應(yīng)用網(wǎng)關(guān)也稱(chēng)為代理服務(wù)器ωroxy sCⅣer),它在應(yīng)用層通信中扮演報(bào)文中繼的角色。ADE7758ARWZ一種網(wǎng)絡(luò)應(yīng)用需要一個(gè)應(yīng)用網(wǎng)關(guān),例如在上一章6.4.3節(jié)中“代理服務(wù)器”介紹過(guò)的萬(wàn)維網(wǎng)緩存就是一種萬(wàn)維網(wǎng)應(yīng)用的代理服務(wù)器。在應(yīng)用網(wǎng)關(guān)中,可以實(shí)現(xiàn)基于應(yīng)用層數(shù)據(jù)的過(guò)

濾和高層用戶(hù)鑒別。所有進(jìn)出網(wǎng)絡(luò)的應(yīng)用程序報(bào)文都必須通過(guò)應(yīng)用網(wǎng)關(guān)。當(dāng)某應(yīng)用客戶(hù)進(jìn)程向服務(wù)器發(fā)送一份請(qǐng)求報(bào)文時(shí),先發(fā)送給應(yīng)用網(wǎng)關(guān),應(yīng)用網(wǎng)關(guān)在應(yīng)用層打開(kāi)該報(bào)文,查看該請(qǐng)求是否合法

(可根據(jù)應(yīng)用層用戶(hù)標(biāo)識(shí)ID或其他應(yīng)用層信息)。如果請(qǐng)求合法,應(yīng)用網(wǎng)關(guān)以客戶(hù)進(jìn)程的身份將請(qǐng)求報(bào)文轉(zhuǎn)發(fā)給原始服務(wù)器。如果不合法,報(bào)文則被丟棄。例如,一個(gè)郵件網(wǎng)關(guān)在檢查每一個(gè)郵件時(shí),根據(jù)郵件地址,或郵件的其他首部,甚至是報(bào)文的容(如,有沒(méi)有某些

像“導(dǎo)彈”“核彈頭”等關(guān)鍵詞)來(lái)確定該郵件能否通過(guò)防火墻。

應(yīng)用網(wǎng)關(guān)也有一些缺點(diǎn)。首先,每種應(yīng)用都需要一個(gè)不同的應(yīng)用網(wǎng)關(guān)(可以運(yùn)行在同一臺(tái)主機(jī)上)。其次,在應(yīng)用層轉(zhuǎn)發(fā)和處理報(bào)文,處理負(fù)擔(dān)較重。另外,對(duì)應(yīng)用程序不透明,需要在應(yīng)用程序客戶(hù)端配置應(yīng)用網(wǎng)關(guān)地址。通�？蓪⑦@兩種技術(shù)結(jié)合使用,圖7-⒛所畫(huà)的防火墻就同時(shí)具有這兩種技術(shù)。它包括兩個(gè)分組過(guò)濾路由器和一個(gè)應(yīng)用網(wǎng)關(guān),它們通過(guò)兩個(gè)局域網(wǎng)連接在一起。

   防火墻試圖在入侵行為發(fā)生之前阻止所有可疑的通信。但事實(shí)是不可能阻止所有的入侵行為,有必要采取措施在入侵已經(jīng)開(kāi)始,但還沒(méi)有造成危害或在造成更大危害前,及時(shí)檢測(cè)到入侵,以便盡快阻止入侵,把危害降低到最小。入侵檢測(cè)系統(tǒng)IDs αlltrLlsion DetectioIl

system)正是這樣一種技術(shù)。IDS對(duì)進(jìn)入網(wǎng)絡(luò)的分組執(zhí)行深度分組檢查,當(dāng)觀察到可疑分組時(shí),向網(wǎng)絡(luò)管理員發(fā)出告警或執(zhí)行阻斷操作(由于IDs的“誤報(bào)”率通常較高,多數(shù)情況不執(zhí)行自動(dòng)阻斷)。IDs能用于檢測(cè)多種網(wǎng)絡(luò)攻擊,包括網(wǎng)絡(luò)映射、端口掃描、Dos攻擊、

蠕蟲(chóng)和病毒、系統(tǒng)漏洞攻擊等。