網(wǎng)絡(luò)級(jí)防火墻
網(wǎng)絡(luò)級(jí)防火墻一般是根據(jù)源地址和目的地址、使用、協(xié)議及其每一個(gè)IP包的端口號(hào)來(lái)做出通過(guò)與否的判定。一個(gè)路由器就是一個(gè)“傳統(tǒng)式”的網(wǎng)絡(luò)級(jí)防火墻,大部分的路由器都能根據(jù) 檢查這種信息,決定是不是將所收到的包轉(zhuǎn)發(fā),但它不可以判定出一個(gè)IP包來(lái)源于何處和動(dòng)向何處。
電路級(jí)網(wǎng)關(guān)
電路級(jí)網(wǎng)關(guān)用于監(jiān)管受信任的顧客或網(wǎng)絡(luò)服務(wù)器,與不會(huì)受到信任的服務(wù)器間的TCP握手信息,來(lái)決定該會(huì)話(Session)是不是合理合法,電路級(jí)網(wǎng)關(guān)是在OSI模型中會(huì)話層上來(lái)過(guò)慮數(shù)據(jù)文件,那樣比包過(guò)慮防火墻要高二層。電路級(jí)網(wǎng)關(guān)還提供一個(gè)重要的安全作用:服務(wù)器代理(ProxyServer)。服務(wù)器代理是設(shè)定在Internet防火墻網(wǎng)關(guān)的專用型使用級(jí)代碼。這類服務(wù)咨詢準(zhǔn)許網(wǎng)管員容許或回絕特殊的應(yīng)用軟件或一個(gè)使用的特殊功能。
應(yīng)用級(jí)網(wǎng)關(guān)
應(yīng)用級(jí)網(wǎng)關(guān)可以檢查出入的數(shù)據(jù)文件,根據(jù)網(wǎng)關(guān)拷貝傳遞數(shù)據(jù),避免 在受信任網(wǎng)絡(luò)服務(wù)器和遠(yuǎn)程服務(wù)器與不會(huì)受到信任的服務(wù)器間直接建立聯(lián)系。應(yīng)用級(jí)網(wǎng)關(guān)可以了解網(wǎng)絡(luò)層上的協(xié)議,可以做繁雜一些的密鑰管理,并做細(xì)致的申請(qǐng)注冊(cè)和核查。它對(duì)于特別的網(wǎng)絡(luò)應(yīng)用服務(wù)協(xié)議即數(shù)據(jù)過(guò)慮協(xié)議,而且可以對(duì)數(shù)據(jù)文件分析并形成有關(guān)的匯報(bào)。應(yīng)用網(wǎng)關(guān)對(duì)一些便于登陸和操縱全部輸出輸入的通訊的環(huán)境給與嚴(yán)苛的控制,防止有使用價(jià)值的程序和數(shù)據(jù)信息被盜取。
規(guī)則檢查防火墻
該防火墻融合了包過(guò)慮防火墻、電路級(jí)網(wǎng)關(guān)和應(yīng)用級(jí)網(wǎng)關(guān)的特性。它同包過(guò)慮防火墻一樣,可以在OSI網(wǎng)絡(luò)層上根據(jù)IP地址和服務(wù)器端口,過(guò)慮出入的數(shù)據(jù)文件。同電路級(jí)網(wǎng)關(guān)一樣,可以檢查SYN和ACK標(biāo)識(shí)和編碼序列數(shù)據(jù)是不是邏輯性井然有序。也像應(yīng)用級(jí)網(wǎng)關(guān)一樣,能夠在OSI網(wǎng)絡(luò)層上檢查數(shù)據(jù)文件的內(nèi)容,查詢這種內(nèi)容是不是合乎公司網(wǎng)絡(luò)的安全規(guī)則。
規(guī)則檢查防火墻盡管集成化前三者的特性,可是有別于一個(gè)應(yīng)用級(jí)網(wǎng)關(guān)的是,它并不擺脫遠(yuǎn)程服務(wù)器/網(wǎng)絡(luò)服務(wù)器方式來(lái)分析網(wǎng)絡(luò)層的數(shù)據(jù)信息,它容許受信任的遠(yuǎn)程服務(wù)器和不會(huì)受到信任的服務(wù)器創(chuàng)建直接連接。