的实现代理,对配置协议要求较低,从而避免配置错误。而包过滤防火墙的配置需要大量的时间和人力,而且包过滤防火墙需要制定冗长而复杂且不易理解和管理的过滤规则。在制定之前网络管理员需要对各种因特网服务、包头格式等有足够的了解,同时也很难测试其规则的正确性。

7.包过滤防火墙比代理防火墙的成本低

包过滤防火墙一般用屏蔽路由器来实现,而代理防火墙需要配置相应的代理服务器,屏蔽路由器的价格较便宜。

三、应用包过滤防火墙和代理防火墙存在的问题

1.应用包过滤防火墙存在的问题

(1)数据包过滤技术本身对网络的保护功能有局限性。这是因为它是在网络链路层和传输链路层上运作的技术,因而对位于网络更高协议层的信息无理解能力,使得它对通过网络应用链路层协议实现的安全威胁无防范能力。而且当外部主机被允许访问内部主机,那么它可以直接访问内部网上的所有主机。

(2)不能彻底防止地址欺骗。大多数包过滤路由器都是基于源IP地址、目的IP地址而进行过滤的。而伪造IP 地址既容易又普遍,所以伪装成其他外部主机的恶意攻击者将会很容易通过防火墙。

(3)一些应用协议不适合于数据包过滤。如UDP、TFTP和RPC等数据包协议无法正确处理数据包过滤。

(4)数据包过滤规则难以配置。定义数据包过滤器比较复杂,需网络管理员对各种In ternet服务、包头格式以及每种协议数据包中的每个域的意义有深入理解。

(5)不能提供有用的日志,那些具有攻击性的数据即便是通过了防火墙也无法查证出来。

(6)不能对用户进行识别。由于包过滤防火墙工作在网络层和传输层只检查网络地址,因此不能区分一个想破坏防火墙的用户和一个受权使用的用户。

2.应用代理防火墙存在的问题

(1)性能较低。各个连接以级联或中继方式从代理主机到达应用层。每个数据包必须通过代理应用和网络协议层两次,因此用户方需要进行大量的数据处理和信息交换。

(2)不能改进底层协议的安全性。由于代理工作于TCP/IP之上,属于应用层,所以它不能改善底层通信协议的能力。如IP欺骗、SYN泛滥,伪造ICMP消息和一些拒绝服务的攻击。

(3)代理服务不能保证免受所有协议弱点的限制。对于每个应用层协议,都或多或少的存在一些不安全因素,对于一个代理服务器来说,要彻底避免这些安全隐患几乎是不可能的,除非关掉这些服务。

(4)代理服务影响运行。一般应用程序代理不是采用客户端应用程序,就是把处理任务留给最终用户,为此必

119

第4期黄菊:包过滤防火墙和代理防火墙的比较