根據防火墻采用的技術不同,可以分為三種基本類型:包過濾型、代理型和全狀態檢測型。
(1)數據包過濾器類型
包過濾產品是防火墻的初級產品,其技術基礎是網絡中的數據包傳輸技術。網絡上的數據是以包的形式傳輸的,數據被分成壹定大小的包,每個包都會包含壹些特定的信息,比如數據的源地址、目的地址、TC P/UDP源端口、目的端口等。防火墻通過讀取數據包中的地址信息來判斷這些“數據包”是否來自可信的安全站點。壹旦發現來自危險站點的數據包,防火墻就會將其拒之門外。系統管理員也可以根據實際情況靈活制定判斷規則。
包過濾技術的優點是簡單實用,實施成本低。在環境比較簡單的情況下,可以用較小的成本在壹定程度上保證系統的安全性。
但是包過濾技術的缺陷也是顯而易見的。包過濾技術是壹種完全基於網絡層的安全技術,只能根據數據包的來源、目的、端口等網絡信息進行判斷,無法識別基於應用層的惡意入侵,如惡意Java小程序、郵件附帶的病毒等。有經驗的黑客可以輕易地偽造IP地址,騙過包過濾防火墻。
(2)代理類型
代理防火墻也可稱為代理服務器,其安全性高於包過濾產品,並已開始向應用發展。代理服務器位於客戶端和服務器之間,完全阻斷了兩者之間的數據交換。從客戶端的角度來看,代理服務器相當於壹個真實的服務器;從服務器的角度來看,代理服務器是壹個真正的客戶端。當客戶端需要使用服務器上的數據時,首先向代理服務器發送數據請求,然後代理服務器根據這個請求向服務器請求數據,然後代理服務器將數據傳輸給客戶端。由於外部系統和內部服務器之間沒有直接的數據通道,外部惡意攻擊很難對內網系統造成危害。
代理防火墻的優點是安全性高,可以檢測和掃描應用層,對基於應用層的入侵和病毒非常有效。其缺點是對系統整體性能影響較大,對於客戶端可能產生的所有應用層類型都必須壹壹設置代理服務器,大大增加了系統管理的復雜度。
(3)全狀態檢測型
全狀態檢測防火墻是新壹代產品,這種技術實際上已經超越了防火墻最初的定義。全狀態檢測防火墻可以主動實時監控各層數據。在分析這些數據的基礎上,全狀態檢測防火墻可以有效地判斷各層的非法入侵。同時,這種檢測防火墻產品壹般都有分布式檢測器,安裝在各種應用服務器和其他網絡節點中,不僅可以檢測來自網絡外部的攻擊,對來自內部的惡意破壞也有很強的防範作用。據權威機構統計,針對網絡系統的攻擊有相當比例來自網絡內部。因此,全狀態檢測防火墻不僅超越了傳統防火墻的定義,在安全性上也超越了前兩代產品。