从技术机理上分,防火墙包括包过滤型、应用网关型以及混合型三种类型。下面分别阐述。 P80C592FFA/00,518

   包过滤型防火墙

   包过滤型防火墙通过在O⒏参考模型的网络层和传输层设立数据包(packet)过滤路由器,对出人网络的所有数据包的头部信息(包括源与日标的IP地址、端口号、传输协议类型以及rMP消息类型等)逐一检查,并将其与内置的过滤规则(也称访问控制表)对比以确定是否允许该数据包通过;只有头部信息满足过滤规则的数据包才能被转发至相应的网络接口,否则即被从数据流中删除。显然,包过滤型防火墙只能对网络访问进行控制,而不能控制具体的数据包(所传输的数据)内容,因为此类防火墙对O⒏参考模型中的应用层协议与分组中的数据元素毫不“知情”。

   早期的包过滤型防火墙仅通过对比数据包头部信息与预设的过滤规则,来决定是否允许数据包通过。这种防火墙被称为静态包过滤型防火墙。这类防墙由于只作简单比对与判断,不代理任何流量,因此速度较快。然而,由于它在智能性与灵活性上表现不佳,只能提供基本的保护,对高级攻击提供的保护则薄弱得多。

    于是,人们对上述防火墙进行改进,研制并推出了采用综合动态设置数据包过滤原则的动态包过滤型防火墙。这类服务器不仅通过简单比对数据包头部信息与过滤规则,同时还通过维护一份链接表(也称连接状态表)来动态监视通信会话的实时状态,并将两者结合起来对是否允许数据包通过做出判断c这对拦截一些以Ⅱ分组骗”手段实施的网络攻击,效果显著。