Брандмауэры с фильтрацией пакетов и брандмауэры приложений — это разные инструменты, они не являются выбором «или/или», и при этом один из них не может полностью заменить другой.
Брандмауэры с фильтрацией пакетов работают быстрее, поэтому они обеспечивают большую пропускную способность, чем брандмауэры уровня приложений. И быстрее, я имею в виду значительно Быстрее. Поскольку межсетевым экранам PF приходится иметь дело с IP-адресами и портами, они оперируют гораздо меньшим набором переменных, что позволяет им быстро решать, разрешено ли подключение или нет.
Но поскольку брандмауэры PF не могут обнаруживать злоупотребления протоколом, имеет смысл защитить приложение с помощью более «осведомленного» брандмауэра, который может обнаруживать все виды аномалий, но делать это гораздо медленнее. Однако на данный момент более низкая скорость не должна быть проблемой, поскольку весь шум фильтруется к тому времени, когда он достигает брандмауэра приложения.
Другая проблема, которая мешает вам использовать брандмауэр уровня приложения вместо фильтра пакетов (помимо скорости), заключается в том, что, вероятно, ни один брандмауэр уровня 7 не знает все протоколы. Конечно, легко найти брандмауэр приложения для http, но может быть не так просто найти брандмауэр, поддерживающий завершение SSL для сервера MQ.
