1.簡介
這種防火牆通過一種代理(Proxy)技術參與到一個TCP連線的全過程。從內部發出的數據包經過這樣的防火牆處理後,就好像是源於防火牆外部網卡一樣,從而可以達到隱藏內部網結構的作用。這種類型的防火牆被網路安全專家和媒體公認為是最安全的防火牆。
2.安全性
代理防火牆為它們所支持的協定提供全面的協定意識安全分析。相比於那些只考慮數據包頭信息的產品,這使得它們能做出更安全的判定。例如,特定的支持FTP的代理防火牆,它能夠監視實際流出命令通道的FTP命令,並能夠停止任何禁止的活動。由於伺服器被代理防火牆所保護,而且代理防火牆允許協定意識記錄,這使得識別攻擊方法以及備份現有記錄更容易。
代理防火牆增加安全性也是要付出代價的。額外的代價是為每個會話建立兩個連線所需的花費,加上套用層驗證請求所需的時間,以及性能的降低。你可以將錢花費在代理伺服器上,但在真正的高頻寬網路上仍有可能到達瓶頸。可能您會發現為您的網路正確安裝以及配置所需的代理是困難的,還可能很難使VPN(虛擬專用網)通過代理防火牆工作。
安全性:可以有效防止跨站腳本攻擊(XSS)。