@烟雨
2年前 提问
1个回答

应用层网关代理的缺点

X0_0X
2年前

应用层网关代理的缺点有四点:

  • 处理效率慢

    断掉所有的连接,由防火墙重新建立连接,理论上可以使应用代理防火墙具有极高的安全性。但是实际应用中并不可行,因为对于内网的每个Web访问请求,应用代理都需要开一个单独的代理进程,它要保护内网的Web服务器、数据库服务器、文件服务器、邮件服务器,及业务程序等,就需要建立一个个的服务代理,以处理客户端的访问请求。这样,应用代理的处理延迟会很大,内网用户的正常Web访问不能及时得到响应。

  • 难于配置

    由于每个应用都要求单独的代理进程,这就要求网管能理解每项应用协议的弱点,并能合理的配置安全策略,由于配置繁琐,难于理解,容易出现配置失误,最终影响内网的安全防范能力。

  • 局限性大

    应用层防火墙对每个协议(如HTTP、MTP等)都需要单独的代理程序,因此它对新的网络程序或网络协议的支持很有局限性。虽然大多数防火墙厂商为了应对未定义的网络协议或应用程序都提供了一般的代理程序,但在这种情况下,它往往会完全允许流量通过防火墙,而忽略很多应用层防火墙应做的操作。相比之下,状态包检测防火墙和包过滤防火墙一样,只会对网络性能造成很小的影响,因而可以实现对应用程序的透明和独立。随着客户端或代理数目的增加,可扩充性也成为了的问题。应用层防火墙通常需要网络中的客户端安装专门的软件或更改某些配置,以便能够连接到应用代理。这在一个大的网络里会造成非常大的影响。为了减轻防火墙的负载压力,在对那些及时性要求不高的服务(如e-mail服务以及大部分的网络流量)进行安全处理的时候,可能会需要对部署专门的代理服务器,从而也增加了全部费用。

  • 资源占用多

    如果所有进站和出站的网络流量都需要在应用层上进行检测,那么数据在检测前就必须首先通过OSI的七层,而包过滤型和全状态包检测型防火墙在只网络层对流量进行检测。由于防火墙对数据包进行读取和解析必然消耗CPU周期,尤其是解析过程特别耗费CPU资源,所以很有可能形成网络性能的障碍。这也意味着应用层防火墙更容易受到分布式拒绝服务攻击,因此不太适合高带宽或实时应用程序。而它也很可能会成为操作系统里的安全漏洞。

应用层网关代理的优点

应用代理网关防火墙彻底隔断内网与外网的直接通信,内网用户对外网的访问变成防火墙对外网的访问,然后再由防火墙转发给内网用户。其优势是可以检查应用层、传输层和网络层的协议特征,对数据包的检测能力比较强。应用层防火墙可以检测数据包的有效荷载根据这些实际内容作出相应决定,还能提供更好的内容过滤能力。它们还可以审查完整的网络数据包,而不仅仅是网络地址和端口,这就使得它们有更强大的日志记录功能,例如可以记录某个特定程序发出的命令这样的日志事件,这对于处理突发安全事件和实施安全策略提供了很有价值的信息。

什么是应用层网关

ALG-是英语Application Layer Gateway,或application-level gateway,简称为ALG,中文意思:应用层网关是一种NAT穿透技术。就应用层面来说,它允许修改匣道上的NAT traversal的过滤规则,完成特定网络传输协议上的地址和端口的转换。举例来说,像FTP、BitTorrent、SIP、RTSP、IPsec、L2TP、H.323,这些都可以使用ALG来针对应用程序在地址及端口转换上的需求。在RFC 2663中定义了这个功能。应用层网关 (ALG) 是一种安全软件或设备,代表网络上的应用服务器运行,保护服务器和应用免受可能恶意的流量的影响。是用于管理SIP(会话发起协议)和FTP(文件传输协议)等特殊应用协议的软件组件。ALG 充当 Internet 和应用服务器之间的中介,可以处理相应的协议,并充当端点,控制对应用服务器的访问权限。为此,拦截和分析相应的网络流量,分配资源并定义允许通过网关访问的动态规则。