Entiendo que, simplemente, poner un proxy es una especie de 'hombre en el medio' que permite / deniega el acceso a ciertos servicios / recursos. Estrictamente en términos de seguridad (me refiero a privacidad, control parental y similares), ¿puede ofrecer alguna seguridad adicional en comparación con un firewall?
Sí, un proxy puede proporcionar seguridad adicional.
Prueba de ejemplo:
Un proxy entiende el protocolo para el que está diseñado. Esto significa que algún software proxy puede permitir o no permitir el tráfico en función de los elementos del protocolo. Para dar un ejemplo, su proxy podría no permitir el tráfico HTTP con un determinado encabezado User-Agent: o solo permitir el tráfico con ciertos encabezados Referer: . Un proxy también puede requerir autenticación antes de enviar las solicitudes.
No todo el software proxy tiene esta capacidad. Algunos simplemente procesarán las solicitudes sin realizar ningún análisis sobre el contenido más allá de lo necesario para cumplir con la solicitud.
Un proxy inverso (a menudo utilizado frente a un servidor web) puede potencialmente proteger contra fallas en el software del servidor web. También puede tener fallas que el software del servidor web no tiene.
Un firewall de red no entiende el protocolo HTTP y no puede permitir ni denegar el tráfico en función de los elementos de ese protocolo. Solo puede permitir o denegar en función de los protocolos de nivel inferior, como IP, TCP y UDP. Los firewalls de red no pueden realizar la autenticación porque esto no está integrado en los niveles más bajos de la pila OSI.
Por otra parte,Firewalls de aplicaciones entienden el protocolo de la aplicación para la que fueron diseñados y permiten o deniegan el tráfico en función de El contenido del tráfico. No he visto uno de estos que pueda autentificar, pero ciertamente es posible.
Un firewall de aplicaciones web es solo un firewall de aplicaciones diseñado para protocolos web.
Muchos dispositivos de firewall comerciales también son (al menos parcialmente) firewalls de aplicación.
Por lo tanto, si obtiene cualquier seguridad adicional de un firewall o un proxy, depende en gran medida de qué firewall o proxy utiliza. Por lo general, también dependerá de cómo está configurado. Sin una configuración específica enfocada en la seguridad, por lo general no obtendrá seguridad adicional con un firewall o un proxy.
En realidad, el término cortafuegos se usa mal y la gente lo usa para referirse al filtrado de paquetes que no es estrictamente correcto.
Puedes clasificar los cortafuegos en 2 categorías. Filtrado de paquetes y puertas de enlace de aplicaciones (proxy AKA).
Mirar el nivel de protocolo de servicio (p. ej., HTTP, SMTP, etc.), el filtrado de paquetes es un enfoque deficiente en comparación con las puertas de enlace de aplicaciones. Las puertas de enlace de aplicaciones tienen conocimiento semántico sobre el protocolo y son mucho más potentes porque pueden ver el contenido (HTTP: compruebe si está descargando malware, verifique si hay virus en SMTP y rechace un correo en particular). Una vez dicho esto, es un hecho que no puede tener proxy para todos los protocolos de servicio existentes. El filtrado de paquetes, trabajando en un nivel inferior, aunque no tener una granularidad tan delgada, termina siendo un enfoque más universal para todos los protocolos (SMTP: no acepte nada para el puerto 25 de IP xx.xx.xx.xx).
De todos modos, no hay razón para elegir una sobre la otra. Puede usarlos juntos y sacar lo mejor de cada solución.
Nota: como se refirió a @Ladadadada, no todos los proxys pueden filtrar o realizar una inspección profunda, por lo que diría que no es correcto decir que todos los proxys son cortafuegos. Pero aún así, puede considerarlos como parte de su infraestructura de seguridad.
Muchos firewalls de filtrado de paquetes "tradicionales" ahora también pueden verse un nivel más alto en la pila de la red y realizar inspecciones de contenido (por ejemplo, inspección de contenido http / negación de URL)