部署代理防火牆的優勢與缺陷

代理防火牆能夠比其它類型的防火牆提供更多的安全性，但是，這是以犧牲速度和功能爲代價的，因爲代理防火牆能夠限制你的網絡支持什麽應用程序。那麽，爲什麽代理防火牆更安全呢?代理防火牆與穩定的防火牆不同，穩定的防火牆允許或者封鎖網絡數據包進出受保護的網絡，而通信流不經過代理。如果使用代理防火牆，計算機要建立一個通向代理的連接，這個代理充當一個中介並且代表這台計算機的請求啓動一個新的網絡鏈接。這就阻止了防火牆兩端的係統直接進行連接，使攻擊者很難發現這個網絡在什麽地方，因爲它們永遠不接收它們的目標係統直接創建的數據包。

　　代理防火牆也對它們支持的協議提供深入的和熟悉協議的安全分析。這使它們能夠比那些純粹以數據包頭信息爲重點的産品做出更好的安全決策。例如，一個專門爲支持FTP協議而編寫的代理防火牆能夠監視在命令通道上發出的實際的FTP命令，並且阻止任何禁止的行爲。代理防火牆允許實施熟悉協議的記錄。因爲服務器是由代理保護的，這種記錄能夠讓人們很容易發現攻擊方法並且爲現有的記錄創建一個備份。

　　然而，代理防火牆提供增強的安全是要付出代價的。這種額外的開銷來自於爲每一個通話建立兩個連接、在應用層驗證請求需要耗費的時間以及降低性能等。你可以花錢增強你的代理服務器，但是，在一個真正高帶寬的網絡中，代理防火牆仍是一個瓶頸。你也許會發現爲你的網絡恰當地安裝和設置一套必要代理是很困難的，而且讓虛擬專用網通過一個代理防火牆是很難的。

　　另外，雖然最新的代理防火牆爲大量的互聯網協議提供代理，但是，如果你的網絡使用一個你的代理防火牆不支持的協議，你必須要使用一個普通的代理或者開發一個新的代理。使用普通的代理，你將失去熟悉協議的分析和記錄功能，只有最基本的安全檢查功能。重要的是需要指出這個行業正在擺脫代理防火牆，主要是因爲性能和兼容性問題。安全行業似乎支持深度包檢測防火牆。這種防火牆更靈活，能夠處理速度更快的網絡。然而，在你考慮進行轉換之前，你需要了解，雖然深度包檢測與代理一樣在應用層是好用的，但是，在計算機係統之間仍有直接的聯係。正如上面所說的那樣，這種直接的聯係很容易讓黑客采集到操作係統和應用程序的指紋，以便確定利用哪一類安全漏洞攻擊這個客戶機係統。