![](https://seccdn.libravatar.org/avatar/40d8a555d68834cc3b269fea413ae6af.jpg?s=120&d=mm&r=g)
Hallo Jochen,
From the keyboard of Jochen, Hallo Peter, hallo Waldemar,
1. Proxies sind insofern besser als Masquerading, dass sie Routing unnötig machen.
Beim Masquerading werden Pakete (wenn auch mit manipulierten Adressen) durch die FW zwischen Intranet und Internet geroutet. Alle (eventuellen) Schwächen von Server- und Client-Software sind daher voll als Angriffsfläche anzusehen.
Proxies unterbrechen den Paketfluss von innen nach aussen: Client sagt Proxy "Ich hätte gern...", Proxy besorgt es. Hier kommuniziert also nur der Proxy nach aussen. Und bevor der Client seine Informationen bekommt, werden sie wieder vom Proxy geprüft.
2. Proxies sind einfach mächtiger als Masquerading. Ein Paketfilter (mit oder ohne NAT) spielt nur bis OSI-Schicht 4, d.h. es können nur TCP/IP-Informationen (Adressen, Protokolle, etc.) geprüft werden. Ein Proxy versteht die Pakete bis zur Anwendungsebene (Schicht 7) hinauf. Daher der Name "Application Level Gateway". Ein HTTP-Proxy kann daher z.B. auch ActiveX-Inhalte rausfiltern.
Proxies sollten aus diesen Gründen so weit wie möglich Paketfilter ersetzen. Das Problem ist nur, dass für jedes Protokoll ein passender Proxy existieren und eingerichtet werden muss. Deshalb setzt man beides meist in ergänzender Kombination ein.
Dann möchte ich hier noch etwas hinzufügen. 3. Proxies bieten Möglickeiten der Userauthentifizierung Bei Masquerading kann nur anhand der IP-Addresse entschieden werden, ob jemand Zugriff auf eine Ressource erhält oder nicht. 4. Proxies erlauben sinnvolleres Logging/Accounting. Da nicht nur Pakete vom Proxy "gesehen" werden, sondern auch Inhalte. (siehe 2.) gruß Waldemar -- Are your questions smart enough? http://www.tuxedo.org/~esr/faqs/smart-questions.html