防火墙

您好，请知：

包过滤( Packet Filter )是在网络层中根据事先设置的安全访问策略(过滤规则) , 检查每一个数据包的源IP地址、目的IP地址以及IP分组头部的其他各种标志信息(如协议、服务类型等) , 确定是否允许该数据包通过
防火墙。
包过滤防火墙的应用特点：

过滤规则表需要事先进行人工设置,规则表中的条目根据用户的安全要求来定。
防火墙在进行检查时，首先从过滤规则表中的第1个条目开始逐条进行，所以过滤规则表中条目的先后顺序非常重要。
由于包过滤防火墙工作在OSI参考模型的网络层和传输层，所以包过滤防火墙对通过的数据包的速度影响不大，实现成本较低。

（3）状态检测防火墙
静态包过滤的缺陷：
由于静态包过滤技术要检查进入防火墙的每一个数据包，所以在一定程序上影响了网络的通信速度。后来就出现了状态检测防火墙。
状态检测技术及优势：
状态检测技术即动态包过滤技术。状态检测防火墙检查的不仅仅是数据包中的头部信息,而且会跟踪数据包的状态，即不同数据包之间的共性。
状态检测防火墙的工作过程
如果某一个数据包在进入防火墙时,规则表拒绝它通过，则防火墙直接丢弃该数据包,与该数据包相关的后续数据包同样会被拒绝通过。

代理防火墙：
这种防火墙通过一种代理（Proxy）技术参与到一个TCP连接的全过程。从内部发出的数据包经过这样的防火墙处理后，就好像是源于防火墙外部网卡一样，从而可以达到隐藏内部网结构的作用。这种类型的防火墙被网络安全专家和媒体公认为是最安全的防火墙。
代理防火墙为它们所支持的协议提供全面的协议意识安全分析。相比于那些只考虑数据包头信息的产品，这使得它们能做出更安全的判定。例如，特定的支持FTP的代理防火墙，它能够监视实际流出命令通道的FTP命令，并能够停止任何禁止的活动。由于服务器被代理防火墙所保护，而且代理防火墙允许协议意识记录，这使得识别攻击方法以及备份现有记录更容易。