应用层网关(Application level gateway),也叫做应用层防火墙或应用层代理防火墙,通常用于描述第三代防火墙。当一个用户在这个可信赖的网络希望连接到在不被信赖的网络的服务例如因特网,这个应用专注于在防火墙上的代理服务器。这个代理服务器有效地伪装成在因特网上的真实服务器。它评估请求和决定允许或拒绝基于一系列被个人网络服务管理规则的请求。
应用层防火墙
在现代的计算环境中,应用层防火墙日益显示出其可以减少攻击面的强大威力。
最初的网络安全不过是使用支持访问列表的路由器来担任。对简单的网络而言,仅使用访问控制列表和一些基本的过滤功能来管理一个网络对于未授权的用户而言已经足够。因为路由器位于每个网络的中心,而且这些设备还被用于转发与广域网的通信。
但路由器仅能工作在网络层,其过滤方式多少年来并没有根本性的变化。制造路由器的公司也为增强安全性在这一层上也是下足了工夫。更明确地讲,所有的安全措施只不过存在于路由器所在的网络层而已。
第三代防火墙称为应用层防火墙或代理服务器防火墙,这种防火墙在两种方向上都有"代理服务器"的能力,这样它就可以保护主体和客体,防止其直接联系。代理服务器可以在其中进行协调,这样它就可以过滤和管理访问,也可以管理主体和客体发出和接收的内容。这种方法可以通过以各种方式集成到现有目录而实现,如用户和用户组访问的LDAP。
应用层防火墙还能够仿效暴露在互联网上的服务器,因此正在访问的用户就可以拥有一种更加快速而安全的连接体验。事实上,在用户访问公开的服务器时,他所访问的其实是第七层防火墙所开放的端口,其请求得以解析,并通过防火墙的规则库进行处理。一旦此请求通过了规则库的检查并与不同的规则相匹配,就会被传递给服务器。这种连接在是超高速缓存中完成的,因此可以极大地改善性能和连接的安全性。
而在OSI模型中,第五层是会话层,第七层是应用层。应用层之上的层为第八层,它在典型情况下就是保存用户和策略的层次。