网络各层中,给防火墙提供判别依据有,
1、连接层
desctination, source的mac地址。
2、网络层
Header Length, Differentiated Service, Total Length, Flags, Time to Live, Protocol, Source, Destination
3、传输层
Source Port, Destination Port, Header Length, Flags
4、应用层
主机域名
防火墙根据过滤技术,可以分为两类:
1、包过滤防火墙
优点:由于包过滤防火墙的检查范围为一个封包,因此,一个封包从左边介质送入,并且在防火墙检查没有问题之后,封包即可从右边接口送出。当然,在封包由右边接口送出之后,就与防火墙主机无关了,因此,包过滤防火墙所需要的“内存”及“CPU占用”都不需要很高,通常200人以下的企业只需要一台 Pentium III 450及128MB内存的主机就够了,由此可知,包过滤防火墙的成本较低。
另一个优点是,包过滤防火墙其本身是以Router的形式存在网络之上的,因此,包过滤防火墙完全与“协议”无关,故其应用的范围较广。
缺点:因为包过滤防火墙的检查范围只有一个封包,所以包过滤防火墙无法对连接中的信息执行极为精准的过滤动作。比如说,我们无法使用包过滤防火墙检查一封电子邮件中是否带有计算机病毒。
2、应用层防火墙
优点:因为应用层防火墙能够检查到一条连接中的每一个By t e,因此,应用层防火墙能够进行比包过滤防火墙还精准的过滤。
缺点:因为应用层防火墙必须将所有的封包保存下来,并将其还原成一个完整的数据内容,因此,应用层防火墙一定与“协议”有关,也就是说,如果Application Filter Process不支持通信协议便无法处理,因此,应用层防火墙的应用范围较窄。
此外,由于应用层防火墙必须执行封包的存储及还原动作,因此,应用层防火墙需要更多的内存及CPU 的运算资源,故其成本较高。
常见的防火墙结构
1、单机防火墙
http://book.51cto.com/art/200903/114589.htm
2、网关式防火墙
http://book.51cto.com/art/200903/114591.htm
3、通透式防火墙