防火墙又称为防护墙,是一种处于内部网络与外部网络之间的网络安全系统,依照特定的规则,允许或限制数据传输的通过。从实现原理上分,防火墙技术主要分成四大类:
1.网络级防火墙
一般是基于源地址和目的地址、应用、协议以及每个IP包的端口来作出通过与否的判断。一个路由器便是一个“传统”的网络级防火墙,大多数的路由器都能通过检查这些信息,决定是否将所收到的包转发,但它不能判断出一个IP包来自何方和去向何处。
2.应用级网关
能够理解应用层上的协议,能够做复杂一些的访问控制,并做精细的注册和稽核。它针对特别的网络应用服务协议,能够对数据包分析并形成相关的报告。但每一种协议需要相应的代理软件,使用时工作量大,效率不如网络级防火墙。
3.电路级网关
用来监控受信任的客户或与不受信任的主机间的TCP握手信息,从而决定会话是否合法。电路级网关是在OSI模型中会话层上来过滤数据包,这样比包过滤防火墙要高二层。
4.规则检查防火墙
该防火墙结合了包过滤防火墙、电路级网关和应用级网关的特点。它同包过滤防火墙一样,能够在OSI网络层上通过IP地址和端口号,过滤进出的数据包。它也像应用级网关一样,可以在OSI应用层上检查数据包的内容,查看其是否能符合企业网络的安全规则。它也像电路级网关一样,能够检查SYN和ACK标记和序列数字是否逻辑有序。规则检查防火墙虽然集成前三者的特点,但是不同于一个应用级网关的是,它并不打破客户机、服务器模式来分析应用层的数据,而是依靠某种算法来识别进出的应用层数据。这些算法通过已知合法数据包的模式来比较进出数据包,因此从理论上就比应用级网关在过滤数据包上更有效。
四大类防火墙技术各有优势,具体要选择哪种或是否选择混合使用,需要根据具体需要来决定。