代理防火牆與代理伺服器
雖然所有代理防火牆都是代理伺服器,但並非所有代理伺服器都是代理防火牆。它們都作為服務器和客戶端之間的中介。 它們都可以快取網頁以減少網路擁塞,並且都可以向伺服器隱藏有關使用者的信息。代理防火牆對網路流量進行更深層的檢查,以識別和防止潛在的惡意流量。
代理防火牆的工作原理
如果您曾為大型組織工作,您可能熟悉將筆記型電腦設定為使用 Proxy PAC (Proxy 自動組態) 檔案,或指定公司代理伺服器的 IP 位址。 瀏覽器和其他應用程式使用這些作業系統設定將流量引導至代理伺服器。
Web 瀏覽器會連線到 Proxy 伺服器,如果政策允許連線,則該伺服器會攔截連線,並代表用戶端建立與目的地網站進行另一次連線。 這使得代理防火牆能夠檢查連線內的資料包。支援的主要協議是 HTTP(S) Web 流量,但也可以支援其他協議,例如 FTP,具體取決於代理防火牆功能。
代理防火牆的主要特點
代理防火牆的主要功能包括:
- 緩存網站流量以提高性能。
- 根據安全政策限制網站訪問。
- 檢查應用程式層流量是否有惡意意圖。
代理防火牆與其他防火牆的區別
代理防火牆與其他類型的防火牆有幾個不同之處,包括:
檢測和保護能力
代理防火牆旨在檢查一組特定於應用程式的流量。其他防火牆也進行深度封包檢查,但歷史上是根據 IP 位址和連接埠或服務位址強制執行策略,例如TCP 連接埠 80 (HTTP) 和 443 (HTTPS),適用於網頁。
簡單的 IP 和連接埠層級過濾是早期封包過濾器或防火牆的領域,它們強制執行簡單的存取控制清單 (ACL)。但是,ACL 可能會變得非常長,而且對人類來說很難理解。
狀態防火牆更進一步,為流量控制帶來了協定感知。例如,FTP (檔案傳輸通訊協定) 具有獨立的控制 (TCP 連接埠 20) 和資料 (TCP 連接埠 21) 連線。 對於數據傳輸,端口也可以是一組可用端口中的任意端口,總計少於 60,000 個。 用戶端和伺服器之間選擇的連接埠會透過 FTP 控制連線進行通訊。
監控 FTP 控制連線的狀態防火牆可以動態地允許資料傳輸。在策略中,這意味著安全管理員只需要指定在主機之間允許 FTP。 他們無需在 ACL 列表中打開更寬的連接埠範圍。
隨著其他技術的進步,例如過濾、應用程式控制、入侵偵測和預防(IDS/IPS) 以及沙箱,這些技術被整合到防火牆中,從而形成了多功能網路安全裝置。
部署地點
雖然隨著防火牆演變為安全網路閘道器(SWG)、UTM(統一威脅管理)和次世代防火牆(NGFW),名稱可能已發生變化,但其在網路中的位置可能沒有變化。代理伺服器和代理防火牆通常部署為流量定向到的透明網路裝置。
另一方面,防火牆更通常作為透明邊界裝置內聯部署在網路邊界處。這些防火牆也會在網路之間執行低階網路位址轉換 (NAT),使用靜態或動態路由協定參與路由,並終止用戶端到站點和站點到站點虛擬私人網路 (VPN)連線。通常,這對一般使用者來說是完全透明的,但他們也可以透過作為郵件傳輸代理程式 (MTA) 來攔截連線,例如 SSL/TLS 加密的 Web 連線和 SMTP 等電子郵件。
代理防火牆的限制
代理防火牆做而 NGFW 不做的一件事是快取 Web 流量以提高效能。與 NGFW 相比,效能較差可能是代理防火牆的缺點之一。另一個原因是,隨著應用程式的變化,很難保持最新狀態,因此應用程式過濾有時會中斷,導致用戶體驗不佳。同樣,它們可能成為單點故障並可能導致網路中斷。
帶外網路裝置(如代理防火牆)的另一個問題是它們依賴在客戶端上設定代理或 PAC 檔案配置。用戶通常可以手動執行此操作,因此繞過代理服務器相對容易。 同樣,雄心勃勃的用戶也可以使用代理防火牆不支援的應用程序,並以這種方式繞過公司安全策略。
帶有Check Point的代理防火牆
Check Point 防火牆是最早的狀態防火牆之一,隨著新威脅的出現而不斷發展。現今的 Check Point 防火牆是代理防火牆和代理伺服器的重要替代品,使企業能夠將網路安全技術整合到一個高度可擴展且可靠的多功能網路裝置中。
Check Point NGFW 也可用於您選擇的部署;對於內聯路由或橋接部署,在本地作為實體裝置,在私人和公有雲端作為虛擬裝置,以及作為防火牆即服務(FWaaS)部署為SASE (安全存取服務邊緣)中的安全元件) 模型。SASE 模型中包含的其他安全服務包括零信任網路存取 ( ZTNA ),用於提供對企業應用程式的安全存取;以及CASB(雲端存取安全代理),用於本地保護辦公室和電子郵件雲端應用程式生產力套件。
若要進一步了解 NGFW 或 SASE 解決方案需要注意的內容,請參閱本購買指南。 歡迎您立即示範Check Point NGFW或SASE 產品。
反映意見