Capisco che semplicemente mettere un proxy è una sorta di "uomo nel mezzo" che consente / nega l'accesso a determinati servizi / risorse. Rigorosamente in termini di sicurezza (intendo qui privacy, controllo parentale e simili esclusi), può offrire una maggiore sicurezza rispetto a un firewall?
Sì, un proxy può fornire ulteriore sicurezza.
Prova con l'esempio:
Un proxy comprende il protocollo per il quale è stato progettato. Ciò significa che alcuni software proxy possono consentire o impedire il traffico sulla base di elementi del protocollo. Per fare un esempio, il tuo proxy potrebbe non consentire il traffico HTTP con una determinata intestazione User-Agent: o consentire solo il traffico con certe intestazioni Referer: . Un proxy può anche richiedere l'autenticazione prima di inviare le richieste.
Non tutti i software proxy hanno questa capacità. Alcuni semplicemente proxy le richieste senza analisi sul contenuto oltre a quanto necessario per soddisfare la richiesta.
Un proxy inverso (spesso utilizzato di fronte a un server Web) può potenzialmente proteggere contro i difetti nel software del server web. Può anche avere difetti che il software del server Web non ha.
Un firewall di rete non comprende il protocollo HTTP e non può consentire o negare il traffico in base agli elementi di tale protocollo. Può solo consentire o rifiutare in base ai protocolli di livello inferiore come IP, TCP e UDP. I firewall di rete non possono eseguire l'autenticazione perché questo non è incorporato nei livelli inferiori dello stack OSI.
I Application Firewall d'altra parte comprendono il protocollo dell'applicazione per cui sono stati progettati e consentono o negano il traffico in base a il contenuto del traffico. Non ho visto uno di questi che può fare l'autenticazione ma è certamente possibile.
Un firewall per applicazioni web è solo un firewall per applicazioni progettato per i protocolli web.
Molti dispositivi firewall commerciali sono anche (almeno in parte) i firewall delle applicazioni.
Quindi, se si ottiene una maggiore sicurezza da un firewall o un proxy dipende in gran parte esattamente da quale firewall o proxy si utilizza. Di solito dipende anche da come è configurato. Senza una specifica configurazione incentrata sulla sicurezza, di solito non ottieni più sicurezza con un firewall o un proxy.
In realtà il termine firewall è comunemente usato impropriamente e la gente di solito lo usa per riferirsi al filtraggio dei pacchetti che non è strettamente corretto.
È possibile classificare i firewall in 2 categorie. Filtraggio pacchetti e gateway applicazione (proxy AKA).
Guardando il livello del protocollo di servizio (ad esempio.HTTP, SMTP, ecc.) il filtraggio dei pacchetti è un approccio scadente rispetto ai gateway delle applicazioni. I gateway delle applicazioni hanno una conoscenza semantica del protocollo e sono molto più potenti perché possono guardare il contenuto (HTTP: controlla se stai scaricando malware, verifica la presenza di virus da parte di SMTP e rifiuti una particolare posta). Detto questo, è un fatto che non è possibile avere proxy per tutti i protocolli di servizio esistenti. Il filtraggio dei pacchetti, lavorando su un livello inferiore, pur non avendo una granularità così sottile, finisce per essere un approccio più universale per tutti i protocolli (SMTP: non accettare nulla per la porta 25 da IP xx.xx.xx.xx).
In ogni caso, non vi è alcun motivo per sceglierne uno rispetto all'altro. Puoi usarli insieme e sfruttare al meglio ogni soluzione.
Nota: come riferito a @Ladadadada, non tutti i proxy possono fare il filtraggio o l'ispezione approfondita quindi direi che non è corretto dire che tutti i proxy sono firewall. Tuttavia, puoi considerarli parte della tua infrastruttura di sicurezza.
Molti firewall "tradizionali" di filtraggio dei pacchetti ora possono anche guardare un livello più in alto sullo stack di rete e fare l'ispezione del contenuto (es .: http content inspection / url denial)