廣告廣告
  加入我的最愛 設為首頁 風格修改
首頁 首尾
 手機版   訂閱   地圖  簡體 
您是第 1701 個閱讀者
 
發表文章 發表投票 回覆文章
  可列印版   加為IE收藏   收藏主題   上一主題 | 下一主題   
upside 手機 葫蘆墩家族
個人頭像
個人文章 個人相簿 個人日記 個人地圖
特殊貢獻獎 社區建設獎 優秀管理員勳章
頭銜:反病毒 反詐騙 反虐犬   反病毒 反詐騙 反虐犬  
版主
分享: 轉寄此文章 Facebook Plurk Twitter 複製連結到剪貼簿 轉換為繁體 轉換為簡體 載入圖片
推文 x0
[資訊教學] 部署代理防火牆的優勢與缺陷
部署代理防火牆的優勢與缺陷

代理防火牆能夠比其它類型的防火牆提供更多的安全性,但是,這是以犧牲速度和功能爲代價的,因爲代理防火牆能夠限制你的網絡支持什麽應用程序。那麽,爲什麽代理防火牆更安全呢?代理防火牆與穩定的防火牆不同,穩定的防火牆允許或者封鎖網絡數據包進出受保護的網絡,而通信流不經過代理。如果使用代理防火牆,計算機要建立一個通向代理的連接,這個代理充當一個中介並且代表這台計算機的請求啓動一個新的網絡鏈接。這就阻止了防火牆兩端的係統直接進行連接,使攻擊者很難發現這個網絡在什麽地方,因爲它們永遠不接收它們的目標係統直接創建的數據包。

  代理防火牆也對它們支持的協議提供深入的和熟悉協議的安全分析。這使它們能夠比那些純粹以數據包頭信息爲重點的産品做出更好的安全決策。例如,一個專門爲支持FTP協議而編寫的代理防火牆能夠監視在命令通道上發出的實際的FTP命令,並且阻止任何禁止的行爲。代理防火牆允許實施熟悉協議的記錄。因爲服務器是由代理保護的,這種記錄能夠讓人們很容易發現攻擊方法並且爲現有的記錄創建一個備份。

  然而,代理防火牆提供增強的安全是要付出代價的。這種額外的開銷來自於爲每一個通話建立兩個連接、在應用層驗證請求需要耗費的時間以及降低性能等。你可以花錢增強你的代理服務器,但是,在一個真正高帶寬的網絡中,代理防火牆仍是一個瓶頸。你也許會發現爲你的網絡恰當地安裝和設置一套必要代理是很困難的,而且讓虛擬專用網通過一個代理防火牆是很難的。

  另外,雖然最新的代理防火牆爲大量的互聯網協議提供代理,但是,如果你的網絡使用一個你的代理防火牆不支持的協議,你必須要使用一個普通的代理或者開發一個新的代理。使用普通的代理,你將失去熟悉協議的分析和記錄功能,只有最基本的安全檢查功能。重要的是需要指出這個行業正在擺脫代理防火牆,主要是因爲性能和兼容性問題。安全行業似乎支持深度包檢測防火牆。這種防火牆更靈活,能夠處理速度更快的網絡。然而,在你考慮進行轉換之前,你需要了解,雖然深度包檢測與代理一樣在應用層是好用的,但是,在計算機係統之間仍有直接的聯係。正如上面所說的那樣,這種直接的聯係很容易讓黑客采集到操作係統和應用程序的指紋,以便確定利用哪一類安全漏洞攻擊這個客戶機係統。



爸爸 你一路好走
獻花 x0 回到頂端 [樓 主] From:臺灣和信超媒體寬帶網 | Posted:2007-12-04 05:03 |

首頁  發表文章 發表投票 回覆文章
Powered by PHPWind v1.3.6
Copyright © 2003-04 PHPWind
Processed in 0.055223 second(s),query:15 Gzip disabled
本站由 瀛睿律師事務所 擔任常年法律顧問 | 免責聲明 | 本網站已依台灣網站內容分級規定處理 | 連絡我們 | 訪客留言