代理了解它所设计的协议。这意味着某些代理软件可以根据协议的元素允许或禁止流量。举个例子，您的代理可以禁止带有特定标头的 HTTP 流量，User-Agent:或者只允许带有特定Referer:标头的流量。代理还可以在发送请求之前要求进行身份验证。

并不是所有的代理软件都有这个能力。有些人会简单地代理请求，而不对超出满足请求所需的内容进行分析。

反向代理（通常在 Web 服务器前面使用）可以潜在地防止 Web 服务器软件中的缺陷。它也可能具有 Web 服务器软件没有的缺陷。

网络防火墙不理解 HTTP 协议，并且不能允许或拒绝基于该协议元素的流量。它只能根据IP、TCP和UDP等较低级别的协议来允许或拒绝。网络防火墙无法进行身份验证，因为这没有内置到 OSI 堆栈的较低级别。

另一方面，应用程序防火墙了解它们所设计的应用程序的协议，并根据流量的内容允许或拒绝流量。我还没有看到其中之一可以进行身份​​验证，但它肯定是可能的。

Web 应用程序防火墙只是为 Web 协议设计的应用程序防火墙。

许多商业防火墙设备也是（至少部分）应用防火墙。

因此，您是否从防火墙或代理中获得任何额外的安全性在很大程度上取决于您使用的防火墙或代理。它通常还取决于它的配置方式。如果没有特定的以安全为中心的配置，您通常不会通过防火墙或代理获得额外的安全性。

是的，代理可以提供额外的安全性。

举例证明：

• Web 代理可以实现恶意软件扫描。它可以阻止您访问列入黑名单的站点（即已知对浏览器具有恶意）。
• 您在不受信任的网络上，但需要 http 访问而不会受到 MITM 攻击。通过与您信任的 Web 代理的经过身份验证的加密连接建立 http 连接。

实际上，防火墙这个词经常被误用，人们通常用它来指代不严格正确的包过滤。

您可以将防火墙分为 2 类。数据包过滤和应用程序网关（AKA 代理）。

与应用程序网关相比，查看服务协议级别（例如 HTTP、SMTP 等）数据包过滤是一种糟糕的方法。应用程序网关具有协议的语义知识，并且功能更强大，因为它们可以查看内容（HTTP：检查您是否正在下载恶意软件，SMTP 检查病毒并拒绝特定邮件）。话虽如此，事实是您不能为现有的所有服务协议提供代理。包过滤在较低级别上工作，尽管没有如此细的粒度，但最终成为所有协议的更通用方法（SMTP：不接受来自 IP xx.xx.xx.xx 的端口 25 的任何内容）。

无论如何，没有理由选择其中之一。您可以一起使用它们，并充分利用每种解决方案。

注意：正如@Ladadada 所提到的，并非所有代理都可以进行过滤或深度检查，所以我想说说所有代理都是防火墙是不正确的。但是，您仍然可以将它们视为您的安全基础设施的一部分。

许多“传统”包过滤防火墙现在也可以在网络堆栈上看起来更高一级并进行内容检查（例如：http 内容检查/url 拒绝）