應用網(wǎng)關也稱為代理服務器,它在應用層通信中扮演報文中繼的角色。HK4100F-DC5V一種網(wǎng)絡應用需要一個應用網(wǎng)關,例如在上一章6.4.3節(jié)中“代理服務器”介紹過的萬維網(wǎng)緩存就是一種萬維網(wǎng)應用的代理服務器。在應用網(wǎng)關中,可以實現(xiàn)基于應用層數(shù)據(jù)的過濾和高層用戶鑒別。所有進出網(wǎng)絡的應用程序報文都必須通過應用網(wǎng)關。當某應用客戶進程向服務器發(fā)送一份請求報文時,先發(fā)送給應用網(wǎng)關,應用網(wǎng)關在應用層打開該報文,查看該請求是否合法(可根據(jù)應用層用戶標識ID或其他應用層信息)。如果請求合法,應用網(wǎng)關以客戶進程的身份將請求報文轉發(fā)給原始服務器。如果不合法,報文則被丟棄。例如,一個郵件網(wǎng)關在檢查每一個郵件時,根據(jù)郵件地址,或郵件的其他首部,甚至是報文的內(nèi)容(如,有沒有某些像“導彈”“核彈頭”等關鍵詞)來確定該郵件能否通過防火墻。應用網(wǎng)關也有一些缺點。首先,每種應用都需要一個不同的應用網(wǎng)關(可以運行在同

一臺主機上)。其次,在應用層轉發(fā)和處理報文,處理負擔較重。另外,對應用程序不透明,需要在應用程序客戶端配置應用網(wǎng)關地址。

通�？蓪⑦@兩種技術結合使用,圖7-⒛所畫的防火墻就同時具有這兩種技術。它包括兩個分組過濾路由器和一個應用網(wǎng)關,它們通過兩個局域網(wǎng)連接在一起。

   入侵檢測系統(tǒng)

   防火墻試圖在入侵行為發(fā)生之前阻止所有可疑的通信。但事實是不可能阻止所有的入侵行為,有必要采取措施在入侵已經(jīng)開始,但還沒有造成危害或在造成更大危害前,及時檢測到入侵,以便盡快阻止入侵,把危害降低到最小。入侵檢測系統(tǒng)IDs αlltrLlsion DetectioIl

system)正是這樣一種技術。IDS對進入網(wǎng)絡的分組執(zhí)行深度分組檢查,當觀察到可疑分組時,向網(wǎng)絡管理員發(fā)出告警或執(zhí)行阻斷操作(由于IDs的“誤報”率通常較高,多數(shù)情況不執(zhí)行自動阻斷)。IDs能用于檢測多種網(wǎng)絡攻擊,包括網(wǎng)絡映射、端口掃描、Dos攻擊、

蠕蟲和病毒、系統(tǒng)漏洞攻擊等。