打印本文 
关闭窗口 代理防火墙也对它们支持的协议提供深入的和熟悉协议的安全分析。这使它们能够比那些纯粹以数据包头信息为重点的产品做出更好的安全决策。例如,一个专门为支持FTP协议而编写的代理防火墙能够监视在命令通道上发出的实际的FTP命令,并且阻止任何禁止的行为。代理防火墙允许实施熟悉协议的记录。因为服务器是由代理保护的,这种记录能够让人们很容易发现攻击方法并且为现有的记录创建一个备份。
然而,代理防火墙提供增强的安全是要付出代价的。这种额外的开销来自于为每一个通话建立两个连接、在应用层验证请求需要耗费的时间以及降低性能等。你可以花钱增强你的代理服务器,但是,在一个真正高带宽的网络中,代理防火墙仍是一个瓶颈。你也许会发现为你的网络恰当地安装和设置一套必要代理是很困难的,而且让虚拟专用网通过一个代理防火墙是很难的。
另外,虽然最新的代理防火墙为大量的互联网协议提供代理,但是,如果你的网络使用一个你的代理防火墙不支持的协议,你必须要使用一个普通的代理或者开发一个新的代理。使用普通的代理,你将失去熟悉协议的分析和记录功能,只有最基本的安全检查功能。重要的是需要指出这个行业正在摆脱代理防火墙,主要是因为性能和兼容性问题。安全行业似乎支持深度包检测防火墙。这种防火墙更灵活,能够处理速度更快的网络。然而,在你考虑进行转换之前,你需要了解,虽然深度包检测与代理一样在应用层是好用的,但是,在计算机系统之间仍有直接的联系。正如上面所说的那样,这种直接的联系很容易让黑客采集到操作系统和应用程序的指纹,以便确定利用哪一类安全漏洞攻击这个客户机系统。
| 热门推荐: | 小心路由器故障威胁你的网络 | 改变系统安全等级的十大建议 |
【责任编辑 王凡】
打印本文 关闭窗口