it-swarm-vi.com

Proxy so với tường lửa

Tôi hiểu rằng rất đơn giản chỉ cần đặt proxy là một loại 'người ở giữa' cho phép/từ chối quyền truy cập vào một số dịch vụ/tài nguyên nhất định. Về mặt bảo mật (ý tôi là ở đây quyền riêng tư, quyền kiểm soát của phụ huynh và những thứ tương tự bị loại trừ), nó có thể cung cấp bất kỳ bảo mật bổ sung nào so với tường lửa không?

17
Count Zero

Có, một proxy có thể cung cấp bảo mật thêm.

Bằng chứng bằng ví dụ:

  • Một proxy web có thể thực hiện quét phần mềm độc hại. Nó có thể ngăn bạn truy cập các trang web trong danh sách đen (nghĩa là độc hại đối với trình duyệt).
  • Bạn đang sử dụng mạng không tin cậy nhưng cần truy cập http mà không bị tấn công MITM. Tạo kết nối http thông qua kết nối được mã hóa, xác thực đến proxy web đáng tin cậy của bạn.
9
bstpierre

Một proxy hiểu giao thức mà nó được thiết kế cho. Điều này có nghĩa là một số phần mềm proxy có thể cho phép hoặc không cho phép lưu lượng truy cập dựa trên các yếu tố của giao thức. Để đưa ra một ví dụ, proxy của bạn có thể không cho phép lưu lượng HTTP với một tiêu đề User-Agent: Nhất định hoặc chỉ cho phép lưu lượng truy cập với các tiêu đề Referer: Nhất định. Một proxy cũng có thể yêu cầu xác thực trước khi gửi yêu cầu.

Không phải tất cả các phần mềm proxy đều có khả năng này. Một số đơn giản sẽ ủy quyền các yêu cầu không có phân tích được thực hiện trên nội dung ngoài những gì cần thiết để thực hiện yêu cầu.

Một proxy ngược (thường được sử dụng trước máy chủ web) có khả năng bảo vệ chống lại các lỗ hổng trong phần mềm máy chủ web. Nó cũng có thể có lỗi mà phần mềm máy chủ web không có.

Tường lửa mạng không hiểu giao thức HTTP và không thể cho phép hoặc từ chối lưu lượng dựa trên các thành phần của giao thức đó. Nó chỉ có thể cho phép hoặc từ chối dựa trên các giao thức cấp thấp hơn như IP, TCP và UDP. Tường lửa mạng không thể xác thực vì điều này không được tích hợp trong các cấp thấp hơn của ngăn xếp OSI .

Tường lửa ứng dụng mặt khác hiểu giao thức của ứng dụng mà chúng được thiết kế và cho phép hoặc từ chối lưu lượng dựa trên nội dung của lưu lượng. Tôi chưa thấy một trong số này có thể xác thực nhưng chắc chắn là có thể.

Một tường lửa ứng dụng web chỉ là một tường lửa ứng dụng được thiết kế cho các giao thức web.

Nhiều thiết bị tường lửa thương mại cũng là (ít nhất là một phần) tường lửa ứng dụng.

Vì vậy, việc bạn có nhận được bất kỳ bảo mật bổ sung nào từ tường lửa hoặc proxy hay không phụ thuộc rất lớn vào chính xác tường lửa hoặc proxy bạn sử dụng. Nó thường cũng sẽ phụ thuộc vào cách nó được cấu hình. Không có cấu hình tập trung vào bảo mật cụ thể, bạn thường sẽ không nhận được bảo mật bổ sung với tường lửa hoặc proxy.

12
Ladadadada

Trên thực tế thuật ngữ tường lửa thường được sử dụng sai và mọi người thường sử dụng nó để chỉ lọc gói không đúng.

Bạn có thể phân loại tường lửa theo 2 loại. Lọc gói và cổng ứng dụng (proxy AKA).

Nhìn vào cấp độ giao thức dịch vụ (ví dụ: lọc, gói, v.v.), lọc gói là một cách tiếp cận kém so với các cổng ứng dụng. Các cổng ứng dụng có kiến ​​thức ngữ nghĩa về giao thức và mạnh hơn nhiều vì chúng có thể xem nội dung (HTTP: kiểm tra xem bạn có đang tải phần mềm độc hại hay không, kiểm tra vi-rút SMTP và từ chối một thư cụ thể). Có điều này nói rằng thực tế là bạn không thể có proxy proxy cho tất cả các giao thức dịch vụ hiện có. Lọc gói, hoạt động ở mức thấp hơn, mặc dù không có độ chi tiết mỏng như vậy kết thúc là một cách tiếp cận phổ quát hơn cho tất cả các giao thức (SMTP: không chấp nhận bất cứ điều gì cho cổng 25 từ IP xx.xx.xx.xx).

Dù sao, không có lý do để chọn cái này hơn cái kia. Bạn có thể sử dụng chúng cùng nhau và tận dụng tốt nhất từng giải pháp.

Lưu ý: vì @Ladadadada đã giới thiệu, không phải tất cả các proxy đều có thể lọc hoặc kiểm tra sâu nên tôi sẽ nói không đúng khi nói tất cả các proxy là tường lửa. Tuy nhiên, bạn vẫn có thể coi chúng là một phần của cơ sở hạ tầng bảo mật của bạn.

Nhiều tường lửa lọc gói "truyền thống" giờ đây cũng có thể trông cao hơn một cấp trên ngăn xếp mạng và thực hiện kiểm tra nội dung (ví dụ: kiểm tra nội dung http/từ chối url)

5
nsn