應用層防火墻有許多優點�,代理服務設置能讓網絡管理員對服務進行全面的控制����,可以完全開放�����、部分開放或徹底關閉某一服務�����。同時����,應用層防火墻還提供了更詳細的用戶注冊信息和更可靠的用戶認證���。另外�,應用層的過濾規則相對于網絡層的包過濾規則更容易配置和測試�����。
應用層網關的最大缺點是要求用戶改變自己的習慣��,因為用戶必須先登錄代理服務器后才可以再登錄其他的服務器���。雖然可以在每個主機上安裝特殊的軟件使代理服務器對用戶透明��,但當開放的服務較多時�����,這項工作所需的培訓和維護費用還是很大的��。電路層防火墻 是一個特殊的功能����,一般包括在應用層網關中而不獨立存在�����,它只依賴于TCP連接���,并不進行任何附加的包處理或過濾���。電路層防火墻就像電線一樣��,只是在內部和外部連接之間來回拷貝字節����,但它還是可以隱藏受保護網絡的有關信息��。當網絡管理員認為內部網絡可信任時�����,電路層防火墻可用于向外連接����,這對內部用戶訪問Internet是非常方便的����。
使用防火墻的好處使用防火墻����,不但可以帶來系統安全性的提高�����,還有許多好處�。
(1)集中化的安全管理 在一個沒有防火墻的環境里����,網絡的安全性只能由每一個主機來實現���,整個網絡的安全性是由所有主機中安全性最低的那臺主機決定的�,所有主機必須通力合作���,才能達到較高程度的安全性�����。網絡越大�,這種較高程度的安全性越難管理�����。只要有一臺主機有配置的低級錯誤或不合適的口令選擇�,就很容易受到攻擊���,從而影響整個網絡����,而防火墻技術就可以把安全性的管理集中到一起�����,只要防火墻足夠堅固���,即使內部網絡的某些主機出現漏洞�,也不會受到外部網絡的攻擊���。
(2)方便的網絡安全監視 在防火墻上可以很方便地監視網絡的安全性�,并產生報警����。網絡管理員不但可以知道內部網絡是否受到攻擊����,更重要的是����,他還可以在攻擊發生時立即收到警報�,以便于及時撲滅“火情”�,把損失減少最小���,避免成為“事后諸葛亮”��。另外��,通過經常審查防火墻提供的常規紀錄�,管理員還可以了解目前系統中存在的安全的漏洞和受到的損失����,及時彌補不足���。
(3)緩解IP地址空間的緊缺 在過去的幾年里�����,Internet經歷了地址空間的危機�,使得IP地址越來越少(目前的IP地址共32位)�。一個機構很有可能無法申請到足夠的IP地址來滿足其內部網絡用戶的需要(就算申請到了所需費用也很大)�����。而在防火墻上安裝NAT(NetworkAddressTranslator��,網絡地址變換)服務����,并為內部網絡中每臺客戶機分配一個虛擬地址后�����,機構只要申請幾個IP地址就足夠了��。通過NAT的轉換��,內部虛擬地址在訪問Internet時都會被自動轉換成一個機構擁有的真實的IP地址�����。所以說��,防火墻可以用來緩解IP地址空間短缺的問題����,并消除機構在變換ISP時帶來的重新編碼的麻煩���。 | 
