控。应用网关的代理服务实体将对所有通过它的连接作出日志记录,以便对安全漏洞进行检查和收集相关的信息。同时该实体可采取强认证技术,能对数据内容进行过滤,保证信息数据内容的安全,防止病毒以及恶意的Java Applet或ActiveX代码,具有较高的安全性;但是由于每次数据传输都要经过应用层转发,造成应用层处理繁忙,性能下降。
在对上述两种防火墙技术分析的基础上,我们设计和开发了基于网络地址转换(Network Address Translator, NAT)的复合型防火墙系统,它融合了代理技术的高性能和包过滤技术高效性的优点。
设计思想
代理技术造成性能下降的主要原因在于其在指定的应用服务中,传输的每一个报文都需代理主机转发,应用层的处理量过于繁重,改变这一状况的最理想的方案是让应用层仅处理用户身份鉴别的工作,而网络报文的转发由TCP层或IP层来完成。另一方面,包过滤技术仅仅是根据IP包中源及目的地址来判定一个包是否可以通过,而这两个地址是很容易被篡改和伪造的,一旦网络的结构暴露给外界后,就很难抵御IP层的攻击行为。
集中访问控制技术是在服务请求时由网关负责鉴别,一旦鉴别成功,其后的报文交互都直接通过TCP/IP层的过滤规则,无需象应用层代理那样逐个报文转发,这就实现了与代理方式同样的安全水平而处理量大幅下降,性能随即得到大大提高。另一页码:[1] [2] [3] [4] [5] [6] [7] 第2页、共7页 |
