Ang mga firewall at proxy server ay parehong nagpapahusay sa seguridad ng network, ngunit ang mga ito ay nagsisilbing magkaibang layunin. Sinasala at kinokontrol ng firewall ang trapiko sa pagitan ng mga network batay sa mga panuntunan sa seguridad, habang ang proxy ay gumaganap bilang isang tagapamagitan na nagpapasa ng mga kahilingan ng kliyente sa mga panlabas na server, na kadalasang nagdaragdag ng mga kakayahan sa privacy, caching, o pag-filter ng nilalaman.
Isang aparato o software ng seguridad na nagmomonitor at nagsasala ng trapiko sa network batay sa mga paunang natukoy na patakaran.
Isang intermediary server na nagpapasa ng mga kahilingan ng kliyente sa ibang mga server, kadalasang nagbibigay ng anonymity at kontrol sa nilalaman.
| Tampok | Patakaran ng apoy | Proxy |
|---|---|---|
| Pangunahing Layunin | Harangan o payagan ang trapiko | Ipasa at pamahalaan ang mga kahilingan |
| Patong ng OSI | Patong 3/4 (at 7 sa NGFW) | Patong 7 (Aplikasyon) |
| Paghawak ng Trapiko | Sinusuri at sinasala ang mga packet | Nagre-relay ng mga kahilingan sa pagitan ng client at server |
| Pagiging Visible ng IP Address | Hindi itinatago ang IP ng kliyente bilang default | Maaaring itago ang IP ng kliyente |
| Pagsala ng Nilalaman | Limitado maliban kung may advanced | Karaniwang katangian |
| Kakayahang Mag-cache | Hindi tipikal | Karaniwan sa mga web proxy |
| Lokasyon ng Pag-deploy | Perimeter ng network | Sa pagitan ng mga kliyente at server |
| Pokus sa Seguridad | Pagkontrol sa pag-access at pag-iwas sa panghihimasok | Pagkawala ng lagda at kontrol ng aplikasyon |
Ang pangunahing tungkulin ng firewall ay ang pagpapatupad ng mga patakaran sa seguridad sa pamamagitan ng pagpapahintulot o pagharang sa trapiko batay sa mga tinukoy na patakaran. Ito ay gumaganap bilang isang gatekeeper sa pagitan ng mga network. Ang isang proxy, sa kabilang banda, ay nakatayo sa pagitan ng isang client at isang server, nagpapasa ng mga kahilingan at tugon habang posibleng binabago o sinasala ang data sa antas ng application.
Sinusuri ng mga tradisyunal na firewall ang trapiko sa network at mga transport layer, na nakatuon sa mga IP address, port, at mga estado ng koneksyon. Gumagana ang mga proxy sa application layer, ibig sabihin ay nauunawaan nila ang mga protocol tulad ng HTTP o FTP at mas malalim na nasusuri ang nilalaman ng mga kahilingan.
Karaniwang hindi itinatago ng mga firewall ang mga pagkakakilanlan ng user mula sa mga panlabas na server. Maaaring itago ng mga proxy ang IP address ng isang kliyente, na ginagawang kapaki-pakinabang ang mga ito para sa privacy, hindi nagpapakilalang pag-browse, o pag-iwas sa mga paghihigpit sa heograpiya kapag pinahihintulutan ng batas.
Pangunahing nakatuon ang mga firewall sa pagsala ng trapiko sa halip na pag-optimize nito. Maraming mga proxy, lalo na ang mga web proxy, ang nag-iimbak ng mga kopya ng mga madalas na ina-access na mapagkukunan, na maaaring mabawasan ang paggamit ng bandwidth at mapabilis ang paulit-ulit na mga kahilingan sa loob ng isang network.
Kadalasang naglalagay ng mga firewall ang mga organisasyon sa mga hangganan ng network upang maprotektahan laban sa hindi awtorisadong pag-access at mga banta sa cyber. Karaniwang ginagamit ang mga proxy sa loob ng kumpanya para sa pag-filter ng web, pagsubaybay sa aktibidad ng empleyado, o pamamahagi ng papasok na trapiko sa kaso ng mga reverse proxy.
Ang isang proxy ay pumapalit sa isang firewall.
Ang isang proxy ay hindi nagbibigay ng komprehensibong proteksyon sa antas ng network. Bagama't maaari nitong i-filter ang trapiko ng application, kinakailangan ang isang firewall upang ipatupad ang mas malawak na kontrol sa pag-access at ipagtanggol laban sa mga hindi awtorisadong koneksyon sa network.
Ginagawang anonymous online ang mga user dahil sa mga firewall.
Kinokontrol ng mga firewall ang trapiko ngunit hindi itinatago ang mga IP address mula sa mga panlabas na server. Ang mga tampok ng anonymity ay karaniwang iniuugnay sa mga proxy o serbisyo ng VPN.
Ginagamit lamang ang mga proxy upang malampasan ang mga paghihigpit.
Bagama't maaaring gamitin ang mga proxy upang ma-access ang pinaghihigpitang nilalaman, malawakang ginagamit ang mga ito para sa mga lehitimong layunin tulad ng caching, pamamahagi ng trapiko, at pag-filter ng nilalaman ng korporasyon.
Malalim na sinusuri ng lahat ng firewall ang nilalaman ng application.
Ang mga tradisyunal na firewall ay nakatuon sa mga IP address at port. Tanging ang mga advanced o next-generation na firewall lamang ang nagsasagawa ng malalim na packet inspection sa application layer.
Ang paggamit ng proxy ay ginagarantiyahan ang kumpletong seguridad.
Maaaring magdagdag ang isang proxy ng mga feature sa privacy at filtering, ngunit hindi nito pinapalitan ang mga komprehensibong kontrol sa seguridad tulad ng intrusion detection, endpoint protection, o encrypted na komunikasyon.
Mahalaga ang mga firewall para sa pagkontrol at pagprotekta sa trapiko ng network sa antas ng istruktura, habang ang mga proxy ay nagdaragdag ng kontrol sa antas ng aplikasyon, anonymity, at mga kakayahan sa pag-cache. Sa maraming kapaligiran, pareho silang ginagamit nang magkasama upang magbigay ng layered na seguridad at pamamahala ng trapiko.
Ipinapaliwanag ng paghahambing na ito ang mga pagkakaiba sa pagitan ng mga arkitektura ng network ng client-server at peer-to-peer (P2P), na sumasaklaw sa kung paano sila namamahala ng mga mapagkukunan, pinangangasiwaan ang mga koneksyon, scalability ng suporta, mga implikasyon sa seguridad, mga trade-off sa pagganap, at mga karaniwang sitwasyon ng paggamit sa mga kapaligiran ng networking.
Ang DHCP at static IP ay kumakatawan sa dalawang pamamaraan sa pagtatalaga ng mga IP address sa isang network. Awtomatiko ang DHCP sa paglalaan ng address para sa kadalian at kakayahang i-scalable, habang ang static IP ay nangangailangan ng manu-manong pag-configure upang matiyak ang mga nakapirming address. Ang pagpili sa pagitan ng mga ito ay depende sa laki ng network, mga tungkulin ng device, mga kagustuhan sa pamamahala, at mga kinakailangan sa katatagan.
Ang DNS at DHCP ay mahahalagang serbisyo sa network na may magkakaibang tungkulin: Isinasalin ng DNS ang mga pangalan ng domain na madaling gamitin ng tao sa mga IP address upang makahanap ang mga device ng mga serbisyo sa Internet, habang awtomatikong nagtatalaga ang DHCP ng configuration ng IP sa mga device upang makasali at makapag-usap ang mga ito sa isang network.
Ang Ethernet at Wi-Fi ang dalawang pangunahing paraan ng pagkonekta ng mga device sa isang network. Nag-aalok ang Ethernet ng mas mabilis at mas matatag na koneksyon sa wired, habang ang Wi-Fi ay nagbibigay ng wireless na kaginhawahan at kadaliang kumilos. Ang pagpili sa pagitan ng mga ito ay nakadepende sa mga salik tulad ng bilis, pagiging maaasahan, saklaw, at mga kinakailangan sa kadaliang kumilos ng device.
Ang mga hub at switch ay mga networking device na ginagamit upang ikonekta ang maraming device sa loob ng isang local area network, ngunit iba ang kanilang paghawak sa trapiko. Ang isang hub ay nagbo-broadcast ng data sa lahat ng konektadong device, habang ang isang switch ay matalinong nagpapasa ng data lamang sa nilalayong tatanggap, na ginagawang mas mahusay at ligtas ang mga switch sa mga modernong network.
