防火墻按照數(shù)據(jù)處理方法分為哪些？

防火墻按照數(shù)據(jù)處理方法分為哪些？盡管防火墻的發(fā)展經(jīng)歷了幾代，但是按照防火墻對(duì)內(nèi)外來往數(shù)據(jù)的處理方法，大致可以將其分為兩大體系：包過濾防火墻和代理防火墻（應(yīng)用層網(wǎng)關(guān)防火墻）。

包過濾型產(chǎn)品是防火墻的初級(jí)產(chǎn)品，其技術(shù)依據(jù)是網(wǎng)絡(luò)中的分包傳輸技術(shù)。網(wǎng)絡(luò)上的數(shù)據(jù)都是以“包”為單位進(jìn)行傳輸?shù)模瑪?shù)據(jù)被分割成為一定大小的數(shù)據(jù)包，每一個(gè)數(shù)據(jù)包中都會(huì)包含一些特定信息，如數(shù)據(jù)的源地址、目標(biāo)地址、 TCP/UDP源端口和目標(biāo)端口等。防火墻通過讀取數(shù)據(jù)包中的地址信息來判斷這些“包” 是否來自可信任的安全站點(diǎn)，一旦發(fā)現(xiàn)來自危險(xiǎn)站點(diǎn)的數(shù)據(jù)包，防火墻便會(huì)將這些數(shù)據(jù)拒之門外。系統(tǒng)管理員也可以根據(jù)實(shí)際情況靈活制訂判斷規(guī)則。包過濾技術(shù)的優(yōu)點(diǎn)是簡單實(shí)用，實(shí)現(xiàn)成本較低，在應(yīng)用環(huán)境比較簡單的情況下，能夠以較小的代價(jià)在一定程度上保證系統(tǒng)的安全。但包過濾技術(shù)的缺陷也是明顯的。包過濾技術(shù)是一種完全基于網(wǎng)絡(luò)層的安全技術(shù)，只能根據(jù)數(shù)據(jù)包的來源、目標(biāo)和端口等網(wǎng)絡(luò)信息進(jìn)行判斷，無法識(shí)別基于應(yīng)用層的惡意侵入，如惡意的Java小程序以及電子郵件中附帶的病毒。有經(jīng)驗(yàn)的黑客很容易偽造IP地址，騙過包過濾型防火墻。

代理型防火墻也可以被稱為代理服務(wù)器，它的安全性要高于包過濾型產(chǎn)品，并已經(jīng)開始向應(yīng)用層發(fā)展。代理服務(wù)器位于客戶機(jī)與服務(wù)器之間，完全阻擋了二者間的數(shù)據(jù)交流。從客戶機(jī)來看，代理服務(wù)器相當(dāng)于一臺(tái)真正的服務(wù)器；而從服務(wù)器來看，代理服務(wù)器又是一臺(tái)真正的客戶機(jī)。當(dāng)客戶機(jī)需要使用服務(wù)器上的數(shù)據(jù)時(shí)，首先將數(shù)據(jù)請(qǐng)求發(fā)給代理服務(wù)器，代理服務(wù)器再根據(jù)這一請(qǐng)求向服務(wù)器索取數(shù)據(jù)，然后再由代理服務(wù)器將數(shù)據(jù)傳輸給客戶機(jī)。由于外部系統(tǒng)與內(nèi)部服務(wù)器之間沒有直接的數(shù)據(jù)通道，外部的惡意侵害也就很難傷害到企業(yè)內(nèi)部網(wǎng)絡(luò)系統(tǒng)。代理型防火墻的優(yōu)點(diǎn)是安全性較高，可以針對(duì)應(yīng)用層進(jìn)行偵測(cè)和掃描，對(duì)付基于應(yīng)用層的侵入和病毒都十分有效。其缺點(diǎn)是對(duì)系統(tǒng)的整體性能有較大的影響，而且代理服務(wù)器必須針對(duì)客戶機(jī)可能產(chǎn)生的所有應(yīng)用類型逐一進(jìn)行設(shè)置，大大增加了系統(tǒng)管理的復(fù)雜性。

前者以以色列的Checkpoint防火墻和Cisco公司的PIX防火墻為代表，后者以美國NAI公司的Auntlet防火墻為代表。

按照防火墻所處的位置，防火墻可分為外部防火墻和內(nèi)部防火墻。

前者在內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間建立起一個(gè)保護(hù)層，從而防止“黑客”的侵襲，其方法是監(jiān)聽和限制所有進(jìn)出通信，擋住外來非法信息并控制敏感信息被泄露；后者將內(nèi)部網(wǎng)絡(luò)分隔成多個(gè)局域網(wǎng)，從而限制外部攻擊造成的損失。