應用代理防火牆的好處

　　問：為什麼代理防火牆適用於應用安全?

　　答：我認為描述應用代理防火牆好處的最好方式是看其它防火牆技術的缺點。有三類常見的防火牆：包過濾防火牆，基於狀態檢查的防火牆或電路級網關，代理防火牆或應用級網關。所有這三類防火牆對比規則分析進入的數據包然後決定是阻攔還是允許這些數據包通過，但是從分析數據包的層面可以區分它們。 .

　　包過濾亦稱網絡層防火牆運行在OSI(開發系統互聯)模型的第3層，並且位於進入和外出網絡流量之間能夠將組織的網絡和其它網絡域分離開來。這類防火牆檢測每個數據包的頭信息，，並且通過將數據包的源、目的地址、網絡端口、協議類型和一套規則進行對比來阻攔或允許它通過。這類“無狀態”的防火牆單獨地基於每個數據包中包含的信息來決策，無法知曉任何流量模式或數據流。這使得它們很容易受到欺騙攻擊和其它基於協議的網絡攻擊。 .

　　為了在一個更大的網絡通信會話環境中評估每個數據包，運行於OSI模型第5層的狀態防火牆記錄通過它們的所有連接。通過追蹤網絡連接的狀態它們擁有更多的完整信息，並且可以丟棄那些與已知連接狀態不匹配的數據包。盡管狀態防火牆能夠阻攔許多網絡協議級的攻擊，它們不能檢查穿梭於應用和用戶之間的每個數據包包含的實際負載。這樣就允許畸形或不期望的數據傳輸並且利用特定應用的漏洞例如緩沖區溢出或SQL注入。 .

　　運行於OSI模型第7層的應用代理防火牆有更高級的檢測能力。這類防火牆實際上不允許數據包直接在應用程序和用戶之間傳遞。相反所有的流量被攔截然後通過代理連接來傳遞。這意味著有兩個網絡連接：一個在用戶和代理服務器之間，另一個在代理服務器和應用程序之間。代理防火牆雙向地接收、檢查和轉發客戶端和應用之間的所有流量。防火牆位於邏輯連接的中間，這允許它檢測網絡流量包括負載，並在應用層級檢查任何可疑活動。 .

　　不像包過濾防火牆那樣，代理防火牆理解它保護的應用，所以能夠阻攔禁止的命令，例如危險的SQL命令或畸形請求(如嘗試引發緩沖區溢出)。此外，能夠在數據傳給用戶前分析離開網絡的流量並且攔截任何敏感數據。所有這些網絡流量的數據包頭和負載的詳盡信息也可以被記錄，以便提供更好的審計。通過改變防火牆的規則集能夠對付應用的新威脅。這比對應用本身進行修改更加快捷和容易。其它優勢還包括對位於防火牆之後的系統提供匿名保護，同時以一個分開的進程和內存空間隔離開安全檢查。這個級別的過濾為保護數據、業務邏輯和應用免於設計上的缺陷提供了一層額外的安全防護。 .

.