防范互联网新威胁须采用应用层防火墙

    在现代的计算环境中，应用层防火墙日益显示出其可以减少攻击面的强大威力。

    最初的网络安全不过是使用支持访问列表的路由器来担任。对简单的网络而言，仅使用访问控制列表和一些基本的过滤功能来管理一个网络对于未授权的用户而言已经足够。因为路由器位于每个网络的中心，而且这些设备还被用于转发与广域网的通信。

    但路由器仅能工作在网络层，其过滤方式多少年来并没有根本性的变化。制造路由器的公司也为增强安全性在这一层上也是下足了工夫。更明确地讲，所有的安全措施只不过存在于路由器所在的网络层而已。

    会话层防火墙也称为电路级防火墙或电路网关。这种电路级防火墙使用网络地址转换（NAT）来保护内部网络，而这些网关几乎没有或根本没有与应用层的连接，所以它们也就不能过滤更复杂的连接。这种防火墙只能根据基本的规则（如源地址端口）来保护数据通信。

    随着技术的发展和进步，人们需要管理外发的数据通信，需要进行过滤。用户们可以浏览互联网，并且可以利用内部防御系统中的漏洞，因为恶意用户可以将自己伪装成一个合法的用户。

    用户可以通过远程登录到一个开放的外发端口，而此端口并不是一个telnet端口(从23号端口登录到80号端口)，这意味着用户可以轻易地绕过第五层设备的安全防御。支持访问列表的路由器会准许用户连接到一个端口上，虽然此端口并不是远程登录端口，而是另外一种服务的端口。这意味着路由器在数据包通过时并没有实施检查。由此便造成恶意数据包可以在网络上传输。

    在上个世纪的90年代，主流的代理服务器登上了舞台，它集成了基本的防火墙技术。这种“代理服务器防火墙”能够劫获源主机和目标主机之间的通信。因为“代理服务器防火墙”位于中间的位置，所以它拥有根据预先定义的规则集来检查数据包的能力。

[1] [2] 下一页

【责编:Zenghui】