套用型防火牆

套用級網關(Application Level Gateways)是在網路套用層上建立協定過濾和轉發功能。它針對特定的網路套用服務協定使用指定的數據過濾邏輯，並在過濾的同時，對數據包進行必要的分析、登記和統計，形成報告。

實際中的套用網關通常安裝在專用工作站系統上。 數據包過濾和套用網關防火牆有一個共同的特點，就是它們僅僅依靠特定的邏輯判定是否允許數據包通過。一旦滿足邏輯，則防火牆內外的計算機系統建立直接聯繫，防火牆外部的用戶便有可能直接了解防火牆內部的網路結構和運行狀態，這有利於實施。

套用型代理防火牆也可以被稱為代理伺服器,它的安全性要高於包過濾型產品,並已經開始向套用層發展.代理伺服器位於客戶機與伺服器之間,完全阻擋了二者間的數據交流.從客戶機來看,代理伺服器相當於一台真正的伺服器;而從伺服器來看,代理伺服器又是一台真正的客戶機.當客戶機需要使用伺服器上的數據時,首先將數據請求發給代理伺服器,代理伺服器再根據這一請求向伺服器索取數據,然後再由代理伺服器將數據傳輸給客戶機.由於外部系統與內部伺服器之間沒有直接的數據通道,外部的惡意侵害也就很難傷害到企業內部網路系統.

套用型代理防火牆的優點是安全性較高,可以針對套用層進行偵測和掃描,對付基於套用層的侵入和病毒都十分有效.其缺點是對系統的整體性能有較大的影響,而且代理伺服器必須針對客戶機可能產生的所有套用類型逐一進行設定,大大增加了系統管理的複雜性.

套用型監測防火牆是新一代的產品,這一技術實際已經超越了最初的防火牆定義.監測型防火牆能夠對各層的數據進行主動的,實時的監測,在對這些數據加以分析的基礎上,監測型防火牆能夠有效地判斷出各層中的非法侵入.同時,這種檢測型防火牆產品一般還帶有分散式探測器,這些探測器安置在各種套用伺服器和其他網路的節點之中,不僅能夠檢測來自網路外部的攻擊,同時對來自內部的惡意破壞也有極強的防範作用.據權威機構統計,在針對網路系統的攻擊中,有相當比例的攻擊來自網路內部.因此,監測型防火牆不僅超越了傳統防火牆的定義,而且在安全性上也超越了前兩代產品

雖然監測型防火牆安全性上已超越了包過濾型和代理伺服器型防火牆,但由於監測型防火牆技術的實現成本較高,也不易管理,所以目前在實用中的防火牆產品仍然以第二代代理型產品為主,但在某些方面也已經開始使用監測型防火牆.基於對系統成本與安全技術成本的綜合考慮,用戶可以選擇性地使用某些監測型技術.這樣既能夠保證網路系統的安全性需求,同時也能有效地控制安全系統的總擁有成本.

實際上,作為當前防火牆產品的主流趨勢,大多數代理伺服器(也稱套用網關)也集成了包過濾技術,這兩種技術的混合套用顯然比單獨使用具有更大的優勢.由於這種產品是基於套用的,套用網關能提供對協定的過濾.例如,它可以過濾掉FTP連線中的PUT命令,而且通過代理套用,套用網關能夠有效地避免內部網路的信息外泄.正是由於套用網關的這些特點,使得套用過程中的矛盾主要集中在對多種網路套用協定的有效支持和對網路整體性能的影響上.