Firewall-urile de filtrare a pachetelor și firewall-urile de aplicație sunt instrumente diferite, nu sunt nici/sau alegeri, nici unul dintre ele nu îl poate înlocui complet pe celălalt.
Firewall-urile de filtrare a pachetelor sunt mai rapide, astfel încât permit un proces mai mare decât firewall-urile la nivel de aplicație. Și prin mai repede, vreau să spun considerabil Mai repede. Deoarece firewall-urile PF trebuie să se ocupe de IP-uri și porturi, aceștia operează pe un set mult mai mic de variabile, ceea ce le permite să decidă rapid dacă conexiunea este permisă sau nu.
Dar, din moment ce firewall-urile PF nu pot detecta abuzurile de protocol, este logic să protejați aplicația cu un firewall mai „cunoscătoare”, care poate detecta tot felul de anomalii, dar face acest lucru într-un ritm mult mai lent. În acest moment însă, rata mai lentă nu ar trebui să fie o problemă, deoarece tot zgomotul a fost filtrat în momentul în care ajunge la firewall-ul aplicației.
O altă problemă care vă împiedică să utilizați un firewall la nivel de aplicație în loc de un filtru de pachete (în afară de viteză) este că, probabil, niciun firewall layer7 nu cunoaște toate protocoale. Sigur, este ușor să găsești un firewall de aplicație pentru http, dar s-ar putea să nu fie atât de ușor să găsești un firewall care acceptă terminarea SSL a unui server MQ.
