网络防御工具：数据包过滤器/防火墙,应用程序网关

过滤器这个术语是指管理员配置的一组规则，用于检查数据包并执行匹配操作，例如，让数据包通过、丢弃数据包、丢弃数据包并通过 ICMP 消息向发送方生成通知。数据包可以根据其源和目标网络地址、协议类型（TCP、UDP、ICMP）、TCP 或 UDP 源/目标端口号、TCP 标志位（SYN/ACK）、来自主机或通过特定接口离开网络的流量规则等进行过滤。这是早期数据包过滤器的典型特征，它们用于检查标头字段。这些过滤器不保留它们所属的数据包/流/会话的任何状态信息。随着计算能力的增强和内存价格的降低，下一代数据包过滤器开始跟踪传输层流，即属于会话的数据包链，称为有状态过滤器。

数据包过滤器（又称防火墙系统）可以与路由器共置或作为专用服务器实施。无论哪种情况，它们都是守门人，检查所有传入/传出流量。过滤器根据网络的安全策略设置，数据包将得到相应处理。尽管防火墙在保护网络方面发挥着关键作用，但拆除防火墙可能会给依赖网络技术的组织造成严重破坏。

应用程序网关 (AG)

如前所述，防火墙可以使用 TCP/UDP 协议标头、端口号等根据过滤标准检查规则。但是，许多组织使用应用程序级网关（又称应用程序代理）来执行访问控制，因为它们有助于在会话被允许之前满足任何额外的用户身份验证要求。这些 AG 可以检查来自完整 5 层（Internet）或 7 层 OSI 堆栈的信息（加密位除外）。在典型设置中，应用程序网关将在执行身份验证和策略实施后使用防火墙的服务。在许多部署中，AG 和防火墙也位于同一位置。想要访问外部服务的客户端将首先连接到 AG。AG 会在启动与外部服务器的会话之前提示他或她进行身份验证。AG 现在将代表客户端与目的地建立连接，充当中继，本质上创建两个会话：一个在客户端和 AG 之间，一个在 AG 和目的地之间。

AG 的另一个有趣的应用是 SSL 终止。传入的 Web 服务器 SSL 连接可以在 AG 处终止，这样它就可以执行资源密集型加密/解密并将未加密的流量传递到后端服务器。除了实施安全措施外，这还可以减少这些繁忙服务器上的工作负载。实际上，AG 还配置为检查加密的出站流量，其中客户端配置了安装在 AG 上的相应证书。

AG 提供的更高级别的安全性是以额外的硬件/软件资源为代价的。此外，AG 可能会减慢连接速度，因为要执行身份验证、策略检查和状态维护来跟踪通过 AG 的每个会话。AG 涉及的另一个复杂性是需要为每个应用程序配置它，或者可能将其实现为多个特定于应用程序的服务器。