防火牆從技術角度主要分成四大類:
1、包過濾技術
包過濾防火牆一般在路由器上實現,用以過濾用户定義的內容,如IP地址。包過濾防火牆的工作原理是:系統在網絡層檢查數據包,與應用層無關。這樣系統就具有很好的傳輸性能,可擴展能力強。但是,包過濾防火牆的安全性有一定的缺陷,因為系統對應用層信息無感知,也就是説,防火牆不理解通信的內容,所以可能被黑客所攻破。
2、應用網關防火牆
應用網關防火牆檢查所有應用層的信息包,並將檢查的內容信息放入決策過程,從而提高網絡的安全性。然而,應用網關防火牆是通過打破客户機/服務器模式實現的。每個客户機/服務器通信需要兩個連接:一個是從客户端到防火牆,另一個是從防火牆到服務器。另外,每個代理需要一個不同的應用進程,或一個後台運行的服務程序,對每個新的應用必須添加針對此應用的服務程序,否則不能使用該服務。所以,應用網關防火牆具有可伸縮性差的缺點。
3、狀態檢測防火牆
狀態檢測防火牆基本保持了簡單包過濾防火牆的優點,性能比較好,同時對應用是透明的,在此基礎上,對於安全性有了大幅提升。這種防火牆摒棄了簡單包過濾防火牆僅僅考察進出網絡的數據包,不關心數據包狀態的缺點,在防火牆的核心部分建立狀態連接表,維護了連接,將進出網絡的數據當成一個個的事件來處理。可以這樣説,狀態檢測包過濾防火牆規範了網絡層和傳輸層行為,而應用代理型防火牆則是規範了特定的應用協議上的行為。
4、複合型防火牆
複合型防火牆是指綜合了狀態檢測與透明代理的新一代的防火牆,進一步基於ASIC架構,把防病毒、內容過濾整合到防火牆裏,其中還包括IDS功能,多單元融為一體,是一種新突破。常規的防火牆並不能防止隱蔽在網絡流量裏的攻擊,在網絡界面對應用層掃描,把防病毒、內容過濾與防火牆結合起來,這體現了網絡與信息安全的新思路。它在網絡邊界實施OSI第七層的內容掃描,實現了實時在網絡邊緣佈署病毒防護、內容過濾等應用層服務措施。
