Q:究竟是使用应用程序代理服务器的防火墙,还是导入封包检验功能的防火墙比较安全?
早期(1996-1997)商业用途的防火墙中,彼此之间的技术有很清楚的不同(注一)。TIS公司(现在的 NAI )的 Gauntlet、Axent 公司的 Raptor 和 Secure Computing 公司的 Sidewinder 是以代理服务器(proxy)为基础的防火墙,Checkpoint 公司的 Firewall-1 和思科系统(Cisco)的 PIX,则使用封包检验(stateful packet inspection)。
然而过了几年之后,以代理服务器为基础的防火墙已经加入了类似封包检验的能力,以提升其效能;而封包检验型的防火墙也已经加入了类似代理服务器的功能,以处理通讯协议的问题。
尽管一个设计良好的以代理服务器为基础的防火墙,在实验室里的研究结果可能比一个以封包检验为基础的防火墙来得安全,但是实际上在 Gartner 的研究记录中显示,其中所列出的防火墙在安全性方面却没有重大的差距,所有的领先产品都混合使用不同的技术。
防火墙有多安全的决定性因素,是在于作为整体的安全性解决方案的一个部分,它能被管理得有多好。除了关切处理的技术问题,企业更应该在领先的防火墙产品中,根据管理接口是否符合操作需求,以及防火墙与安全管理、入侵侦测、记录分析和负载平衡解决方案的整合程度,来选择合适的防火墙。
注一:防火墙技术
应用程序代理服务器防火墙(application proxy firewall)使用软件程序来拦截每一个网际网络通讯协议的连结,并在通讯协议堆栈中的多个层次执行安全性的检验。应用程序代理服务器防火墙会对资料封包的内容做某些程度的检查,但是因为这与 CPU 的效能有高度的关联性,这种等级的分析通常都有限制,而且无法运用在所有加密过的信息,例如SSL。
封包检验型防火墙(stateful inspection firewall)主要运作在网络的层级,但是藉由执行对每个连结的动态检验,也拥有应用程序的警示功能,让封包检验型防火墙可以拒绝非标准的通讯协议所使用的连结。不过,封包检验型防火墙并不提供根据封包的内容来阻挡连结的能力。
