Я читал это:
В контексте настройки сервера (не публичного), суть в том, что у вас есть брандмауэры PF и брандмауэры приложений. Брандмауэры приложений более безопасны, поскольку они видят больше пакетов и т. д. и т. п., но они, следовательно, медленнее.
Если брандмауэр приложений более безопасен, то какой смысл иметь еще и брандмауэр PF?
решение1
Межсетевые экраны с фильтрацией пакетов и межсетевые экраны приложений — это разные инструменты, они не являются выбором «или-или», и ни один из них не может полностью заменить другой.
Пакетные фильтрующие брандмауэры работают быстрее, поэтому они обеспечивают большую пропускную способность, чем брандмауэры прикладного уровня. И под «быстрее» я подразумеваюзначительнобыстрее. Поскольку брандмауэрам PF приходится иметь дело с IP-адресами и портами, они оперируют гораздо меньшим набором переменных, что позволяет им быстро решать, разрешено соединение или нет.
Но поскольку брандмауэры PF не могут обнаружить злоупотребления протоколами, имеет смысл защитить приложение более "знающим" брандмауэром, который может обнаружить все виды аномалий, но делать это на гораздо более низкой скорости. Однако на данном этапе более низкая скорость не должна быть проблемой, поскольку весь шум отфильтровывается к тому времени, как он достигает брандмауэра приложения.
Другая проблема, которая не позволяет вам использовать межсетевой экран уровня приложений вместо пакетного фильтра (помимо скорости), заключается в том, что, вероятно, ни один межсетевой экран уровня 7 не имеет сведений овсепротоколы. Конечно, легко найти прикладной брандмауэр для http, но может быть не так просто найти брандмауэр, поддерживающий SSL-терминацию сервера MQ.