依照防火牆對資料的處理方法,可將防火牆分為什麼

依照防火牆對資料的處理方法，可將防火牆分為包過濾防火牆和代理防火牆；包過濾型產品是防火牆的初級產品，其技術依據是網路中的分包傳輸技術；代理型防火牆也可以被稱為代理伺服器，它的安全性高於套件過濾型產品，並且已經開始向應用層發展。

本文操作環境：Windows7系統、DELL G3電腦

--依照防火牆對資料的處理方法,可將防火牆分為什麼？

儘管防火牆的發展經歷了幾代，但是按照防火牆對內外來往資料的處理方法，大致可以將其分為兩大系統：包過濾防火牆和代理防火牆（應用層網關防火牆）。

• 套件過濾型產品是防火牆的初級產品，其技術依據是網路中的分包傳輸技術。網路上的資料都是以「包」為單位進行傳輸的，資料被分割成為一定大小的資料包，每一個資料包中都會包含一些特定訊息，如資料的來源位址、目標位址、 TCP/UDP來源連接埠和目標連接埠等。防火牆透過讀取資料包中的位址資訊來判斷這些「包」 是否來自可信任的安全站點，一旦發現來自危險站點的資料包，防火牆就會將這些資料拒之門外。系統管理員也可以根據實際情況靈活製訂判斷規則。
  
  套件過濾技術的優點是簡單實用，實現成本較低，在應用環境比較簡單的情況下，能夠以較小的代價在一定程度上保證系統的安全。
  
  但包過濾技術的缺陷也是明顯的。包過濾技術是一種完全基於網路層的安全技術，只能根據資料包的來源、目標和連接埠等網路資訊進行判斷，無法識別基於應用層的惡意侵入，如惡意的Java小程式以及電子郵件中附帶的病毒。有經驗的駭客很容易偽造IP位址，騙過包過濾型防火牆。

• 代理程式防火牆也可以稱為代理伺服器，它的安全性高於套件過濾型產品，並且已經開始向應用層發展。代理伺服器位於客戶機與伺服器之間，完全阻擋了二者間的資料交流。從客戶機來看，代理伺服器相當於一台真正的伺服器；而從伺服器來看，代理伺服器又是一台真正的客戶機。當客戶機需要使用伺服器上的數據時，首先將數據請求發給代理伺服器，代理伺服器再根據此請求向伺服器索取數據，然後再由代理伺服器將數據傳輸給客戶機。由於外部系統與內部伺服器之間沒有直接的資料通道，外部的惡意侵害也很難傷害到企業內部網路系統。
  
  代理程式防火牆的優點是安全性較高，可以針對應用層進行偵測和掃描，對付基於應用層的侵入和病毒都十分有效。其缺點是對系統的整體性能有較大的影響，而且代理伺服器必須針對客戶機可能產生的所有應用類型逐一進行設置，大大增加了系統管理的複雜性。

前者以以色列的Checkpoint防火牆和Cisco公司的PIX防火牆為代表，後者以美國NAI公司的Auntlet防火牆為代表。

--依照防火牆所處的位置，防火牆可分為外部防火牆和內部防火牆。

前者在內部網路和外部網路之間建立起一個保護層，從而防止「駭客」的侵襲，其方法是監聽和限制所有進出通信，擋住外來非法資訊並控制敏感資訊被洩露；後者將內部網路分隔成多個區域網，從而限制外部攻擊造成的損失。

更多相關知識，請造訪常見問題欄位！

以上是依照防火牆對資料的處理方法,可將防火牆分為什麼的詳細內容。更多資訊請關注PHP中文網其他相關文章！