防火墙的基本类型

防火墙技术的应用可以根据预防方式和重点分为多种类型。一般来说，它可以分为四种类型：包过滤防火墙，应用网关防火墙状态检测防火墙和复合防火墙。

防火墙技术的应用可以根据预防方式和重点分为多种类型。一般来说，它可以分为四种类型：包过滤防火墙，应用网关防火墙状态检测防火墙和复合防火墙。 （1）包过滤包过滤防火墙作用于网络层和传输层。它根据数据包标头源地址的目标地址，端口号和协议类型确定是否允许数据包通过。只有满足过滤逻辑的数据包才能转发到相应的目的地出口，剩余的数据包将从数据流中丢弃。包过滤（或包过滤）是一种通用且有效的安全工具。数据包过滤根据系统管理员根据来自IP，TCP或UDP标头的信息提供的过滤规则过滤数据包。它不需要对特定网络服务进行特殊处理，并且在某种程度上可以有效地满足最基本的安全要求。通常用作第一道防线，并与应用程序网关组成防火墙系统。但是，数据包过滤防火墙不会检查数据区域，也不会为CISC0PIX防火墙建立连接状态表。包过滤防火墙的基本特性:◆由于包过滤防火墙在P和TCP层工作，它比代理服务防火墙更快地处理数据包◆提供透明服务，用户不需要更改客户端程序◆因为只涉及TCP层因此，与代理服务防火墙相比，它提供了较低的安全级别。 ◆不支持用户身份验证。只有包含在机器中的机器的信息不包含来自哪个用户的信息。 ◆不提供日志功能。 （2）应用网关（代理服务）防火墙应用网关防火墙检查所有应用层信息包，并通过为每个应用服务编程特定代理来实现应用层通信流的监视和控制。 还可以提供诸如应用代理，通用代理（例如套接字代理），1P信道（IPTunnel），网络地址转换（NAT），邮件转发等服务。数据流监控，过滤记录和报告。但是，应用程序网关防火墙不检查IP和TCP标头，不建立连接状态表，并且网络层保护较弱。 ProxyService系统通常在双主机上安装并运行。双宿主机器是一个解除路由的主机。连接到双宿网络的外部网络与网络层的内部网络断开连接。这样做的目的是使外部网络无法理解内部网络的拓扑。这明显不同于包过滤防火墙。在逻辑拓扑方面，代理服务防火墙比包过滤类型更安全。由于内部网络和外部网络在网络层断开连接，因此有必要在内部和外部网络之间实现应用程序通信。必须高于网络层。代理系统在应用层工作。代理系统是客户端和真实服务器之间的中介。代理系统完全控制客户端和真实服务器之间的流量，并记录流量。目前，代理服务防火墙产品通常包括包过滤。 （3）状态检查防火墙状态检测防火墙基本上保持了简单的包过滤防火墙的优点。性能相对良好且对应用程序透明。在此基础上，安全性得到了很大提高。这种防火墙放弃了简单的包过滤防火墙。它只检查进出网络的数据包，不关心数据包状态的缺点，在防火墙的核心部分建立状态连接表，维护连接，并将进出网络的数据视为一件事。处理。但是，状态检测防火墙不检查数据区域，建立连接状态表，消息前后相关，应用层控制较弱。 （4）复合防火墙由于app开发的安全性要求较高，基于包过滤的方法和基于代理的基于服务的方法通常结合起来形成复合防火墙产品。 复合防火墙将防病毒内容过滤集成到防火墙中，包括VPN和IDS功能。它实现了网络边界0SI第7层的内容扫描，实现了网络边缘的病毒防护和内容过滤等应用层服务措施。