包过滤型防火墙 :
往往可以用一台过滤路由器Screened Router来实现,对所接收的每个数据包做允许、拒绝的决定。
包过滤防火墙一般作用在网络层,故也称网络层防火墙或IP过滤器
优点:处理数据包速度比较快,无任何费用,对用户透明
缺点:维护困难、只能阻止一种类型的IP欺骗。任何直接经过路由器的数据包都有被用做数据驱动式攻击的潜在危险。不支持有效的用户认证,不能提供有用的日志,不能对路由器上流动的信息做全面的控制。
双宿、多宿主机防火墙:
有两个或多个网络接口的计算机系统,可以链接多个网络,实现多个网络之间的访问控制
特点:IP层通信被阻止,双宿主机内外的网络均可与双宿主机实时通信,内外网络之间不可直接通信,内外部网络之间的IP数据流被双宿主机完全切断。
运行代理服务的优点:
可以将被保护的网络内部结构屏蔽起来,增强网络安全性,可用于实施较强的数据流监控,过滤,记录和报告等。
运行代理服务的缺点:
访问速度变慢
提供服务相对滞后
屏蔽主机防火墙:
专门设置一个过滤路由器,把所有外部到内部的链接都路由到保垒主机上,强迫所有的外部主机与一个保垒主机相连,而不让它们直接与内部主机相连。
保垒主机:位于内部网络,安全性很高,
屏蔽子网防火墙:
本质上同屏蔽主机防火墙一样,但增加了一层保护体系-周边网络DMZ,保垒主机位于周边网络上,周边网络和内部网络被内部屏蔽路由器分开。