防火牆又稱爲防護牆,是一種處於內部網絡與外部網絡之間的網絡安全系統,依照特定的規則,允許或限制數據傳輸的通過。從實現原理上分,防火牆技術主要分成四大類:
1.網絡級防火牆
一般是基於源地址和目的地址、應用、協議以及每個IP包的端口來作出通過與否的判斷。一個路由器便是一個“傳統”的網絡級防火牆,大多數的路由器都能通過檢查這些信息,決定是否將所收到的包轉發,但它不能判斷出一個IP包來自何方和去向何處。
2.應用級網關
能夠理解應用層上的協議,能夠做複雜一些的訪問控制,並做精細的註冊和稽覈。它針對特別的網絡應用服務協議,能夠對數據包分析並形成相關的報告。但每一種協議需要相應的代理軟件,使用時工作量大,效率不如網絡級防火牆。
3.電路級網關
用來監控受信任的客戶或與不受信任的主機間的TCP握手信息,從而決定會話是否合法。電路級網關是在OSI模型中會話層上來過濾數據包,這樣比包過濾防火牆要高二層。
4.規則檢查防火牆
該防火牆結合了包過濾防火牆、電路級網關和應用級網關的特點。它同包過濾防火牆一樣,能夠在OSI網絡層上通過IP地址和端口號,過濾進出的數據包。它也像應用級網關一樣,可以在OSI應用層上檢查數據包的內容,查看其是否能符合企業網絡的安全規則。它也像電路級網關一樣,能夠檢查SYN和ACK標記和序列數字是否邏輯有序。規則檢查防火牆雖然集成前三者的特點,但是不同於一個應用級網關的是,它並不打破客戶機、服務器模式來分析應用層的數據,而是依靠某種算法來識別進出的應用層數據。這些算法通過已知合法數據包的模式來比較進出數據包,因此從理論上就比應用級網關在過濾數據包上更有效。
四大類防火牆技術各有優勢,具體要選擇哪種或是否選擇混合使用,需要根據具體需要來決定。