4.5.3防火墙的分类
防火墙按照功能侧重点的不同,可分为网络层防火墙、应用层防火墙、代理服务器型防火墙。
1.网络层防火墙
网络层防火墙可视为一种IP封包过滤器(允许或拒绝封包资料通过的软、硬件结合装置),运作在底层的TCP/IP协议堆栈上。我们可以以枚举的方式,只允许符合特定规则的封包通过,其余的一概禁止穿越防火墙(病毒除外,防火墙不能防止病毒侵入)。这些规则通常可以经由管理员定义或修改,不过某些防火墙设备可能只能套用内置的规则。
我们也能以另一种较宽松的角度来制定防火墙规则,只要封包不符合任何一项“否定规则”就予以放行。现在的操作系统及网络设备大多已内置防火墙功能。
较新的防火墙能利用封包的多样属性来进行过滤,例如来源IP地址、来源端口号、目的IP地址或端口号、服务类型(如WWW或是FTP),也能经由通信协议、TTL值、来源的网域名称或网段等属性来进行过滤。
2.应用层防火墙
应用层防火墙是在TCP/IP堆栈的应用层上运作,用户使用浏览器时所产生的数据流或是使用FTP时的数据流都属于这一层。应用层防火墙可以拦截进出某应用程序的所有封包,并且封锁其他的封包(通常是直接将封包丢弃)。理论上,这一类的防火墙可以完全阻绝外部的数据流进到受保护的机器里。
防火墙借由监测所有的封包并找出不符规则的内容,可以防范电脑蠕虫或是木马程序的快速蔓延。不过就实现而言,这个方法非常繁杂(软件有千万种),所以大部分的防火墙都不会考虑以这种方法设计。XML防火墙是一种新形态的应用层防火墙。
3.代理服务器型防火墙
代理服务器型防火墙,则是利用代理服务器主机将外部网络和内部网络分开。从内部发出的数据包经过这样的防火墙处理后,就好像是源于防火墙外部的网卡一样,从而可以达到隐藏内部网络结构的作用。内部网络的主机,无须设置防火墙为网关,只需直接将需要服务的IP地址指向代理服务器主机,就可以获取因特网资源。
使用代理服务器型防火墙的好处是,它可以提供用户级的身份认证、日志记录和账号管理,彻底分隔外部与内部网络。但是,所有内部网络的主机均需通过代理服务器主机才能获得因特网上的资源,因此会造成使用上的不便,而且代理服务器很有可能会成为系统的瓶颈。
代理服务器是防火墙技术的发展方向,众多厂商都在提高处理速度的同时基于代理服务器开发防火墙的更高级防护功能。