用相似。 

应用级防火墙一般是运行代理服务器的主机，它不允许传输流在网络之间直接传输，并对通过它的传输流进行记录和审计。由于代理应用程序是运行在防火墙上的软件部件，因此它处于实施记录和访问控制的理想位置。应用级防火墙可以被用作网络地址翻译器，因为传输流通过有效地屏蔽掉起始接入原址的应用程序后，从一“面”进来，从另一面出去。在某些情况下，设置了应用级防火墙后，可能会对性能造成影响，会使防火墙不太透明。早期的应用级防火墙，如那些利用 TIS防火墙工具包构造的防火墙，对于最终用户不很透明，并需要对用户进行培训。应用级防火墙一般会提供更详尽的审计报告，比网络级防火墙实施更保守的安全模型。 

应用级防火墙举例：这此例中，给出了一个所谓“双向本地网关”（dual homed gateway）的应用级防火墙。双向本地网关是一种运行代理软件的高度安全主机。它有两个网络接口，每个网络上有一个接口，拦阻通过它的所有传输流。 

防火墙未来的位置应当处于网络级防火墙与应用级防火墙之间的某一位置。网络级防火墙可能对流经它们的信息越来越“了解”（aware），而应用级防火墙可能将变得更加“低级”和透明。最终的结果将是能够对通过的数据流记录和审计的快速包屏蔽系统。越来越多的防火墙（网络和应用层）中都包含了加密机制，使它们可以在Internet上保护流经它们之间的传输流。具有端到端加密功能的防火墙可以被使用多点Internet接入的机构所用，这些机构可以将Internet作为“专用骨干网”，无需担心自己的数据或口令被偷看。 

8．什么是“单故障点”？应当如何避免出现这种故障？ 

安全性取决于一种机制的结构具有单故障点。运行桥头堡主机的软件存在错误。应用程序存在错误。控制路由器的软件存在错误。使用所有这些组件建造设计安全的网络，并以冗余的方式使用它们才有意义。 

如果你的防火墙结构是屏蔽子网，那么，你有两台包过滤路由器和一台桥头堡主机。（参见本节的问题2）Internet访问路由器不允许传输流从Internet进入你的专用网络。然而，如果你不在桥头堡主机以及（或）阻塞（choke）路由器上与其它任何机制一道执行这个规则（rule）的话，那么只要这种结构中的一个组件出现故障或遭到破坏就会使攻击者进入防火墙内部。另一方面，如果你在桥头堡主机上具有冗余规则，并在阻塞路由器上也有冗余规则，那么攻击者必须对付三种机制。 

此外，如果这台桥头堡主机或阻塞路由器使用规则来拦阻外部访问进入内部网络的话，你可能需要让它触发某种报警，因为你知道有人进入了你的访问路由器。 

9．如何才能将所有的恶意的传输拦在外面？　 

　对于重点在于安全而非连接性的防火墙来说，你应当考虑缺省拦阻所有的传输，并且只特别地根据具体情况允许你所需要的服务通过。 

如果你将除特定的服务集之外的所有东西都挡在外面，那么你已经使你的任务变得很容易了。你无需再为周围的每样产品和每件服务的各种安全问题担心了，你只需关注特定产品和服务存在的各种安全问题。 

　在启动一项服务之前，你应当考虑下列问题：＊这个产品的协议是人们熟知的公开协议吗？＊为这个协议提供服务的应用程序的应用情况是否可供公开检查？＊这项服务和产品是否为人们熟知？＊使用这

上一页  [1] [2] [3] [4] [5] [6] [7] [8] 下一页