代理防火牆能夠比其它類型的防火牆提供更多的安全性,但是,這是以犧牲速度和功能為代價的,因為代理防火牆能夠限制你的網絡支持什麼應用程序。那麼,為什 麼代理防火牆更安全呢?代理防火牆與穩定的防火牆不同,穩定的防火牆允許或者封鎖網絡數據包進出受保護的網絡,而通信流不經過代理。如果使用代理防火牆, 計算機要建立一個通向代理的連接,這個代理充當一個中介並且代表這台計算機的請求啟動一個新的網絡鏈接。這就阻止了防火牆兩端的系統直接進行連接,使攻擊 者很難發現這個網絡在什麼地方,因為它們永遠不接收它們的目標系統直接創建的數據包。
代理防火牆也對它們支持的協議提供深入的和熟悉協議的安全分析。這使它們能夠比那些純粹以數據包頭信息為重點的產品做出更好的安全決策。例如,一個專門 為支持FTP協議而編寫的代理防火牆能夠監視在命令通道上發出的實際的FTP命令,並且阻止任何禁止的行為。代理防火牆允許實施熟悉協議的記錄。因為服務 器是由代理保護的,這種記錄能夠讓人們很容易發現攻擊方法並且為現有的記錄創建一個備份。
然而,代理防火牆提供增強的安全是要付出代價的。這種額外的開銷來自於為每一個通話建立兩個連接、在應用層驗證請求需要耗費的時間以及降低性能等。你可 以花錢增強你的代理服務器,但是,在一個真正高帶寬的網絡中,代理防火牆仍是一個瓶頸。你也許會發現為你的網絡恰當地安裝和設置一套必要代理是很困難的, 而且讓虛擬專用網通過一個代理防火牆是很難的。
另外,雖然最新的代理防火牆為大量的互聯網協議提供代理,但是,如果你的網絡使用一個你的代理防火牆不支持的協議,你必須要使用一個普通的代理或者開發 一個新的代理。使用普通的代理,你將失去熟悉協議的分析和記錄功能,只有最基本的安全檢查功能。重要的是需要指出這個行業正在擺脫代理防火牆,主要是因為 性能和兼容性問題。安全行業似乎支持深度包檢測防火牆。這種防火牆更靈活,能夠處理速度更快的網絡。然而,在你考慮進行轉換之前,你需要瞭解,雖然深度包 檢測與代理一樣在應用層是好用的,但是,在計算機系統之間仍有直接的聯繫。正如上面所說的那樣,這種直接的聯繫很容易讓黑客採集到操作系統和應用程序的指 紋,以便確定利用哪一類安全漏洞攻擊這個客戶機系統。
資料來源 http://bbs.tech.ccidnet.com/read.php?tid=544207
By smtk
代理防火牆也對它們支持的協議提供深入的和熟悉協議的安全分析。這使它們能夠比那些純粹以數據包頭信息為重點的產品做出更好的安全決策。例如,一個專門 為支持FTP協議而編寫的代理防火牆能夠監視在命令通道上發出的實際的FTP命令,並且阻止任何禁止的行為。代理防火牆允許實施熟悉協議的記錄。因為服務 器是由代理保護的,這種記錄能夠讓人們很容易發現攻擊方法並且為現有的記錄創建一個備份。
然而,代理防火牆提供增強的安全是要付出代價的。這種額外的開銷來自於為每一個通話建立兩個連接、在應用層驗證請求需要耗費的時間以及降低性能等。你可 以花錢增強你的代理服務器,但是,在一個真正高帶寬的網絡中,代理防火牆仍是一個瓶頸。你也許會發現為你的網絡恰當地安裝和設置一套必要代理是很困難的, 而且讓虛擬專用網通過一個代理防火牆是很難的。
另外,雖然最新的代理防火牆為大量的互聯網協議提供代理,但是,如果你的網絡使用一個你的代理防火牆不支持的協議,你必須要使用一個普通的代理或者開發 一個新的代理。使用普通的代理,你將失去熟悉協議的分析和記錄功能,只有最基本的安全檢查功能。重要的是需要指出這個行業正在擺脫代理防火牆,主要是因為 性能和兼容性問題。安全行業似乎支持深度包檢測防火牆。這種防火牆更靈活,能夠處理速度更快的網絡。然而,在你考慮進行轉換之前,你需要瞭解,雖然深度包 檢測與代理一樣在應用層是好用的,但是,在計算機系統之間仍有直接的聯繫。正如上面所說的那樣,這種直接的聯繫很容易讓黑客採集到操作系統和應用程序的指 紋,以便確定利用哪一類安全漏洞攻擊這個客戶機系統。
資料來源 http://bbs.tech.ccidnet.com/read.php?tid=544207
By smtk
全站熱搜
留言列表
