问：代理防火墙的优点和缺点有哪些?

　　答：简而言之，代理防火墙能比其他类型的防火墙能提供更多的安全保护，但这是以牺牲速度和功能为代价的，因为它们可能会限制您的网络所能够支持的应用程序。那么，为什么它们更安全呢？状态防火墙（stateful firewall）允许或阻止通过的网络数据包以及受保护的网络，并且流量不通过代理，代理防火墙是不同于状态防火墙（stateful firewall）的。相反的，在代理防火墙中计算机作为中介需要建立到代理的连接，并在要求下初始化一个新的网络连接。由于代理防火墙从不接收目标系统直接创建的数据包，这就防止了防火墙两边系统之间的直接连接，使攻击者很难发现网络。

　　代理防火墙也为它们所支持的协议提供全面的协议意识安全分析。相比于那些只考虑数据包头信息的产品，这使得它们能做出更安全的判定。例如，特定的支持FTP的代理防火墙，它能够监视实际流出命令通道的FTP命令，并能够停止任何禁止的活动。由于服务器被代理防火墙所保护，而且代理防火墙允许协议意识记录，这使得识别攻击方法以及备份现有记录更容易。

　　尽管如此，代理防火墙增加安全性也是要付出代价的。额外的代价是为每个会话建立两个连接所需的花费，加上应用层验证请求所需的时间，以及性能的降低。你可以将钱花费在代理服务器上，但在真正的高带宽网络上仍有可能到达瓶颈。可能您会发现为您的网络正确安装以及配置所需的代理是困难的，还可能很难使VPN（虚拟专用网）通过代理防火墙工作。

　　此外，最新的代理防火墙为代理机构提供了一整套的互联网协议，如果您的网络所使用的协议代理防火墙不支持，那您就不得不使用一种通用的代理或开发一种新的代理机构。使用通用的代理，您将会失去协议意识分析和记录功能，只剩下基本的安全检查。必须注意的是，主要由于性能和兼容性问题，代理防火墙正在远离这个行业。业界似乎青睐深度包检测防火墙，它更加灵活，并且能够处理更高速的网络。然而，我们都知道，在选择之前，工作在应用层的深度包检测如代理机构，仍然是计算机系统间的一种直接连接。正如上面所提到的，直接连接使得攻击者更容易执行操作系统以及应用指纹来决定使用什么类型来攻击客户端系统。