依不同保护机制和工作原理,防火墙主要分成三类:分组过滤型,代理服务型和状态检测型,它们在网络性能,安全性和应用透明性等方面各有利弊.
1.分级过滤型
这种防火墙通常在网络层通过对分组中的IP地址,TCP/UDP端口号以及协议状态等字段的检查来决定是否转发一个分组,此安全设防的基本原理和举措为:根据网络安全策略,在防火墙中事先设置分组过滤规则,依分组过滤规则,对进入防火墙的分组流进行检查.
分组过滤规则一定要按序排列,当一个分组到达时,按规则的排列,依次运用生个规则对分组进行检查,一旦分组同一个规则相匹配,则不再向下检查其他的规则,如果一个分组同一个拒绝转发的规则相匹配,则这个分组将被禁止通过,如果一个分组与一个允许转发的规则相匹配,则这个分组将被允许通过.
2.代理服务器
这种防火墙有两种类型:一种是应用级网关型,它工作在应用层上,对每一种应用,都设有一个代理服务程序;另一种是电路级网关型,它工作在舒翼上,根据客户的TCP连接请求,重新建立一个允许通过防火墙的TCP连接来提供代理服务,而不是针对应用程序,两者相比,前者的安全性好,而灵活性和透明性不如后者,这里的代理服务型防火墙主要是指应用网关型防火墙,它在内部网与因特网之间建立一个代理服务器,外部用户要访问内部网中的服务器必须通过服务器进行中转,而不允许它们之间直接建立是行通信.
3.状态检测型
由于防火墙是设置在内部网与外部网这间的安全网关,对进入内部网的信息流进行安全检查,客观上形成了一咱网络瓶颈,会降低网络吞吐量,增加网络延迟,引起网络性能下降,严重时会产生网络阻塞现象,这种网络瓶颈问题可视为网络安全所付出的代价,对于防火墙这类网络安全系统,理想目标是在保证安全性前提下,尽可能地减少网络性能损失,提高网络吞吐能力,避免网络阻塞.
分组过滤型防火墙的网络性能损失较小,但安全性较差;代理服务型防火墙的安全性较好,但网络性能损失较大,而且可伸缩性也较差,因此,从安全性和网络性能等方面来看,这两种传统的防火堵都存在着一定的缺陷,为了解决安全性和网络性能相协调问题,近几年出现 了一些新型的防火墙,其中具有挖根生的有适应防火墙,状态检测型防火墙等.