從實現原理上分,防火牆的技術包括四大類:網絡級防火牆、應用級網關、電路級網關和規則檢查防火牆。
1、網絡級防火牆
一般是基於源地址和目的地址、應用、協議以及每個IP包的端口來作出通過與否的判斷。防火牆檢查每一條規則直至發現包中的信息與某規則相符。
如果沒有一條規則能符合,防火牆就會使用默認規則,一般情況下,默認規則就是要求防火牆丟棄該包。通過定義基於TCP或UDP數據包的端口號,防火牆能夠判斷是否允許建立特定的連接,如Telnet、FTP連接。
2、應用級網關
應用級網關能夠檢查進出的數據包,通過網關複製傳遞數據,防止在受信任服務器和客戶機與不受信任的主機間直接建立聯繫。應用級網關能夠理解應用層上的協議,能夠做複雜一些的訪問控制,並做精細的註冊和稽核。
它針對特別的網絡應用服務協議即數據過濾協議,並且能夠對數據包分析並形成相關的報告。應用網關對某些易於登錄和控制所有輸出輸入的通信的環境給予嚴格的控制,以防有價值的程序和數據被竊取。
3、電路級網關
電路級網關用來監控受信任的客戶或服務器與不受信任的主機間的TCP握手信息,這樣來決定該會話是否合法,電路級網關是在OSI模型中會話層上來過濾數據包,這樣比包過濾防火牆要高二層。
電路級網關代理服務器功能,代理服務器是設置在Internet防火牆網關的專用應用級代碼。這種代理服務准許網管員允許或拒絕特定的應用程序或一個應用的特定功能。包過濾技術和應用網關是通過特定的邏輯判斷來決定是否允許特定的數據包通過,成功地實現了防火牆內外計算機系統的隔離。
4、規則檢查防火牆
該防火牆結合了包過濾防火牆、電路級網關和應用級網關的特點。能夠在OSI網絡層上通過IP地址和端口號,過濾進出的數據包,也能夠檢查SYN和ACK標記和序列數字是否邏輯有序。當然它也象應用級網關一樣,可以在OSI應用層上檢查數據包的內容,查看這些內容是否能符合企業網絡的安全規則。
規則檢查防火牆雖然集成前三者的特點,但是不同於一個應用級網關的是,它並不打破客戶機/服務器模式來分析應用層的數據,它允許受信任的客戶機和不受信任的主機建立直接連接。規則檢查防火牆不依靠與應用層有關的代理,而是依靠某種算法來識別進出的應用層數據。
