防火墙的分类

　　在当今的网络环境下，木马、病毒肆虐，黑客攻击频繁而各种流氓软件、间谍软件也兴风作浪。难道我们就只有任病毒木马的宰割的份了吗？当然不是，我们还有严守大门的防火墙。防火墙能极大地提高一个内部网络的安全性，并通过过滤不安全的服务而降低风险。防火墙技术虽然出现很多，根据过滤技术奖防火墙分为两类：一种是数据包过滤防火墙，另外一种是应用层防火墙。这两种防火墙在应用上各有优缺点，适用的场景及范围各有不同，下面我们来说一下。
　　1、数据包过滤防火墙
　　数据包过滤防火墙工作在OSI网络参考模型的网络模型和传输层，它根据数据包头源地址，目的地址、端口号和协议类型等标志确定是否允许通过。只有满足过滤条件的数据包才被转发到相应的目的地，其余数据包则被数据流中丢弃。
　　
　　以下图为例，我们假设这台计算机上共装有两块网卡，并让其扮演路由器的角色。因此，当一个数据包从左边接口进入后，即由路由表引导到右边接口送出，接着，我们在其上运行数据包过滤防火墙的操作，而这个防火墙的位置位于路由表之后。从这个结构我们大概知道数据包防火墙每一次执行检查的最小单位是“一个数据包”。
　　
　　包过滤方式是一种通用、廉价和有效的安全手段，之所以通用，是因为它不是针对各个具体的网络服务采取特殊的处理方式，适用于所有网络服务，应用范围比较广；之所以廉价，是因为大对数路由器都是提供数据包过滤功能，所以这类防火墙多数是由路由器集成的。数据包过滤防火墙对“内存”及“CPU性能”的要求较低。通常200人以下的企业大约只需要一台Pentium III450及128M的内存就够了，由此可知，数据包过滤防火墙的成本较低；之所以有效，是因为它能在很大程度上满足了绝大数企业安全要求。
　　因为数据包过滤防火墙的检查范围只有一个数据包，因此，数据包过滤防火墙无法对连接中的数据进行更精准的过滤操作。比如说，我们使用数据包过屡屡防火墙来检查一封电子邮件中是否带有计算机病毒。
　　2、应用层防火墙
　　应用层防火墙是工作在OSI的最高层，即应用层。其特点是完全“阻隔”了网络通信流，通过对每种应用服务编制专门的代理程序，实现监视和控制应用层通信流的作用。其中典型网络结构如图所示。

　　数据包过滤防火墙是以路由方式将数据包转发到另一面，而应用层防火墙就不是这样了，应用层防火墙不需要包含路由机制。以下图为例，我们假设现在有一个SMTP协议的连接要穿过防火墙，当然这个连接上所有数据还是以一个个数据包为的单位的，当第一个数据包进入到防火墙主机后，该数据包随即被一层一层往上传递，最后这个数据包被应用层防火墙上的应用程序过滤进程(Application Filter Process)收到；第二个数据包进入防火墙主机之后，也是如此。其实该连接中的所有数据包都会被应用程序过滤进程收到。也就是说，应用程序过滤进程将会收到该连接的所有数据包，因此，应用程序过滤进程就可以把这些数据包重新还原成一封完整的电子邮件。既然是一封完整的电子邮件，应用层防火墙就能检查该电子邮件内容中的每一个字节，甚至是电子邮件所携带的附件，当检查无误后，应用程序过滤进程再将这封电子邮件发送到它原来的目的地。

　　应用层防火墙的最突出特点就是安全，由于它工作与最高层，所以它可以对网络中任何一层数据通信进行筛选保护，而不是像包过滤那样，只是对网络层的数据进行过滤。
　　另外应用层防火墙采取是一种代理机制，它可以为每一种应用服务建立一个专门的代理，所以内外部网络之间的通信不是直接的，而都需先经过代理服务器审核，通过后再由代理服务器代为连接，根本没有给内、外部网络计算机任何直接会话的机会，从而避免了入侵者使用数据驱动类型的攻击方式入侵内部网。
　　应用层防火墙的最大缺点就是速度相对比较慢，当用户对内外部网络网关的吞吐量要求比较高时，应用层防火墙就会成为内外部网络之间的瓶颈。那因为防火墙需要为不同的网络服务建立专门的代理服务，在自己的代理程序为内、外部网络用户建立连接时需要时间，所以给系统性能带来了一些负面影响，但通常不会很明显。
　　此外，由于应用层防火墙必须执行数据包的存储和还原操作，因此应用层防火墙需要更多内存，对CPU性能的要求也很高，导致成本较高。