什么是代理防火墙？代理防火墙有什么优缺点？

　　由于网络访问式一项很复杂的活动，因而对它的管理也不容易，并且很多使用计算机用户也不是专业的计算机管理者，它们对于连接在网络上的计算机的保护很脆弱，导致其他用户在未经授权的情况下，很容易地通过网络进入到他的计算机中，窃取信息，或者破坏计算机系统。

　　为了防止这些问题，计算机专家提出了防火墙的概念，防火墙是保护区与外界联系的唯一出口，然后由防火墙来决定，是放行还是封锁进出的数据包。根据防火墙在TCP/IP协议工作的不同的层次，可将防火墙分为应用层代理和网络层防火墙。本篇章就先来讲讲应用层代理防火墙。
　　代理防火墙通过也叫应用层网关（Appliaction Gateway）防火墙。这种防火墙通过一种代理（Proxy）技术参与到一个TCP连接的全过程。从内部发出的数据包经过这样的防火墙处理后，就好像是源于防火墙外部网卡一样，从而可以达到隐藏内部网结构的作用，这种类型的防火墙被网络安全专家和媒体公认为是最安全的防火墙。它的核心技术就是代理服务器技术。
　　应用网关防火墙有两种类型：连接网关防火墙CGF和直通代理防火墙CTP。
　　1、连接网关防火墙
　　CGF比CTP防火墙提供更多的保护。例如，用户在通过CGF建立一个连接到内部web服务器。CGF截获该连接并认证。通过认证后，CGF打开一个到内部Web服务器的单独连接。任何由用户发送到Web流量首先由CGF处理，然后重定向到内部Web服务器。其他流量都将被丢弃。
　　很多CGF（和CTP）防火墙可以为一个用户配置多个授权规则。当用户成功通过认证后，所有的授权规则都将生效，而不用为每个连接请求进行认证。
　　CGF能检查所有发送到Web服务器的数据。基本上，在连接中输入的任何字符对CGF都是可见的。这种类型的检查对包过滤或状态过滤防火墙是不可能的。。
　　2、直通代理防火墙
　　CGF防火墙的一个主要问题是，对于它支持的应用，所有的流量要在应用层上进行处理。这在个别的连接中会引入显著的时延。
　　CTP认证后，连接和任何其他授权连接被添加到过滤规则中。认证过程在第7层进行处理，经过认证后，所有的流量在第3层和第4层上进行处理。但是，因为CTP不检查应用层数据，它不能检测应用层攻击。
　　代理防火墙能够比其它类型的防火墙提供更多的安全性，但是，这是以牺牲速度和功能为代价的，因为代理防火墙能够限制你的网络支持什么应用程序。那么，为什么代理防火墙更安全呢?代理防火墙与稳定的防火墙不同，稳定的防火墙允许或者封锁网络数据包进出受保护的网络，而通信流不经过代理。如果使用代理防火墙，计算机要建立一个通向代理的连接，这个代理充当一个中介并且代表这台计算机的请求启动一个新的网络链接。这就阻止了防火墙两端的系统直接进行连接，使攻击者很难发现这个网络在什么地方，因为它们永远不接收它们的目标系统直接创建的数据包。
　　代理防火墙也对它们支持的协议提供深入的和熟悉协议的安全分析。这使它们能够比那些纯粹以数据包头信息为重点的产品做出更好的安全决策。例如，一个专门为支持FTP协议而编写的代理防火墙能够监视在命令通道上发出的实际的FTP命令，并且阻止任何禁止的行为。代理防火墙允许实施熟悉协议的记录。因为服务器是由代理保护的，这种记录能够让人们很容易发现攻击方法并且为现有的记录创建一个备份。
　　然而，代理防火墙提供增强的安全是要付出代价的。这种额外的开销来自于为每一个通话建立两个连接、在应用层验证请求需要耗费的时间以及降低性能等。你可以花钱增强你的代理服务器，但是，在一个真正高带宽的网络中，代理防火墙仍是一个瓶颈。你也许会发现为你的网络恰当地安装和设置一套必要代理是很困难的，而且让虚拟专用网通过一个代理防火墙是很难的。
　　另外，虽然最新的代理防火墙为大量的互联网协议提供代理，但是，如果你的网络使用一个你的代理防火墙不支持的协议，你必须要使用一个普通的代理或者开发一个新的代理。使用普通的代理，你将失去熟悉协议的分析和记录功能，只有最基本的安全检查功能。重要的是需要指出这个行业正在摆脱代理防火墙，主要是因为性能和兼容性问题。安全行业似乎支持深度包检测防火墙。这种防火墙更灵活，能够处理速度更快的网络。然而，在你考虑进行转换之前，你需要了解，虽然深度包检测与代理一样在应用层是好用的，但是，在计算机系统之间仍有直接的联系。正如上面所说的那样，这种直接的联系很容易让黑客采集到操作系统和应用程序的指纹，以便确定利用哪一类安全漏洞攻击这个客户机系统。
　　因为包过滤和状态防火墙相比，应用防火墙增加了智能功能，所以通常用在以下地方：
　　★一台CGF常常用作主要的过滤功能设备；
　　★一台CTP常常用作边界防御设备；
　　★一台应用代理用来减轻CGF上的日志过载，以及监控和记录其他类型的流量。