Firewall

PF 防火牆的意義何在?

  • March 31, 2022

我在讀這個:

https://www.giac.org/paper/gsec/693/comparison-packet-filtering-vs-application-level-firewall-technology/101569

在設置伺服器(非面向公眾)的上下文中,要點是您擁有 PF 防火牆和應用程序防火牆。應用程序防火牆更安全,因為它們可以看到更多的數據包等,但它們因此速度較慢。

如果應用程序防火牆更安全,那麼還有一個 PF 防火牆又有什麼意義呢?

包過濾防火牆和應用防火牆是不同的工具,它們不是非此即彼的選擇,也不能完全替代另一個。

包過濾防火牆速度更快,因此它們允許比應用級防火牆更高的吞吐量。更快,我的意思更快。由於 PF 防火牆必須處理 IP 和埠,它們在一組更小的變數上執行,這使它們能夠快速決定是否允許連接。

但由於 PF 防火牆無法檢測協議濫用,因此使用更“知識淵博”的防火牆保護應用程序是有意義的,它可以檢測各種異常,但執行速度要慢得多。然而,在這一點上,較慢的速率應該不是問題,因為所有噪音在到達應用程序防火牆時都被過濾掉了。

阻止您使用應用程序級防火牆而不是數據包過濾器(除了速度)的另一個問題是,可能沒有第 7 層防火牆了解所有協議。當然,很容易找到適用於 http 的應用程序防火牆,但找到支持 MQ 伺服器 SSL 終止的防火牆可能並不容易。

引用自:https://serverfault.com/questions/1097455