應用層網關代理的優點

應用層網關只能過濾特定服務的數據流。必須為特定的應用服務編寫特定的代理程序，被稱為“服務代理”，在網關內部分別扮演客戶機代理和服務器代理的角色，應用層網關代理的優點：

• 易于配置，界面友好。

• 不允許內、外網主機的直接連接。

• 可以提供比包過濾更詳細的日志記錄，例如在一個HTTP連接中，包過濾只能記錄單個的數據包，無法記錄文件名、URL等信息。

• 可以隱藏內部IP地址。

• 可以給單個用戶授權。

• 可以為用戶提供透明的加密機制。

• 可以與認證、授權等安全手段方便地集成。

應用層網關代理的缺點：

• 代理速度比包過濾慢。

• 代理對用戶不透明，給用戶的使用帶來不便，靈活性不夠。

• 這種代理技術需要針對每種協議設置一個不同的代理服務器。

應用層網關代理的特點：

• 必須針對每個服務運行一個代理。

• 對數據包進行逐個檢查和過濾。

• 采用“強應用代理”。

• 當前最安全的防火墻結構之一。

• 代理對整個數據包進行檢查，因此能在應用層上對數據包進行過濾。

• 應用代理程序與電路級網關的重要區別：代理是針對應用的。代理對整個數據包進行檢查，因此能在OSI模型的應用層上對數據包進行過濾。

• 不是對用戶的整個數據包進行復制，而是在防火墻內部創建一個全新的空數據包。

• 將那些可接收的命令或數據，從防火墻外部的原始數據包中復制到防火墻內新建的數據包中，然后將此新數據包發送給防火墻后面受保護的服務器。

• 能夠降低多種隱蔽通道攻擊帶來的風險。

回答所涉及的環境：聯想天逸510S、Windows 10。