1、通用防火墙分类

包过滤防火墙、代理防火墙、状态检测防火墙

1.1包过滤防火墙

顾名思义，包过滤防火墙的原理为：通过配置访问控制列表（ACL, Access Control List）实施数据包的过滤。主要基于数据包中的源/目的IP地址、源/目的端口号、IP 标识和报文传递的方向等信息。

优点：设计简单、价格低廉，有多低？

咳咳咳~回到原题

缺点：

①随着ACL 复杂度和长度的增加，其过滤性能呈指数下降趋势；

②静态的ACL 规则难以适应动态的安全要求；

③包过滤不检查会话状态也不分析数据，这很容易让黑客蒙混过关。例如，攻击者可以使用假冒地址进行欺骗，通过把自己主机IP地址设成一个合法主机IP地址，就能很轻易地通过报文过滤器。
总结来说：性能不高、防护强度不够，就是一道烂木门，挡不住啥玩意儿

 

2、代理防火墙

代理服务作用于网络的应用层，其实质是把内部网络和外部网络用户之间直接进行的业务由代理接管。代理检查来自用户的请求，用户通过安全策略检查后，该防火墙将代表外部用户与真正的服务器建立连接，转发外部用户请求，并将真正服务器返回的响应回送给外部用户。

优点：完全控制了信息的交换，安全、安全、安全

缺点：

①限制了处理速度，容易受到DDoS攻击

②需要针对每一种协议开发应用层代理，开发周期长，而且升级很困难。

1.3状态检测防火墙

大致就是根据网络层回话，来选择相关联的会话的数据包进行转发，如果不一致则丢弃。

只对一个连接的首包进行包过滤检查，如果这个首包能够通过包过滤规则的检查，并建立会话的话，后续报文将不再继续通过包过滤机制检测，而是直接通过会话表进行转发。

什么是会话表项？

Session：Tcp 192.168.1.1:2000 ---→1.1.1.1:23 就是一个会话

每一个通过防火墙的数据流都会在防火墙上建立一个会话表项，以五元组为关键值”key值“，建立动态的回话项提供域间安全转发。

下一代防火墙采用七元组：源IP、源端口、目的IP、目的端口、协议号、用户、应用。

显示查看会话表项简要信息：display firewall session table

显示查看会话表项详细信息：display firewall session table verbose

下一代防火墙相对于传统防火墙的安全策略相比，有如下优势：

能够通过“用户”来区分不同部门的员工，使网络的管理更加灵活和可视：

能够有效区分协议（例如HTTP）承载的不同应用（例如网页IM、网页游戏等），使网络的管理更加精细：

能够通过安全策略实现内容安全检测，阻断病毒、黑客等的入侵，更好的保护内部网络。