常见的三种防火墙类型

防火墙按照工作原理分类可以分为哪些

防火墙如果安装工作原理分类，那么可以分为几类呢?下面由店铺

给你做出详细的防火墙安装工作原理分类方法介绍!希望对你有帮助!

防火墙按照工作原理分类如下

防火墙处于5层网络安全体系中的最底层，属于网络层安全技术

范畴。在这一层上，企业对安全系统提出的问题是：所有的IP是否都

能访问到企业的内部网络系统?如果答案是“是”，则说明企业内部网

还没有在网络层采取相应的防范措施。

作为内部网络与外部公共网络之间的第一道屏障，防火墙是最先

受到人们重视的网络安全产品之一。虽然从理论上看，防火墙处于网

络安全的最底层，负责网络间的安全认证与传输

但随着网络安全技术的整体发展和网络应用的不断变化，现代防

火墙技术已经逐步走向网络层之外的其他安全层次，不仅要完成传统

防火墙的过滤任务，同时还能为各种网络应用提供相应的安全服务。

另外还有多种防火墙产品正朝着数据安全与用户认证、防止病毒与黑

客侵入等方向发展。

根据防火墙所采用的技术不同，我们可以将它分为三种基本类型：

包过滤型、代理型和监测型。

防火墙按照工作原理分类1.包过滤型

包过滤型产品是防火墙的初级产品，其技术依据是网络中的分包

传输技术。网络上的数据都是以“包”为单位进行传输的，数据被分

割成为一定大小的数据包，每一个数据包中都会包含一些特定信息，

如数据的源地址、目标地址、

TCP/UDP源端口和目标端口等。防火墙通过读取数据包中的地址

信息来判断这些“包”是否来自可信任的安全站点，一旦发现来自危

险站点的数据包，防火墙便会将这些数据拒之门外。系统管理员也可

以根据实际情况灵活制订判断规则。

包过滤技术的优点是简单实用，实现成本较低，在应用环境比较

简单的情况下，能够以较小的代价在一定程度上保证系统的安全。

但包过滤技术的缺陷也是明显的。包过滤技术是一种完全基于网

络层的安全技术，只能根据数据包的来源、目标和端口等网络信息进

行判断，无法识别基于应用层的恶意侵入，如恶意的Java小程序以及

中附带的病毒

有经验的黑客很容易伪造IP地址，骗过包过滤型防火墙。

防火墙按照工作原理分类2.代理型

代理型防火墙也可以被称为代理服务器，它的安全性要高于包过

滤型产品，并已经开始向应用层发展。代理服务器位于客户机与服务

器之间，完全阻挡了二者间的数据交流。从客户机来看，代理服务器

相当于一台真正的服务器;而从服务器来看

代理服务器又是一台真正的客户机。当客户机需要使用服务器上

的数据时，首先将数据请求发给代理服务器，代理服务器再根据这一

请求向服务器索取数据，然后再由代理服务器将数据传输给客户机。

由于外部系统与内部服务器之间没有直接的数据通道，外部的恶意侵

害也就很难伤害到企业内部网络系统。

代理型防火墙的优点是安全性较高，可以针对应用层进行侦测和

扫描，对付基于应用层的侵入和病毒都十分有效。其缺点是对系统的

整体性能有较大的影响，而且代理服务器必须针对客户机可能产生的

所有应用类型逐一进行设置，大大增加了系统管理的复杂性。

防火墙按照工作原理分类3.监测型

监测型防火墙是新一代的产品，这一技术实际已经超越了最初的

防火墙定义。监测型防火墙能够对各层的数据进行主动的、实时的监

测，在对这些数据加以分析的基础上，监测型防火墙能够有效地判断

出各层中的非法侵入。

同时，这种检测型防火墙产品一般还带有分布式探测器，这些探

测器安置在各种应用服务器和其他网络的节点之中，不仅能够检测来

自网络外部的攻击，同时对来自内部的恶意破坏也有极强的防范作用。

据权威机构统计，在针对网络系统的攻击中，有相当比例的攻击

来自网络内部。因此，监测型防火墙不仅超越了传统防火墙的定义，

而且在安全性上也超越了前两代产品。