CCNA网络技术学院

虽然目前防火墒的基本结构多种多样，但是它们都可以归入包过滤和应用代理两类。其中包过滤防火墙技术专注的是网络层和传输层的思考，而应用代理防火墙则利用代理服务器．它关心的是应用层的保护。
包过滤防火墙原理
包过滤 防火墙又称作网络级防火端，工作于OSI模型的网络层（即第 4 层），通过检查每个数 数据包的 IP 地址，采用的通信协议和端口号等来判断是否允许放行．防火端将提取的内部状态信息与其连接状态表进行比较，如果符合其中的某一条规则，就允许数据通过：如果没有符合任何规则，就会使用默认规则进行处理（一般情况下，默认规则就是丢弃该包） . 应此，只要定义欲禁止的应用程序所使用的 TCP 或 UDP 端口号，就能阻挡该应用程序或网络服务，不允许其建立特定的连接．不过，对于那些使用动态端口的应用程序或网络服务而言．这种过滤方式就会发生一些问题。由于防火墙不知道哪些端口需要打开，而用户又必须使用该服务，这就不得不将所有可能用到的端口都打开， 这个范围可能会较大或非常大，从而给黑客以可乘之机．由此，某些防火墙采用动态包过滤技术，通过检查应用程序信息．判断哪些端口需要临时打开当传输结束以后，这些端口又马上恢复为关闭状态。
网络级防火墙的优点是速度快、费用低、对用户透明。但是其缺点也很突出，即对网结的保护很有限，因为它只检查出地址和端口。
2 ．应用代理防火墙工作原理
应用代理防火墙又称为应用级网关，工作于 OSI模型的应用层（即第 7 层）．该类防火墙类似于代理服务器，可以达到隐藏内部网络结构的作用。其工作过程如下：当客户机需要使用服务器上的数据时，首先将数据请求发给代理服务器，由代理服务器根据这一请求向服务器请求数据。然后再由代理服务器将返回的数据转给客户机。由于外部系统与内部服务器之间没有直接的数据通道，外部的攻击就难于进入到内部企业网。
采用应用代理防火墙有较好的访问控制。但是，当内部网络需要访问外部网络时，同样需要先向代理服务器发送请求。代理服务器根据收到的请求来访问外部网络，并将接收到的数据反馈到内部网络用户。所以，当内部网络用户较多时，经常会出现延迟和多次令录才能访问外网的问题。
可见，应用级防火墙的每一种协议都需要相应的代理软件支持，因此工作最大，且效率较低。令人欣慰的是，结合率较低。令人欣慰的是，结合代理类型防火墙的安全性和包过滤防火墙高速度等优点的自适应代理技术应运而生，由自适应代理服务器与动态包过滤器 ( Dynanlic Packet filter ）组成，可以在不影响安全性的基础上，将代理型防火墙的性能提高10 倍以上。只需设置服务类型、安全级别等信息，自适应代理就可以根据用户的配置信息，决定是由代理服务从应用层代理请求还是从网络层转发数据包。