it-swarm-eu.dev

Proxy vs. Firewall

Ich verstehe, dass ein Proxy ganz einfach eine Art „Mann in der Mitte“ ist, der den Zugriff auf bestimmte Dienste/Ressourcen erlaubt/verweigert. Kann es streng genommen (ich meine hier Datenschutz, Kindersicherung und dergleichen ausgeschlossen) zusätzliche Sicherheit im Vergleich zu einer Firewall bieten?

17
Count Zero

Ja, ein Proxy kann zusätzliche Sicherheit bieten.

Beweis am Beispiel:

  • Ein Webproxy kann das Scannen von Malware implementieren. Dies könnte Sie daran hindern, Websites auf der schwarzen Liste zu besuchen (d. H. Für Browser als bösartig bekannt).
  • Sie befinden sich in einem nicht vertrauenswürdigen Netzwerk, benötigen jedoch einen http-Zugriff, ohne MITM-Angriffen ausgesetzt zu sein. Stellen Sie die http-Verbindung über eine authentifizierte, verschlüsselte Verbindung zu Ihrem vertrauenswürdigen Webproxy her.
9
bstpierre

Ein Proxy versteht das Protokoll, für das er entwickelt wurde. Dies bedeutet, dass einige Proxy-Software Datenverkehr basierend auf Elementen des Protokolls zulassen oder nicht zulassen kann. Beispielsweise könnte Ihr Proxy HTTP-Verkehr mit einem bestimmten User-Agent: - Header nicht zulassen oder nur Verkehr mit bestimmten Referer: - Headern zulassen. Ein Proxy kann auch eine Authentifizierung erfordern, bevor die Anforderungen gesendet werden.

Nicht jede Proxy-Software verfügt über diese Fähigkeit. Einige werden die Anfragen einfach als Proxy verwenden, ohne dass eine Analyse des Inhalts durchgeführt wird, die über das hinausgeht, was zur Erfüllung der Anfrage erforderlich ist.

Ein Reverse-Proxy (häufig vor einem Webserver verwendet) kann möglicherweise vor Fehlern in der Webserver-Software schützen. Es kann auch Fehler geben, die die Webserver-Software nicht aufweist.

Eine Netzwerk-Firewall versteht das HTTP-Protokoll nicht und kann keinen Datenverkehr basierend auf Elementen dieses Protokolls zulassen oder verweigern. Es kann nur basierend auf den Protokollen der unteren Ebene wie IP, TCP und UDP) zulassen oder verweigern. Netzwerk-Firewalls können keine Authentifizierung durchführen, da dies nicht in die unteren Ebenen des OSI-Stacks integriert ist .

Application Firewalls verstehen andererseits das Protokoll der Anwendung, für die sie entwickelt wurden, und erlauben oder verweigern den Verkehr basierend auf dem Inhalt des Verkehrs. Ich habe noch keine gesehen, die eine Authentifizierung durchführen kann, aber es ist sicherlich möglich.

Eine Webanwendungs-Firewall ist nur eine Anwendungs-Firewall, die für Webprotokolle entwickelt wurde.

Viele kommerzielle Firewall-Geräte sind auch (zumindest teilweise) Anwendungsfirewalls.

Ob Sie also zusätzliche Sicherheit von einer Firewall oder einem Proxy erhalten, hängt stark davon ab, welche Firewall oder welchen Proxy Sie verwenden. Dies hängt normalerweise auch davon ab, wie es konfiguriert ist. Ohne eine bestimmte sicherheitsorientierte Konfiguration erhalten Sie normalerweise weder mit einer Firewall noch mit einem Proxy zusätzliche Sicherheit.

12
Ladadadada

Tatsächlich wird der Begriff Firewall häufig missbraucht, und die Leute verwenden ihn normalerweise, um sich auf die Paketfilterung zu beziehen, die nicht genau korrekt ist.

Sie können Firewalls in 2 Kategorien einteilen. Paketfilterung und Anwendungsgateways (AKA-Proxy).

Die Paketfilterung auf Serviceprotokollebene (z. B. HTTP, SMTP usw.) ist im Vergleich zu Anwendungsgateways ein schlechter Ansatz. Anwendungsgateways verfügen über semantisches Wissen über das Protokoll und sind viel leistungsfähiger, da sie den Inhalt anzeigen können (HTTP: Überprüfen Sie, ob Sie Malware herunterladen, SMTP auf Viren prüfen und eine bestimmte E-Mail ablehnen). Es ist jedoch eine Tatsache, dass Sie nicht für alle vorhandenen Dienstprotokolle einen Proxy haben können. Die Paketfilterung, die auf einer niedrigeren Ebene arbeitet, jedoch keine so dünne Granularität aufweist, ist ein universellerer Ansatz für alle Protokolle (SMTP: Akzeptieren Sie nichts für Port 25 von IP xx.xx.xx.xx).

Es gibt jedenfalls keinen Grund, einen über den anderen zu wählen. Sie können sie zusammen verwenden und das Beste aus jeder Lösung herausholen.

Hinweis: Da auf @Ladadadada verwiesen wird, können nicht alle Proxys Filter oder eingehende Überprüfungen durchführen. Daher würde ich sagen, dass es nicht korrekt ist, zu sagen, dass alle Proxys Firewalls sind. Sie können sie jedoch als Teil Ihrer Sicherheitsinfrastruktur betrachten.

Viele "traditionelle" Paketfilter-Firewalls können jetzt auch eine Ebene höher im Netzwerkstapel angezeigt werden und Inhaltsinspektionen durchführen (z. B. http-Inhaltsinspektion/URL-Verweigerung).

5
nsn