我正在读这个:
在设置服务器(非面向公众)的背景下,要点是您拥有 PF 防火墙和应用程序防火墙。应用程序防火墙更安全,因为它们可以看到更多的数据包等,但因此速度较慢。
如果应用程序防火墙更安全,那么拥有 PF 防火墙还有什么意义呢?
答案1
包过滤防火墙和应用程序防火墙是不同的工具,它们不是非此即彼的选择,也不能完全取代另一个。
数据包过滤防火墙速度更快,因此它们比应用程序级防火墙允许更大的吞吐量。我说的更快,是指相当速度更快。由于 PF 防火墙必须处理 IP 和端口,因此它们只需要处理一组更小的变量,这样它们就可以快速决定是否允许连接。
但是由于 PF 防火墙无法检测协议滥用,因此使用更“专业”的防火墙来保护应用程序是有意义的,这种防火墙可以检测各种异常,但执行速度要慢得多。不过,目前,较慢的速度应该不是问题,因为所有噪音在到达应用程序防火墙时都被过滤掉了。
另一个阻止你使用应用程序级防火墙而不是数据包过滤器的问题是(除了速度之外),可能没有第 7 层防火墙知道全部协议。当然,找到一个用于 http 的应用程序防火墙很容易,但找到一个支持 MQ 服务器 SSL 终止的防火墙可能就不那么容易了。