防火墻按照數據處理方法分為哪些？

防火墻按照數據處理方法分為哪些？盡管防火墻的發展經歷了幾代，但是按照防火墻對內外來往數據的處理方法，大致可以將其分為兩大體系：包過濾防火墻和代理防火墻（應用層網關防火墻）。

包過濾型產品是防火墻的初級產品，其技術依據是網絡中的分包傳輸技術。網絡上的數據都是以“包”為單位進行傳輸的，數據被分割成為一定大小的數據包，每一個數據包中都會包含一些特定信息，如數據的源地址、目標地址、 TCP/UDP源端口和目標端口等。防火墻通過讀取數據包中的地址信息來判斷這些“包” 是否來自可信任的安全站點，一旦發現來自危險站點的數據包，防火墻便會將這些數據拒之門外。系統管理員也可以根據實際情況靈活制訂判斷規則。包過濾技術的優點是簡單實用，實現成本較低，在應用環境比較簡單的情況下，能夠以較小的代價在一定程度上保證系統的安全。但包過濾技術的缺陷也是明顯的。包過濾技術是一種完全基于網絡層的安全技術，只能根據數據包的來源、目標和端口等網絡信息進行判斷，無法識別基于應用層的惡意侵入，如惡意的Java小程序以及電子郵件中附帶的病毒。有經驗的黑客很容易偽造IP地址，騙過包過濾型防火墻。

代理型防火墻也可以被稱為代理服務器，它的安全性要高于包過濾型產品，并已經開始向應用層發展。代理服務器位于客戶機與服務器之間，完全阻擋了二者間的數據交流。從客戶機來看，代理服務器相當于一臺真正的服務器；而從服務器來看，代理服務器又是一臺真正的客戶機。當客戶機需要使用服務器上的數據時，首先將數據請求發給代理服務器，代理服務器再根據這一請求向服務器索取數據，然后再由代理服務器將數據傳輸給客戶機。由于外部系統與內部服務器之間沒有直接的數據通道，外部的惡意侵害也就很難傷害到企業內部網絡系統。代理型防火墻的優點是安全性較高，可以針對應用層進行偵測和掃描，對付基于應用層的侵入和病毒都十分有效。其缺點是對系統的整體性能有較大的影響，而且代理服務器必須針對客戶機可能產生的所有應用類型逐一進行設置，大大增加了系統管理的復雜性。

前者以以色列的Checkpoint防火墻和Cisco公司的PIX防火墻為代表，后者以美國NAI公司的Auntlet防火墻為代表。

按照防火墻所處的位置，防火墻可分為外部防火墻和內部防火墻。

前者在內部網絡和外部網絡之間建立起一個保護層，從而防止“黑客”的侵襲，其方法是監聽和限制所有進出通信，擋住外來非法信息并控制敏感信息被泄露；后者將內部網絡分隔成多個局域網，從而限制外部攻擊造成的損失。