eleven_7 发表于 2009-6-2 20:29:56

代理防火墙的优势与劣势

简单的来说,代理防火墙与其他类型的防火墙相比安全系数更高,但是这是以速度和功能方面的缺失为代价的,因为代理防火墙会使得网络支持的许多应用程序的运转受到限制。那么,它为什么会有安全上的优势呢?   通常的防火墙是通过控制数据包的进入来达到目的,数据并不会通过一个代理服务器,而相对于代理防火墙的情况而言,在计算机和代理服务器之间会建立起一个连接,这是作为一个媒介,并且是新的系统节点,用来进行询问和监测。这样一来就避免了两个系统之间的直接连接,使得袭击者更加难以发现网络的真实端口,因为他们永远都不能够获得直接由目标系统传送的数据包。
  与此同时,代理防火墙还提供复杂综合的对于其所支持协议的协议分析。这样相对于一般防火墙指针对于当下信息进行升级来说,就在安全战略上有很大的参对性。比如一个被编订特定支持FTP协议的代理防火墙,就可以时刻监控由指定渠道发送的FTP命令,并且组织任何有隐患的活动。这就可以作为一种有协议敏感性的注册登记,可以很容易的辨认出黑客使用的手法,并且对于目前的日至加以保护,因为整个服务器都是受代理服务器的保护。
  但是,代理防火墙的安全性能也是有一定代价的,两个节点之间加入的连接,使得流通量加大,这样就使得应用层口令执行的时间被延迟,最终使得执行效果下降。当然,价钱高的代理器会有好一些的表现,但是在现在强调实时高速的网络时代,上述缺陷仍然会是一个发展瓶颈。同时,在安装方面,您也会发现,能够找到一个适合于自己系统的代理服务器着实不是一件容易的是,同时也很难找到一个相对应的虚拟个人空间。
  另外,尽管目前最新的代理防火墙为主流的IP提供代理,但是如果您的网络使用的是代理防火墙并不支持的协议,那么您就必须使用一般性的防火墙,或者更换一个新的代理服务器。如果使用了一般性的防火墙,您就会损失掉上述代理防火墙的许多优势,而仅仅使用基本功能。而且值得注意的是,由于代理防火墙在功能和速度上的缺失,目前它在市场上还是非主流的。防火墙市场异军突起的是所谓的深层次数据包检测防火墙deep-packet inspection firewalls,这种产品相比之下灵活性更强,而且对于高速的网络系统来说也更加适用,但是,当您在左决定的时候,您还要意识到,尽管深层次数据包检测防火墙是在应用层发挥作用,尽管这一特点与代理防火墙一样,但是,不同的是它在网络之间建立起来的是直接的连接,就像前面所述,直接的连接会使得入侵者更加容易对系统进行操作和控制,因为直接连接使得系统的身份更加容易被识别和暴露。
页: [1]
查看完整版本: 代理防火墙的优势与劣势