網(wǎng)絡級防火墻

　　網(wǎng)絡級防火墻一般是基于源地址和目的地址、應用、協(xié)議以及每個IP包的端口來作出通過與否的判斷。一個路由器便是一個“傳統(tǒng)”的網(wǎng)絡級防火墻，大多數(shù)的路由器都能通過檢查這些信息，決定是否將所收到的包轉(zhuǎn)發(fā)，但它不能判斷出一個IP包來自何方和去向何處。防火墻檢查每一條規(guī)則直至發(fā)現(xiàn)包中的信息與某規(guī)則相符。如果沒有一條規(guī)則能符合，防火墻就會使用默認規(guī)則，一般情況下，默認規(guī)則就是要求防火墻丟棄該包。其次，通過定義基于TCP或UDP數(shù)據(jù)包的端口號，防火墻能夠判斷是否允許建立特定的連接，如Telnet、FTP連接。

　　 應用級網(wǎng)關

　　應用級網(wǎng)關能夠檢查進出的數(shù)據(jù)包，通過網(wǎng)關復制傳遞數(shù)據(jù)，防止在受信任服務器和客戶機與不受信任的主機間直接建立聯(lián)系。應用級網(wǎng)關能夠理解應用層上的協(xié)議，能夠做復雜一些的訪問控制，并做精細的注冊和稽核。它針對特別的網(wǎng)絡應用服務協(xié)議即數(shù)據(jù)過濾協(xié)議，并且能夠?qū)��?shù)據(jù)包分析并形成相關的報告。應用網(wǎng)關對某些易于登錄和控制所有輸出輸入的通信的環(huán)境給予嚴格的控制，以防有價值的程序和數(shù)據(jù)被竊取。 在實際工作中，應用網(wǎng)關一般由專用工作站系統(tǒng)來完成。

　　但每一種協(xié)議需要相應的代理軟件，使用時工作量大，效率不如網(wǎng)絡級防火墻。 應用級網(wǎng)關有較好的訪問控制，是目前最安全的防火墻技術，但實現(xiàn)困難，而且有的應用級網(wǎng)關缺乏“透明度”。在實際使用中，用戶在受信任的網(wǎng)絡上通過防火墻訪問Internet時，經(jīng)常會發(fā)現(xiàn)存在延遲并且必須進行多次登錄(Login)才能訪問Internet或Intranet。

　　 電路級網(wǎng)關

　　電路級網(wǎng)關用來監(jiān)控受信任的客戶或服務器與不受信任的主機間的TCP握手信息,這樣來決定該會話(Session)是否合法,電路級網(wǎng)關是在OSI模型中會話層上來過濾數(shù)據(jù)包,這樣比包過濾防火墻要高二層。電路級網(wǎng)關還提供一個重要的安全功能：代理服務器(Proxy Server)。代理服務器是設置在Internet防火墻網(wǎng)關的專用應用級代碼。這種代理服務準許網(wǎng)管員允許或拒絕特定的應用程序或一個應用的特定功能。

　　包過濾技術和應用網(wǎng)關是通過特定的邏輯判斷來決定是否允許特定的數(shù)據(jù)包通過，一旦判斷條件滿足，防火墻內(nèi)部網(wǎng)絡的結(jié)構和運行狀態(tài)便“暴露”在外來用戶面前，這就引入了代理服務的概念，即防火墻內(nèi)外計算機系統(tǒng)應用層的“鏈接”由兩個終止于代理服務的“鏈接”來實現(xiàn)，這就成功地實現(xiàn)了防火墻內(nèi)外計算機系統(tǒng)的隔離。同時，代理服務還可用于實施較強的數(shù)據(jù)流監(jiān)控、過濾、記錄和報告等功能。代理服務技術主要通過專用計算機硬件(如工作站)來承擔。

　　 規(guī)則檢查防火墻

　　該防火墻結(jié)合了包過濾防火墻、電路級網(wǎng)關和應用級網(wǎng)關的特點。它同包過濾防火墻一樣，規(guī)則檢查防火墻能夠在OSI網(wǎng)絡層上通過IP地址和端口號，過濾進出的數(shù)據(jù)包。它也象電路級網(wǎng)關一樣，能夠檢查SYN和ACK標記和序列數(shù)字是否邏輯有序。當然它也象應用級網(wǎng)關一樣，可以在OSI應用層上檢查數(shù)據(jù)包的內(nèi)容，查看這些內(nèi)容是否能符合企業(yè)網(wǎng)絡的安全規(guī)則。