HW nároky na firewall

[Michal Kubecek]

On Fri, Aug 06, 2004 at 10:28:46AM +0200, postmaster na mga.sk wrote:
> viete mi povedat ako squid brani prieniku z vonkajsej siete do
> vnutornej (muozete popisat aj riesenie bez fw. iba squid)?  poprosim
> vas aj o strucny popis funkcii proxy - kedze nie som odbornik,
> privitam informacie co proxy okrem cachovania a moznosti vyuzivat
> sluzby poskytovane jednej vonkajsej IP viacerym vnutornym IP ponuka (a
> hlavne po stranke bezpecnostnej).

Je tady jeden efekt, sice trochu skrytý, ale za určitých okolností
poměrně důležitý: při použití proxy se ke klientovi dostávají pouze
pakety, které vytvořila proxy, a žádné pakety, které by vznikly "venku".
Výhodné je to mimo jiné kvůli tomu, že část chyb je zneužívána buď
nekorektně zformovanými pakety nebo úmyslně nekorektní komunikací na
úrovni aplikačního protokolu (u HTTP třeba příliš dlouhá metoda, příliš
dlouhé URL/jméno parametru apod.). Takže pokud je vůči těmto chybám
proxy imunní, může před nimi "odstínit" klienty.

Na druhou stranu je i mnoho důvodů, proč se proxy raději vyhnout, např.
pokud chcete provádět traffic control. Osobně se používání proxy raději
vyhýbám, ale za určitých okolností svůj smysl mají.

							  Michal Kubeček