1、防火墙的主要类型按照防火墙实现技术的不同可以将防火墙为以下几种主要的类型。1.包过滤防火墙数据包过滤是指在网络层对数据包进行分析、选择和过滤。选择的数据是系统内设置的访问控制表(又叫规则表) ,规则表制定允许哪些类型的数据包可以流入或流出内部网络。通过检查数据流中每一个 IP 数据包的源地址、目的地址、所用端口号、协议状态等因素或它们的组合来确定是否允许该数据包通过。包过滤防火墙一般可以直接集成在路由器上,在进行路由选择的同时完成数据包的选择与过滤,也可以由一台单独的计算机来完成数据包的过滤。数据包过滤防火墙的优点是速度快、逻辑简单、成本低、易于安装和使用,网络性能和通明度好,广泛地用于Cis
2、co 和 Sonic System 等公司的路由器上。缺点是配置困难,容易出现漏洞,而且为特定服务开放的端口存在着潜在的危险。例如:“天网个人防火墙”就属于包过滤类型防火墙,根据系统预先设定的过滤规则以及用户自己设置的过滤规则来对网络数据的流动情况进行分析、监控和管理,有效地提高了计算机的抗攻击能力。2、应用代理防火墙应用代理防火墙能够将所有跨越防火墙的网络通信链路分为两段,使得网络内部的客户不直接与外部的服务器通信。防火墙内外计算机系统间应用层的连接由两个代理服务器之间的连接来实现。有点是外部计算机的网络链路只能到达代理服务器,从而起到隔离防火墙内外计算机系统的作用;缺点是执行速度慢,操作系
3、统容易遭到攻击。代理服务在实际应用中比较普遍,如学校校园网的代理服务器一端接入 Internet,另一端介入内部网,在代理服务器上安装一个实现代理服务的软件,如 WinGate Pro、 Microsoft Proxy Server 等,就能起到防火墙的作用。3、状态检测防火墙状态检测防火墙又叫动态包过滤防火墙。状态检测防火墙在网络层由一个检查引擎截获数据包并抽取出与应用状态有关的信息。一次作为数据来决定该数据包是接受还是拒绝。检查引擎维护一个动态的状态信息表并对后续的数据包进行检查,一旦发现任何连接的参数有意外变化,该连接就被终止。状态检测防火墙克服了包过滤防火墙和应用代理防火墙的局限性,能够根据协议、端口及 IP 数据包的源地址、目的地址的具体情况来决定数据包是否可以通过。在实际使用中,一般综合采用以上几种技术,使防火墙产品能够满足对安全性、高效性、适应性和易管性的要求,再集成防毒软件的功能来提高系统的防毒能力和抗攻击能力,例如,瑞星企业级防火墙 RFW-100 就是一个功能强大、安全性高的混合型防火墙,它集网络层状态包过滤、应用层专用代理、敏感信息的加密传输和详尽灵活的日志审计等都肿安全技术于一身,可根据用户的不同需求,提供强大的访问控制、信息过滤、代理服务和流量统计等功能。