本节书摘来异步社区《Cisco安全防火墙服务模块(FWSM)解决方案》一书中的第1章,第1.2节,作者:【美】Ray Blair ,Arvind Durai,更多章节内容可以访问云栖社区“异步社区”公众号查看
1.2 理解应用/代理防火墙
Cisco安全防火墙服务模块(FWSM)解决方案
本节在描述应用/代理防火墙时使用了开放系统互连(OSI)模型,并对其进行了简要回顾。OSI模型描述了信息如何从一台计算机的应用程序传输到另外一台计算机的应用程序。在信息传输过程中,每一层都执行特定的任务,然后将信息传输到下一层。该模型有助于解释各个功能层的职责。
OSI模型的7层如下所示。
应用层(第7层):计算机(程序)的用户界面。比如,字处理器、E-mail应用程序、Telnet等。
表示层(第6层):充当系统之间的翻译器,将应用层信息转换为不同系统都可以理解的通用格式。该层处理加密和标准,比如动态图像专家组(MPEG)和标签影像文件格式(TIFF)。
会话层(第5层):负责管理计算机之间的连接或服务请求。
传输层(第4层):负责将数据传输到网络中。传输控制协议是第4层的功能,它在传输时能够保证数据顺序到达,因此提供了比较可靠的通信性能。用户数据报协议也是第4层的功能,但是提供的是不可靠的数据传递。
网络层(第3层):负责IP寻址和数据包路由。位于该层的数据称为“数据包”。
数据链路层(第2层):负责信息的可靠发送。介质访问控制(MAC)是第2层的组成部分。位于该层的数据称为“数据帧”。
物理层(第1层):由可以看到以及不能看到(比如电气特性)的物体组成。
提示:
可以使用如下“口诀”轻松地记住OSI模型的各层:All People Seem To Need Data Processing(所有的人似乎都需要数据处理)1。
顾名思义,应用防火墙工作于第7层,也就是OSI模型的应用层。这些设备作为客户端的代理来处理请求的服务。比如,打开Web浏览器,然后打开www.cisco.com的一个Web页面。该请求被发送到代理防火墙,然后代理防火墙作为客户端的代理来打开一个去往www.cisco.com的连接。随后,Web页面上的信息传回客户端的Web浏览器,以供用户查看。
1.2.1 优势
由于应用/代理防火墙充当的是客户端的代理,因此它们提供了额外的“缓存”来应对端口扫描、应用攻击等。例如,如果攻击者找到了一个应用程序的漏洞,则攻击者在攻击防火墙后面的设备之前,会首先攻击应用/代理防火墙。应用/代理防火墙在其漏洞曝光时,也应该立即打补丁。而对所有的内部设备进行打补丁的方式可能行不通。
1.2.2 告诫
当计算机在应用层充当客户端的代理时,需要注意下面几点。首先,计算机必须知道如何处理特定的应用程序。基于Web的应用程序非常常见,但是如果有一个很独特的应用程序,如果不修改代理防火墙,则它将无法支持该应用程序。第二,由于应用防火墙上面运行着应用程序,同时还要维护客户端和服务器的状态,以及执行流量监测功能,因此其速度通常要比包过滤或包检测防火墙慢。
图1-2所示为一台应用/代理防火墙,以及一个会话通过该防火墙与外部的Web服务器建立连接的方式。
图1-2所示的处理过程如下所示。
步骤1 客户端尝试与外部的Web服务器进行连接。例如,用户在Web浏览器中输入www.cisco.com 。
步骤2 代理服务器接收到来自客户端的请求,然后将该请求转发到适当的Web服务器(www.cisco.com)。
步骤3 Web服务器接收到该请求后,将所请求的信息回复给代理服务器。
步骤4 代理服务器将接收到请求信息转发给客户端。
注意:
简单起见,本例中没有讨论域名服务(DNS)、地址解析协议(ARP)和第2层/第3层信息。而且这里还假定客户端Web应用程序已经配置了适当的代理信息。
代理/应用防火墙能够有效地控制流量,并防止客户端遭受恶意软件(malware)和外部的攻击。这些防火墙也必须运行与客户端相似的应用程序,这使得它们易于遭受应用程序的攻击。
