应用网关也称为代理服务器,它在应用层通信中扮演报文中继的角色。HK4100F-DC5V一种网络应用需要一个应用网关,例如在上一章6.4.3节中“代理服务器”介绍过的万维网缓存就是一种万维网应用的代理服务器。在应用网关中,可以实现基于应用层数据的过滤和高层用户鉴别。所有进出网络的应用程序报文都必须通过应用网关。当某应用客户进程向服务器发送一份请求报文时,先发送给应用网关,应用网关在应用层打开该报文,查看该请求是否合法(可根据应用层用户标识ID或其他应用层信息)。如果请求合法,应用网关以客户进程的身份将请求报文转发给原始服务器。如果不合法,报文则被丢弃。例如,一个邮件网关在检查每一个邮件时,根据邮件地址,或邮件的其他首部,甚至是报文的内容(如,有没有某些像“导弹”“核弹头”等关键词)来确定该邮件能否通过防火墙。应用网关也有一些缺点。首先,每种应用都需要一个不同的应用网关(可以运行在同

一台主机上)。其次,在应用层转发和处理报文,处理负担较重。另外,对应用程序不透明,需要在应用程序客户端配置应用网关地址。

通常可将这两种技术结合使用,图7-⒛所画的防火墙就同时具有这两种技术。它包括两个分组过滤路由器和一个应用网关,它们通过两个局域网连接在一起。

   入侵检测系统

   防火墙试图在入侵行为发生之前阻止所有可疑的通信。但事实是不可能阻止所有的入侵行为,有必要采取措施在入侵已经开始,但还没有造成危害或在造成更大危害前,及时检测到入侵,以便尽快阻止入侵,把危害降低到最小。入侵检测系统IDs αlltrLlsion DetectioIl

system)正是这样一种技术。IDS对进入网络的分组执行深度分组检查,当观察到可疑分组时,向网络管理员发出告警或执行阻断操作(由于IDs的“误报”率通常较高,多数情况不执行自动阻断)。IDs能用于检测多种网络攻击,包括网络映射、端口扫描、Dos攻击、

蠕虫和病毒、系统漏洞攻击等。