代理技術(shù)與包過(guò)濾技術(shù)完全不同，包過(guò)濾技術(shù)是在網(wǎng)絡(luò)層攔截所有的信息流，代理技術(shù)是針對(duì)每一個(gè)特定應(yīng)剛都有—一個(gè)程序。代理是企圖在應(yīng)用層實(shí)現(xiàn)防火墻的功能，代理的主要特點(diǎn)是有狀態(tài)性。代理能提供部分與傳輸方面的信息，代理也能處理利管理信息。通過(guò)代理使得網(wǎng)絡(luò)管理員實(shí)現(xiàn)比包過(guò)濾路由器更嚴(yán)格的安全策略。
代理的概念對(duì)于防火墻應(yīng)剛是非常重要的，因?yàn)榇�理把網(wǎng)絡(luò)IP地址替換成其它的暫時(shí)的地址。這種執(zhí)行對(duì)于互聯(lián)網(wǎng)來(lái)說(shuō)有效地隱藏了真正的網(wǎng)絡(luò)IP地址，因此保護(hù)了整個(gè)網(wǎng)絡(luò)。
代理行幾個(gè)用處，由于是當(dāng)黑客開(kāi)始活動(dòng)的時(shí)候。見(jiàn)左圖黑客所做的第一件事就是偵查你的網(wǎng)絡(luò)上的弱點(diǎn)。通常都是利用端口掃描。為了防止這第一步，你需要盡可能地隱蔽內(nèi)部系統(tǒng)的配置信息暴露給潛在的攻擊者。代
理可以使你隱藏這些信息，并能提供有效的通信。
代理主要有三種基本類型：WEB代理、電路級(jí)網(wǎng)關(guān)，應(yīng)用級(jí)網(wǎng)關(guān)。
WEB代理
WEB代理服務(wù)的最人好處就是能提高訪問(wèn)Internet的速度：一旦—個(gè)WEB代理服務(wù)器配置了足夠的緩存，它就可以從這些緩存里對(duì)請(qǐng)求提供服務(wù)。而WEB代理客戶端則可以得到很快速的響應(yīng)。WEB代理第二個(gè)好處是WEB代理使客戶端無(wú)需正接連接Internet，所以遠(yuǎn)離成為被攻擊的目標(biāo)。
電路級(jí)網(wǎng)關(guān)
電路級(jí)網(wǎng)關(guān)用來(lái)監(jiān)控受信任的客戶或服務(wù)器與不受信任的主機(jī)間的TCP握手信息，這樣來(lái)決定該會(huì)話(session)是否合法。我們知道，要使用TCP協(xié)議，首先必須通過(guò)三次握手建立TCP連接，然后才開(kāi)始發(fā)送數(shù)據(jù)。電路級(jí)網(wǎng)關(guān)通過(guò)在TCP握手過(guò)程中，檢查雙方的SYN、ACK和序列數(shù)據(jù)是否合理邏輯，來(lái)判斷該請(qǐng)求的會(huì)話是否合法。一旦該網(wǎng)關(guān)認(rèn)為會(huì)話是合法的，就會(huì)為雙方建立連接，自此，網(wǎng)關(guān)僅復(fù)制、傳遞數(shù)據(jù)，而不進(jìn)行過(guò)濾。電路級(jí)網(wǎng)關(guān)通常需要依靠特殊的應(yīng)用程序來(lái)進(jìn)行復(fù)制傳遞數(shù)據(jù)的服務(wù)。實(shí)際上，電路級(jí)網(wǎng)關(guān)并非作為一個(gè)獨(dú)立的產(chǎn)品存在，它與其他的應(yīng)用級(jí)網(wǎng)關(guān)結(jié)合在一起，所以有人也把電路級(jí)網(wǎng)關(guān)門為應(yīng)用級(jí)網(wǎng)關(guān)。電路級(jí)網(wǎng)關(guān)是在OSI模型中會(huì)話層上來(lái)過(guò)濾數(shù)據(jù)包。也因?yàn)槿绱耍�它就無(wú)法檢查應(yīng)用層級(jí)的數(shù)據(jù)包。最流行的電路級(jí)網(wǎng)關(guān)是IBM發(fā)明的SOCKS網(wǎng)關(guān)。很多產(chǎn)品，包括微軟的Microsfot ProxyServer就支持SOCKS。
優(yōu)點(diǎn)和缺點(diǎn)
電路級(jí)網(wǎng)關(guān)的主要優(yōu)點(diǎn)就是提供NAT，在使用內(nèi)部網(wǎng)絡(luò)地址機(jī)制時(shí)為網(wǎng)絡(luò)管理員實(shí)現(xiàn)安全提供了很大的靈活性。電路級(jí)網(wǎng)關(guān)是基于和包過(guò)濾防火墻一樣的規(guī)則。電路級(jí)網(wǎng)關(guān)提供包過(guò)濾提供的所有優(yōu)點(diǎn)但卻沒(méi)有包過(guò)濾的缺點(diǎn)。
缺點(diǎn)為不能很好地區(qū)別好包與壞包、易受IP欺騙這類的攻擊及復(fù)雜性這些都是電路級(jí)網(wǎng)關(guān)的弱點(diǎn)。電路級(jí)網(wǎng)關(guān)又一個(gè)主要的缺點(diǎn)是需要修改應(yīng)用程序和執(zhí)行程序。還有電路級(jí)網(wǎng)關(guān)要求終端用戶通過(guò)網(wǎng)關(guān)的認(rèn)證。