В сравнении с остальными типами брандмауэров, прокси-брандмауэры обладают целым рядом преимуществ:
· Внутренние IP-адреса защищены от внешнего мира благодаря тому, что прокси-службы не допускают прямых соединений между внешними серверами и внутренними компьютерами.
· Администраторы имеют возможность производить мониторинг нарушений политики безопасности брандмауэра, используя для этого записи аудита, генерируемые службами прокси.
· Использование прокси-брандмауэров позволяет организовать защиту, основанную на пользователях. Службы прокси эффективны при защите от неавторизованного использования на однопользовательской основе и способны поддерживать строгую аутентификацию.
· Вследствие того, что возможность организации соединений основана на службах, а не на физических соединениях, прокси-брандмауэры оказываются неуязвимыми перед IP-спуфингом (подмена IP адреса). IP-адреса хостов в пределах внутренней защищенной сети не требуют соединения посредством прокси-брандмауэра.
|
|
· Прокси-брандмауэры обладают лучшими возможностями регистрации, чем брандмауэры фильтрации и маршрутизации, и предлагают единственную точку для аудита и управления.
· Пользователи не могут войти в прокси-серверы. В бастионных хостах не требуются никакие учетные записи. Прокси-службы работают по команде пользователей.
· Прокси-сервер обеспечивает централизованную точку для сети, и наблюдение за трафиком может выполняться очень тщательно. Это, однако, может создать узкие места сетевого трафика.
· Топология внутренней защищенной сети в прокси-брандмауэрах является скрытой.
· Некоторые прокси предлагают улучшенные средства выполнения аудита, имея инструменты для мониторинга трафика.
· Прокси-брандмауэры предлагают строгую аутентификацию и регистрацию. Возможно выполнение предварительной аутентификации прикладного трафика, прежде чем он достигнет внутренних хостов, а также более эффективная регистрация по сравнению со стандартной регистрацией хоста.
· Прокси-брандмауэры имеют менее сложные правила фильтрации, нежели брандмауэры пакетных фильтров. Правила в маршрутизаторе пакетной фильтрации менее сложные, чем если бы маршрутизатору необходимо было отфильтровывать прикладной трафик и пересылать его нескольким определенным системам. Маршрутизатору необходимо разрешить только прикладной трафик, направляемый шлюзу прикладного уровня, а весь остальной трафик удалить.