it-swarm-id.com

Proxy vs. Firewall

Saya mengerti bahwa dengan sangat sederhana menempatkan proxy adalah semacam 'man in the middle' yang mengizinkan/menolak akses ke layanan/sumber daya tertentu. Ketat dalam hal keamanan (maksud saya di sini privasi, kontrol orangtua dan sejenisnya dikecualikan), dapatkah ia menawarkan keamanan tambahan dibandingkan dengan firewall?

17
Count Zero

Ya, proxy dapat memberikan keamanan ekstra.

Bukti dengan contoh:

  • Proxy web dapat menerapkan pemindaian malware. Itu dapat mencegah Anda mengunjungi situs-situs yang masuk daftar hitam (mis. Dikenal jahat oleh peramban).
  • Anda berada di jaringan yang tidak terpercaya tetapi membutuhkan akses http tanpa menjadi sasaran serangan MITM. Buat koneksi http melalui koneksi terenkripsi dan terenkripsi ke proxy web tepercaya Anda.
9
bstpierre

Proxy memahami protokol yang dirancang untuknya. Ini berarti bahwa beberapa perangkat lunak proksi dapat mengizinkan atau melarang lalu lintas berdasarkan elemen protokol. Sebagai contoh, proksi Anda dapat melarang lalu lintas HTTP dengan tajuk User-Agent: Tertentu atau hanya mengizinkan lalu lintas dengan tajuk Referer: Tertentu. Proxy juga dapat memerlukan otentikasi sebelum mengirim permintaan.

Tidak semua perangkat lunak proxy memiliki kemampuan ini. Beberapa hanya akan mem-proxy permintaan tanpa analisis dilakukan pada konten di luar apa yang diperlukan untuk memenuhi permintaan.

Proxy terbalik (sering digunakan di depan server web) berpotensi melindungi terhadap kelemahan dalam perangkat lunak server web. Ini juga dapat memiliki kekurangan yang tidak dimiliki oleh perangkat lunak server web.

Firewall jaringan tidak memahami protokol HTTP dan tidak dapat mengizinkan atau menolak lalu lintas berdasarkan elemen protokol itu. Itu hanya dapat mengizinkan atau menolak berdasarkan protokol tingkat yang lebih rendah seperti IP, TCP dan UDP. Firewall jaringan tidak dapat melakukan otentikasi karena ini tidak dibangun ke tingkat yang lebih rendah dari tumpukan OSI .

Aplikasi Firewall di sisi lain memahami protokol aplikasi yang mereka dirancang untuk dan mengizinkan atau menolak lalu lintas berdasarkan konten lalu lintas. Saya belum melihat salah satu dari ini yang dapat melakukan otentikasi tetapi tentu saja mungkin.

A firewall aplikasi web hanyalah firewall aplikasi yang dirancang untuk protokol web.

Banyak perangkat firewall komersial juga (setidaknya sebagian) firewall aplikasi.

Jadi, apakah Anda mendapatkan keamanan tambahan dari firewall atau proxy sangat tergantung pada firewall atau proxy yang Anda gunakan. Biasanya juga akan tergantung pada bagaimana hal itu dikonfigurasi. Tanpa konfigurasi khusus yang berfokus pada keamanan, Anda biasanya tidak akan mendapatkan keamanan tambahan dengan firewall atau proxy.

12
Ladadadada

Sebenarnya istilah firewall umumnya disalahgunakan dan orang biasanya menggunakannya untuk merujuk pada packet filtering yang tidak sepenuhnya benar.

Anda dapat mengklasifikasikan firewall dalam 2 kategori. Penyaringan paket dan gateway aplikasi (proksi AKA).

Melihat tingkat protokol layanan (mis. HTTP, SMTP, dll) packet filtering adalah pendekatan yang buruk dibandingkan dengan gateway aplikasi. Gateway aplikasi memiliki pengetahuan semantik tentang protokol dan jauh lebih kuat karena mereka dapat melihat konten (HTTP: periksa apakah Anda mengunduh malware, SMTP memeriksa virus dan menolak surat tertentu). Setelah mengatakan ini adalah fakta bahwa Anda tidak dapat memiliki proxy untuk semua protokol layanan yang ada. Penyaringan paket, bekerja pada level yang lebih rendah, meskipun tidak memiliki granularity tipis seperti itu akhirnya menjadi pendekatan yang lebih universal untuk semua protokol (SMTP: jangan menerima apa pun untuk port 25 dari IP xx.xx.xx.xx).

Lagi pula, tidak ada alasan untuk memilih satu dari yang lain. Anda dapat menggunakannya bersama-sama dan mengambil yang terbaik dari setiap solusi.

Catatan: sebagai @Ladadada merujuk tidak semua proxy dapat melakukan penyaringan atau inspeksi mendalam, jadi saya akan mengatakan itu tidak benar untuk mengatakan semua proxy adalah firewall. Tapi tetap saja, Anda dapat menganggap mereka sebagai bagian dari infrastruktur keamanan Anda.

Banyak firewall packet filtering "tradisional" sekarang juga dapat terlihat satu tingkat lebih tinggi pada tumpukan jaringan dan melakukan inspeksi konten (mis .: http content inspection/penolakan url)

5
nsn