代理防火墙能够比其它类型的防火墙提供更多的安全性,但是,这是以牺牲速度和功能为代价的,因为代理防火墙能够限制你的网络支持什么应用程序。那么,为什么代理防火墙更安全呢?代理防火墙与稳定的防火墙不同,稳定的防火墙允许或者封锁网络数据包进出受保护的网络,而通信流不经过代理。如果使用代理防火墙,计算机要建立一个通向代理的连接,这个代理充当一个中介并且代表这台计算机的请求启动一个新的网络链接。这就阻止了防火墙两端的系统直接进行连接,使攻击者很难发现这个网络在什么地方,因为它们永远不接收它们的目标系统直接创建的数据包。
代理防火墙也对它们支持的协议提供深入的和熟悉协议的安全分析。这使它们能够比那些纯粹以数据包头信息为重点的产品做出更好的安全决策。例如,一个专门为支持FTP协议而编写的代理防火墙能够监视在命令通道上发出的实际的FTP命令,并且阻止任何禁止的行为。代理防火墙允许实施熟悉协议的记录。因为服务器是由代理保护的,这种记录能够让人们很容易发现攻击方法并且为现有的记录创建一个备份。
然而,代理防火墙提供增强的安全是要付出代价的。这种额外的开销来自于为每一个通话建立两个连接、在应用层验证请求需要耗费的时间以及降低性能等。你可以花钱增强你的代理服务器,但是,在一个真正高带宽的网络中,代理防火墙仍是一个瓶颈。你也许会发现为你的网络恰当地安装和设置一套必要代理是很困难的,而且让虚拟专用网通过一个代理防火墙是很难的。
另外,虽然最新的代理防火墙为大量的互联网协议提供代理,但是,如果你的网络使用一个你的代理防火墙不支持的协议,你必须要使用一个普通的代理或者开发一个新的代理。使用普通的代理,你将失去熟悉协议的分析和记录功能,只有最基本的安全检查功能。重要的是需要指出这个行业正在摆脱代理防火墙,主要是因为性能和兼容性问题。安全行业似乎支持深度包检测防火墙。这种防火墙更灵活,能够处理速度更快的网络。然而,在你考虑进行转换之前,你需要了解,虽然深度包检测与代理一样在应用层是好用的,但是,在计算机系统之间仍有直接的联系。正如上面所说的那样,这种直接的联系很容易让黑客采集到操作系统和应用程序的指纹,以便确定利用哪一类安全漏洞攻击这个客户机系统。
网友评论