防火牆的分類及優缺點綜述

　　網絡安全成為當今最熱門的話題之一，很多企業為了保障自身服務器或數據安全都采用了防火牆。隨著科技的發展，防火牆也逐漸被大眾所接受。但是，由於防火牆是屬於高科技產物，許多的人對此還並不是了解的十分透徹。而這篇文章就是給大家講述了防火牆工作的方式，以及防火牆的基本分類，並且討論了每一種防火牆的優缺點。

　　一、防火牆的基本分類

　　1．包過濾防火牆

　　第一代防火牆和最基本形式防火牆檢查每一個通過的網絡包，或者丟棄，或者放行，取決於所建立的一套規則。這稱為包過濾防火牆。

　　本質上，包過濾防火牆是多址的，表明它有兩個或兩個以上網絡適配器或接口。例如，作為防火牆的設備可能有兩塊網卡(NIC)，一塊連到內部網絡，一塊連到公共的Internet。防火牆的任務，就是作為“通信警察”，指引包和截住那些有危害的包。

　　包過濾防火牆檢查每一個傳入包，查看包中可用的基本信息（源地址和目的地址、端口號、協議等）。然後，將這些信息與設立的規則相比較。如果已經設立了阻斷telnet連接，而包的目的端口是23的話，那麼該包就會被丟棄。如果允許傳入Web連接，而目的端口為80，則包就會被放行。

　　多個復雜規則的組合也是可行的。如果允許Web連接，但只針對特定的服務器，目的端口和目的地址二者必須與規則相匹配，才可以讓該包通過。

　　最後，可以確定當一個包到達時，如果對該包沒有規則被定義，接下來將會發生什麼事情了。通常，為了安全起見，與傳入規則不匹配的包就被丟棄了。如果有理由讓該包通過，就要建立規則來處理它。

　　建立包過濾防火牆規則的例子如下：

　　對來自專用網絡的包，只允許來自內部地址的包通過，因為其他包包含不正確的包頭部信息。這條規則可以防止網絡內部的任何人通過欺騙性的源地址發起攻擊。而且，如果黑客對專用網絡內部的機器具有了不知從何得來的訪問權，這種過濾方式可以阻止黑客從網絡內部發起攻擊。

　　在公共網絡，只允許目的地址為80端口的包通過。這條規則只允許傳入的連接為Web連接。這條規則也允許與Web連接使用相同端口的連接，所以它並不是十分安全。

　　丟棄從公共網絡傳入的包，而這些包都有你的網絡內的源地址，從而減少IP欺騙性的攻擊。

　　丟棄包含源路由信息的包，以減少源路由攻擊。要記住，在源路由攻擊中，傳入的包包含路由信息，它覆蓋了包通過網絡應采取得正常路由，可能會繞過已有的安全程序。通過忽略源路2．狀態/動態檢測防火牆