Điểm của Tường lửa PF là gì?

Tường lửa lọc gói và tường lửa ứng dụng là những công cụ khác nhau, chúng không phải là/hoặc là sự lựa chọn, cũng như không thể thay thế hoàn toàn cái kia.

Tường lửa lọc gói nhanh hơn, vì vậy chúng cho phép nhiều thông lượng hơn tường lửa cấp ứng dụng. Và nhanh hơn, ý tôi là đáng kể nhanh hơn. Vì tường lửa PF phải xử lý các IP và cổng nên chúng hoạt động trên một tập hợp các biến nhỏ hơn nhiều, điều này cho phép chúng nhanh chóng quyết định liệu kết nối có được phép hay không.

Nhưng vì tường lửa PF không thể phát hiện sự lạm dụng giao thức, nên việc bảo vệ ứng dụng bằng tường lửa "hiểu biết" hơn, có thể phát hiện tất cả các loại bất thường, nhưng thực hiện việc này với tốc độ chậm hơn nhiều là điều hợp lý. Tuy nhiên, tại thời điểm này, tốc độ chậm hơn không phải là vấn đề, vì tất cả tiếng ồn đã được lọc khi nó đến tường lửa ứng dụng.

Một vấn đề khác ngăn bạn sử dụng tường lửa cấp ứng dụng thay vì bộ lọc gói (ngoài tốc độ) là có lẽ không có tường lửa layer7 nào biết về tất cả các giao thức. Chắc chắn, rất dễ tìm thấy tường lửa ứng dụng cho http, nhưng có thể không dễ dàng tìm thấy tường lửa hỗ trợ chấm dứt SSL của máy chủ MQ.