In einem Sicherheitskonzept ausschließlich auf Firewalls zu setzen ist längst nicht mehr zeitgemäß. Eine Firewall alleine bietet lediglich Schutz auf IP-Ebene: Welche Verbindungen sind erlaubt, welche nicht? Sind die Datenpakete plausibel? Dies ist ein unverzichtbarer Basis-Schutz. Jedes auf IP-Ebene erlaubte Paket kann aber potentiell gefährliche Daten im Inhalt übermitteln. Proxies setzen an dieser Stelle an und sind somit eine unverzichtbare Ergänzung zur Firewall.

Innerhalb des Begriffs "Proxy" muss zwischen zwei Gruppen unterschieden werden: generische und anwendungsspezifische Proxies. Für erstere wird häufig auch die Bezeichnung "Circuit Level Gateway" gebraucht. Anwendungsspezifische Proxies hingegen entsprechen dem Begriff "Application Level Gateway", wobei nicht jeder diese Begriffe als Synonyme betrachten will. Für manche steht das Application Level Gateway für das System als ganzes, das seine Funktionalität mit Hilfe von anwendungsspezifischen Proxies bereitstellt. Für andere handelt es sich dann um einen Proxy, wenn eine Anwendung umkonfiguriert werden muss um den Proxy zu verwenden. Ein Application Level Gateway hingegen arbeitet transparent, also ohne dass eine Anwendung spezielle Unterstützung oder Konfiguration benötigt. Egal welcher Definition man folgt, unter dem Aspekt der Sicherheit besteht kein wesentlicher Unterschied zwischen einem anwendungsspezifischen Proxy und einem Application Level Gateway. Das eine ist nicht sicherer als das andere. Im folgenden wird der Begriff "Proxy" verwendet - schlicht und einfach deshalb, weil er kürzer ist.

Das Grundkonzept eines Proxies verbietet direkte Verbindungen zwischen Client und Server. Der Proxy dient als Vermittler zwischen den Kommunikationspartnern. Der Client kommuniziert ausschließlich mit dem Proxy und der Proxy ausschließlich mit dem Server. An dieser zentralen Position kann ein Proxy eine Reihe von Aufgaben erfüllen. Ohne den Anspruch auf Vollständigkeit hier eine Auswahl:

• Zugangskontrolle (Quelle, Ziel, Authentifizierung)
• Durchsetzung zentraler Richtlinien (Menge, Inhalt, andere Beschränkungen)
• Zentrales Monitoring, Accounting, Reporting
• Caching (Beschleunigt wiederholten Zugriff auf die selbe Information)
• Syntax-Überwachung des Protokolls, Re-Assemblierung der Datenpakete (Vermeidung von Angriffen wie Puffer-Überläufen)
• Content-Filtering (Virenschutz, unerwünschte Inhalte)

Im DEFENDO steht eine ganze Reihe anwendungsspezifischer Proxies zur Verfügung. Neben dedizierten Proxies bieten ferner einzelne Server-Dienste des DEFENDO Proxy-Funktionen an. Aber auch Anwendungen für die kein applikationsspezifischer Proxy zur Verfügung steht müssen nicht gänzlich auf die Vorteile eines Proxies verzichten. DEFENDO bietet mit SOCKS einen generischen Proxy-Dienst an.

Die folgende Übersicht zeigt welche Proxies des DEFENDO für welchen Zweck zur Verfügung stehen. Angegeben ist zudem ob der jeweilige Proxy transparent, also ohne Änderung der Client-Konfiguration genutzt werden kann. Ob zur Nutzung des Proxies die Eingabe von Benutzername und Kennwort gefordert werden kann gibt die Spalte "Auth." an.