三、应用网关技术

    应用网关技术弥补网络层报文过滤防火墙的不足．应用网关防火墙是在应用层实现的。它使用一个运行特殊的“通信数据安全检查”软件的工作站来连接被保护网络和其它网络，其目的在于隐蔽被保护网络的具体细节，保护其中的主机及其数据。

    应用网关防火墙有多种实现方法。代管型防火墙把一些不安全的服务，如：Telnet、FTP等，移放到防火墙主机上，使防火墙同时充当服务器，回应来自外部网络的服务请求；另一方面，当内部网络需要访问外部网络时，必须先登录到防火墙上，再向外发送请求。

    应用代理网关类型的防火墙把内部网络与外部网络之间的联接一分为二：内部网络到代理防火墙的联接以及代理防火墙到外部网络的联接，其通信流程如下图所示：

    应用代理网关程序运作于应用层，它可以设置用户身份认证要求，能够收集用户的注册信息、网络联接状况等状态信息，从而提供更有效的安全检测和更有价值的日志记录。

    代理主要分为两类，一个是插件(Plug)式的代理，一种是通用型代理。插件式代理需要为每一种网络服务提供一个专门的驱动程序，其优点是可以为每一种服务定制安全规则，安全性能较好，而且管理员可以掌握系统目前提供服务的详细清单，不会存在可供利用而管理员注意力不集中的情况；缺点是比较烦琐，每增加一类服务，需要增加相应的代理插件，因此往往滞后。通用型代理(典型的有SOCKS)适用于多个协议，但是它不能解释协议，不能针对各个协议分别指定安全规则。

    此外还有提供地址转换功能、提供安全的IP隧道等多种形式的应用网关防火墙。一般来说，应用网关防火墙由于要对数据报文进行拆包重组，引入较大延迟。

    应用网关防火墙在网络拓扑上常常采取双穴主机网关形式。双穴主机不提供IP转发功能，它有两块网卡（NIC），分别与内、外部网络相连，两块网卡之间通过特殊的方式通信。双穴主机可以识别数据报文来自哪一块网卡，外部主机无法盗用内部网络的IP地址。但其弱点类似于堡垒主机，内部网络的安全程度依赖于单个主机的坚固程度，只是双网卡之间的通信方式会增加入侵的难度。有些三穴主机网关，各块网卡之间禁止IP路由，而以自定义的方式通信，并且其间通信的安全控制策略可以分别设置，这种方式也提供一个DMZ区。

四、结束语

    实际上，构建防火墙很少采取单一技术和形式，而大多根据单位网络的特点和安全需求，结合使用多种技术和形式，如上面提到的壁垒主机和屏蔽子网，又如使用多个壁垒主机等。

    如果把Web服务器放置在DMZ区。只允许其以特定的方式与位于内部网络的数据库服务器进行交互，比如Web服务器只能通过某个触发器程序访问数据库，而不是对它开放所有的SQL操作，这样即使Web服务器被侵入，入侵者还是无法随意操作数据库。