网络工程师安全技术CCIE、 HCIE都要懂的防火墙分类

为了对防火墙有一定的掌握，简单了解一下防火墙的类别，介绍给类别之间的异同之处。一般根据防火墙提供的功能和机制不同，将他们分为以下几类：

1. 电路级防火墙

这类防火墙通常作为TCP连接的中继，截获试图连接他们所保护的主句的TCP，代替主机完成三次握手过程。连接建立后，才允许相应的流量穿越防火墙到达主机。电路级防火墙不审核数据分组中的数据以及任何其他信息,所以它们的速度非常快。这种类型的防火墙实际上只保证在一个连接得到允许之前TCP握手工作已恰好完成。

2. 代理防火墙

代理防火墙顾名思义，能够代替应用进行响应。代理服务器防火墙通过在应用层检查分组来完成工作，截获位于它们后面的应用发送的请求，并代表被请求的应用执行被请求的功能,然后再把结果转发给发出请求的应用。通过这种方式实现安全访问。但是这种在协议栈较高层处理分组的强大能力会使代理服务器的速度减慢。

3. 无状态分组过滤器防火墙

无状态分组过滤器是一种位于网络外围的相当简单的设备,它根据一组规则允许一些分组通过,同时阻止其他分组。这种决策根据网络层协议(比如IP)中的地址信息制定,但在某些情况下却是根据包含在传输层协议中的信息(比如TCP头或UDP头)制定。

4. 有状态分组过滤器防火墙

相比较于无状态分组过滤器防火墙，这类防火墙能够阻塞几乎所有流量，但却允许位于防火墙身后的设备所产生流量的返回流量通过。通过保持与传输层连接的记录达到这个目的,传输层的连接是位于防火墙之后的主机通过有状态分组过滤器建立起来的。现在大多数防火墙采用的就是这种机制。

有状态分组过滤器能够跟踪通过它们的分组的各种信息,这些信息包括

源/目的TCP和UDP端口号

TCP序列号

TCP标记

基于RFCed TCP状态机的TCP会话状态

基于计时器的UDP流量跟踪

学网络，就在IE-LAB,国内最著名的高端网络工程师培养基地 ，技术分享转载需注明出处。