传统防火墙的类型主要有三种:包过滤、应用层网关(代理防火墙)和电路层网关。 <br>
包过滤(Packet Filtering)
包过滤是第一代防火墙技术,其原理是按照安全规则,检查所有进来的数据包,而这些安全规则大都是基于低层协议的,如IP、TCP。如果一个数据包满足以上所有规则,过滤路由器把数据向上层提交或转发此数据包,否则就丢弃此包。其优点是能协助保护整个网络,速度快,效率高;缺点是不能彻底防止地址欺骗,不适合某些应用协议(如FTP),无法执行某些安全策略,配置规则专业性太强等。 <br>
代理防火墙(Proxy)
代理是一种较新型的防火墙技术,它工作于应用层,且针对特定的应用层协议,也被称为应用层网关。代理通过编程来弄清用户应用层的流量,并能在用户层和应用协议层提供访问控制,而且还可用来保持一个所有应用程序使用的记录。 <br>
电路层网关(Circuit Gateway)
电路层网关是建立应用层网关的一种更加灵活和更一般的方法,也是一种代理技术。在电路层网关中,数据包被提交用户应用层处理。电路层网关用来在两个通信的终点之间转换数据包。虽然电路层网关可能包含支持某些特定TCP/IP应用程序的代码,但通常要受到限制。如果电路层网关支持应用程序,则很可能是TCP/IP应用程序。 <br>
