代理技術(shù)與包過濾技術(shù)完全不同，包過濾技術(shù)是在網(wǎng)絡(luò)層攔截所有的信息流，代理技術(shù)是針對每一個特定應(yīng)剛都有—一個程序。代理是企圖在應(yīng)用層實現(xiàn)防火墻的功能，代理的主要特點是有狀態(tài)性。代理能提供部分與傳輸方面的信息，代理也能處理利管理信息。通過代理使得網(wǎng)絡(luò)管理員實現(xiàn)比包過濾路由器更嚴(yán)格的安全策略。
代理的概念對于防火墻應(yīng)剛是非常重要的，因為代理把網(wǎng)絡(luò)IP地址替換成其它的暫時的地址。這種執(zhí)行對于互聯(lián)網(wǎng)來說有效地隱藏了真正的網(wǎng)絡(luò)IP地址，因此保護(hù)了整個網(wǎng)絡(luò)。
代理行幾個用處，由于是當(dāng)黑客開始活動的時候。見左圖黑客所做的第一件事就是偵查你的網(wǎng)絡(luò)上的弱點。通常都是利用端口掃描。為了防止這第一步，你需要盡可能地隱蔽內(nèi)部系統(tǒng)的配置信息暴露給潛在的攻擊者。代
理可以使你隱藏這些信息，并能提供有效的通信。
代理主要有三種基本類型：WEB代理、電路級網(wǎng)關(guān)，應(yīng)用級網(wǎng)關(guān)。
WEB代理
WEB代理服務(wù)的最人好處就是能提高訪問Internet的速度：一旦—個WEB代理服務(wù)器配置了足夠的緩存，它就可以從這些緩存里對請求提供服務(wù)。而WEB代理客戶端則可以得到很快速的響應(yīng)。WEB代理第二個好處是WEB代理使客戶端無需正接連接Internet，所以遠(yuǎn)離成為被攻擊的目標(biāo)。
電路級網(wǎng)關(guān)
電路級網(wǎng)關(guān)用來監(jiān)控受信任的客戶或服務(wù)器與不受信任的主機(jī)間的TCP握手信息，這樣來決定該會話(session)是否合法。我們知道，要使用TCP協(xié)議，首先必須通過三次握手建立TCP連接，然后才開始發(fā)送數(shù)據(jù)。電路級網(wǎng)關(guān)通過在TCP握手過程中，檢查雙方的SYN、ACK和序列數(shù)據(jù)是否合理邏輯，來判斷該請求的會話是否合法。一旦該網(wǎng)關(guān)認(rèn)為會話是合法的，就會為雙方建立連接，自此，網(wǎng)關(guān)僅復(fù)制、傳遞數(shù)據(jù)，而不進(jìn)行過濾。電路級網(wǎng)關(guān)通常需要依靠特殊的應(yīng)用程序來進(jìn)行復(fù)制傳遞數(shù)據(jù)的服務(wù)。實際上，電路級網(wǎng)關(guān)并非作為一個獨立的產(chǎn)品存在，它與其他的應(yīng)用級網(wǎng)關(guān)結(jié)合在一起，所以有人也把電路級網(wǎng)關(guān)門為應(yīng)用級網(wǎng)關(guān)。電路級網(wǎng)關(guān)是在OSI模型中會話層上來過濾數(shù)據(jù)包。也因為如此，它就無法檢查應(yīng)用層級的數(shù)據(jù)包。最流行的電路級網(wǎng)關(guān)是IBM發(fā)明的SOCKS網(wǎng)關(guān)。很多產(chǎn)品，包括微軟的Microsfot ProxyServer就支持SOCKS。
優(yōu)點和缺點
電路級網(wǎng)關(guān)的主要優(yōu)點就是提供NAT，在使用內(nèi)部網(wǎng)絡(luò)地址機(jī)制時為網(wǎng)絡(luò)管理員實現(xiàn)安全提供了很大的靈活性。電路級網(wǎng)關(guān)是基于和包過濾防火墻一樣的規(guī)則。電路級網(wǎng)關(guān)提供包過濾提供的所有優(yōu)點但卻沒有包過濾的缺點。
缺點為不能很好地區(qū)別好包與壞包、易受IP欺騙這類的攻擊及復(fù)雜性這些都是電路級網(wǎng)關(guān)的弱點。電路級網(wǎng)關(guān)又一個主要的缺點是需要修改應(yīng)用程序和執(zhí)行程序。還有電路級網(wǎng)關(guān)要求終端用戶通過網(wǎng)關(guān)的認(rèn)證。