it-swarm-eu.dev

Proxy vs. Firewall

Chápu, že jednoduše řečeno proxy je druh „člověka uprostřed“, který umožňuje/odepírá přístup k určitým službám/zdrojům. Přísně, co se týče bezpečnosti (mám na mysli soukromí, rodičovskou kontrolu apod.), Může nabídnout přidanou bezpečnost ve srovnání s firewallem?

17
Count Zero

Ano, proxy může poskytnout další zabezpečení.

Důkaz příkladem:

  • Web proxy může implementovat skenování malwaru. Mohlo by vám to zabránit v návštěvě webů na černé listině (tj. V prohlížečích je známo, že jsou škodlivé).
  • Jste na nedůvěryhodné síti, ale potřebujete přístup http, aniž byste byli vystaveni útokům MITM. Navažte spojení http pomocí ověřeného šifrovaného připojení k důvěryhodnému webovému serveru proxy.
9
bstpierre

Proxy rozumí protokolu, pro který je určen. To znamená, že nějaký proxy software může povolit nebo zakázat provoz na základě prvků protokolu. Jako příklad můžeme uvést, že váš server proxy může s určitým User-Agent: záhlaví nebo povolit provoz pouze s určitými Referer: záhlaví. Proxy může také vyžadovat ověření před odesláním požadavků.

Ne všechny proxy software má tuto schopnost. Někteří budou jednoduše proxy požadavky, aniž by byla provedena analýza obsahu nad rámec toho, co je nezbytné pro splnění žádosti.

Reverzní proxy (často používaná před webovým serverem) může potenciálně chránit před nedostatky v softwaru webového serveru. Může mít také nedostatky, které software webového serveru nemá.

Síťový firewall nerozumí protokolu HTTP a nemůže povolit nebo zakázat provoz na základě prvků tohoto protokolu. Může povolit nebo zakázat pouze protokoly nižší úrovně, jako je IP, TCP a UDP.) Síťové brány firewall nemohou provádět ověřování, protože to není zabudováno do nižších úrovní zásobníku OSI. .

Firewall aplikací na druhé straně rozumějí protokolu aplikace, pro kterou byly navrženy, a umožňují nebo zakazují provoz na základě obsahu přenosu. Neviděl jsem ani jedno z nich, které by dokázalo autentizaci, ale je to určitě možné.

webový aplikační firewall je pouze aplikační firewall, který je určen pro webové protokoly.

Mnoho komerčních zařízení firewall je také (alespoň částečně) firewallem aplikací.

To, zda přidáte další zabezpečení z brány firewall nebo proxy, do značné míry závisí na tom, který firewall nebo proxy server používáte. Obvykle také bude záviset na tom, jak je nakonfigurován. Bez specifické konfigurace zaměřené na zabezpečení obvykle nezískáte žádné další zabezpečení ani pomocí brány firewall ani serveru proxy.

12
Ladadadada

Pojem firewall je ve skutečnosti často zneužíván a lidé jej obvykle používají k označení filtrování paketů, které není striktně správné.

Firewall můžete klasifikovat do 2 kategorií. Filtrování paketů a aplikační brány (AKA proxy).

Při pohledu na úroveň servisního protokolu (např. HTTP, SMTP atd.) Je filtrování paketů ve srovnání s aplikačními bránami špatný přístup. Aplikační brány mají sémantické znalosti o protokolu a jsou mnohem výkonnější, protože se mohou podívat na obsah (HTTP: zkontrolovat, zda stahujete malware, SMTP zkontrolovat virus a odmítnout konkrétní poštu). To znamená, že nemůžete mít proxy pro všechny existující servisní protokoly. Filtrování paketů, pracující na nižší úrovni, i když nemá tak tenkou granularitu, se nakonec stává univerzálnějším přístupem pro všechny protokoly (SMTP: nepřijímat nic pro port 25 z IP xx.xx.xx.xx).

Každopádně není důvod vybírat si jeden nad druhým. Můžete je použít společně a vybrat z každého řešení to nejlepší.

Poznámka: jak odkazoval @adadadada, ne všichni proxy mohou provádět filtrování nebo hloubkovou kontrolu, takže bych řekl, že není správné říkat, že všichni proxy jsou firewally. Přesto je můžete považovat za součást vaší bezpečnostní infrastruktury.

Mnoho „tradičních“ firewallů pro filtrování paketů nyní může vypadat o jednu úroveň výše v síťovém zásobníku a provádět kontrolu obsahu (např .: kontrola obsahu http/odmítnutí adresy URL)

5
nsn