防火牆技術分為網絡級防火牆、應用級網關、電路級網關三大類,具體如下:
1、網絡級防火牆:一般是基於源地址和目的地址、應用、協議以及每個IP包的端口來作出通過與否的判斷。一個路由器便是一個“傳統”的網絡級防火牆,大多數的路由器都能通過檢查這些信息來決定是否將所收到的包轉發,但它不能判斷出一個IP包來自何方,去向何處。
2、應用級網關:應用級網關能夠檢查進出的數據包,通過網關傳遞數據,防止在受信任服務器和客户機與不受信任的主機間直接建立聯繫。應用級網關能夠理解應用層上的協議,能夠做複雜一些的訪問控制,並做精細的註冊和稽核。它針對特別的網絡應用服務協議即數據過濾協議,並且能夠對數據包分析並形成相關的報告。應用網關對某些易於登錄和控制所有輸出輸入的通信的環境給予嚴格的控制,以防有價值的程序和數據被竊取。
3、電路級網關:電路級網關用來監控受信任的客户或服務器與不受信任的主機間的TCP握手信息,這樣來決定該會話(Session)是否合法,電路級網關是在OSI模型中會話層上來過濾數據包,這樣比包過濾防火牆要高二層。電路級網關還提供一個重要的安全功能:代理服務器(Proxy Server)。代理服務器是設置在Internet防火牆網關的專用應用級代碼。這種代理服務准許網管員允許或拒絕特定的應用程序或一個應用的特定功能。
