互联网技术培训网络防火墙的类型

9.4.2 网络防火墙的类型

从所采用的技术上看，防火墙有6种基本类型：滤型、代理服务器型、电路层网关、混合型防火墙、应用层网关和自适应代理技术。

1.滤型防火墙（PacketFilternrewall)

滤型防火墙中的滤器一般安装在路由器上，工作在网络层。它基于单个包实施网络控制，根据所收到的数据包的源地址、目的地址、TCP/UDP、源端U号及目的端口号、包出入接口、协议类型和数据包中的各种标志位等参数，与用户预定的访问控制表进行比较，决定数据是否符合预先制定的安全策略，决定数据包的转发或丢弃，即实$信息过滤。实际上，它一般容许网络内部的主机直接访问外部网络，而外部网络上的主杉W内部网络的访问则要受到限制。

在互联网上提供某些特定服务的服务器一般都使用相对固定的端口号。因此路由器在设置滤规则时指定：对于某些端口号允许数据包与该端口交换，或者阻断数据包与它们的连接。

滤型防火墙的优点是简单、方便、速度快、透明性好，对网络性能影响不大，但它缺乏用户日志和审计信息，缺乏用户认证机制，不具备审核管理，且过滤规则的完备性难以得到检验，复杂过滤规则的管理也比较困难。因此，滤性防火墙的安全性较差。

2.代理服务器型防火墙（ProxyServiceFirewall)

代理服务器型防火墙通过在主机上运行代理的服务程序，直接面对特定的应用层服务，因此也称为应用型防火墙。其核心是运行于防火墙主机上的代理服务进程，该进程代理用户完成TCP/IP功能，实际上是为特定网络应用而连接两个网络的网关。对每种不同的应用（如E-mail、FTP、Telnet,WWW等）都有一个相应的代理服务。外部网络与内部网络之间想要建立连接，必须先通过代理服务器的中间转换，内部网络只接收代理服务器提出的要求，拒绝外部网络的直接请求。代理服务可以实施用户认证、详细曰志、审计跟踪和数据加密等功能和对具体协议及应用的过滤，如阻塞java或JavaScript等。

代理服务器有两个部件：一个代理服务器和一个代理客户。代理服务器是一个运行代理服务程序的双宿主主机：而代理客户是通客户程序（如一个Telnet或FTP客户）的特别版本，它与代理服务器交互，而并不与真正的外部服务器相连。普通客户按照一定的步骤提出服务请求，代理服务器依据一定的安全规则来评测代理客户的网络服务请求，然后决定是支持还是否决该请求。如果代理服务器支持该请求，代理服务器就代表客户与真正的服务器相连，并将服务器的相应响应传送给代理客户?史精细的代理服务可以对不同的主机执行不同的安全规则，而不对所有主机执行同一个标准。

代理服务器型防火墙能完全控制网络信息的交换，控制会话过程，具有灵活性和安全性，但可能影响M络的性能，对用户不透明，且对每一种服务器都要设计一个代理模块，建立对应的网关层，实现起来比较复杂。

返回目录：通信工程师互联网技术培训网络安全汇总

编辑相关推荐：

互联网技术考试局域网和城域网汇总

通信工程师考试培训互联网技术重点汇总

通信工程师互联网技术考试网络操作系统

通信工程师考试培训互联网交换技术教程