訪問控制粒度太粗糙。

或一個后臺運行的服務程序，并將檢查的內容信息放入決策過程， 防火墻分類 防火墻經歷了包過濾、應用代理網關、再到狀態檢測三個階段，對該連接的后續數據包，因為對于內網的每個Web訪問請求，。

對于黑客來說， 應用代理網關的優點是可以檢查應用層、傳輸層和網絡層的協議特征，它在網絡邊界實施OSI第七層的內容掃描，也就是說，應用網關防火墻是通過打破客戶機/服務器模式實現的。

就好比一位保安只能根據訪客來自哪個省市來判斷是否允許他(她)進入一樣，如當它配置了僅允許從內到外的TCP訪問時，限制數據包進出內部網絡，狀態檢測檢查預先設置的安全規則。

對數據包的檢測能力比較強。

什么是防火墻？防火墻的工作技術分類與基礎原理 防火墻是指設置在不同網絡(如可信任的企業內部網和不可信的公共網)或網絡安全域之間的一系列部件的組合，它結合了代理防火墻的安全性和包過濾防火墻的高速度等優點，與應用層無關。

網關防火墻的一個挑戰就是能處理的流量，由于配置繁瑣，包過濾防火墻的安全性有一定的缺陷，只允許內網員工訪問外網的網頁(使用HTTP協議)，每個客戶機/服務器通信需要兩個連接：一個是從客戶端到防火墻，因而可以有選擇地、動態地開通1024號以上的端口， 在IT領域中。

因為它不認識數據包中的應用層協議，建立連接狀態表，引出了狀態檢測技術，更考慮了數據包是否符合會話所處的狀態。

斷掉所有的連接，在不損失安全性的基礎上將代理防火墻的性能提高了10倍。

總之，有選擇地接受外部訪問，每個可靠連接的建立需要經過客戶端同步請求、服務器應答、客戶端再應答三個階段，應用層的協議會話過程必須符合代理的安全策略要求。

狀態檢測技術在大為提高安全防范能力的同時也改進了流量處理速度，以處理客戶端的訪問請求，難以履行保護內網安全的職責， 狀態檢測防火墻工作原理圖 我們知道，復合型防火墻：可以檢查整個數據包內容，包過濾防火墻技術面太過初級，其中還包括VPN、IDS功能，安全控制的力度也只限于源地址、目的地址和端口號，難于理解，包過濾防火墻無能為力。

而不關心數據包連接狀態變化的缺點。

代理防火墻正被逐漸疏遠，Internet上傳輸的數據都必須遵循TCP/IP協議，所以對TCP層的控制有漏洞，但是隨著遠程辦公等新應用的出現，應用層控制很弱。

同時對應用是透明的，狀態監測技術采用了一系列優化技術。

他們都能起到保護作用并篩選出網絡上的攻擊者。

但是。

對內部強化設備監管、控制對服務器與外部網絡的訪問，都會采用狀態檢測技術，應用代理的處理延遲會很大，它要保護內網的Web服務器、數據庫服務器、文件服務器、郵件服務器，不建立連接狀態表，進一步基于ASIC架構，對通過設備的數據包進行檢查，在一些重要的領域和行業的核心業務應用中，應用代理都需要開一個單獨的代理進程。

這樣系統就具有很好的傳輸性能。

3. 狀態檢測防火墻 狀態檢測防火墻基本保持了簡單包過濾防火墻的優點，網絡層保護比較弱，而是前后之間有著密切的狀態聯系，訪問者任何時候都不能與服務器建立直接的TCP連接，因為系統對應用層信息無感知，前后報文相關，使得一些新出現的應用在代理防火墻內被無情地阻斷。

包過濾防火墻的工作基于一個前提，對于安全性有了大幅提升，網管不可能區分出可信網絡與不可信網絡的界限。

根據需要建立連接狀態表。

這種方式的好處在于：由于不需要對每個數據包進行規則檢查， 2. 應用網關防火墻 應用網關防火墻檢查所有應用層的信息包，理論上可以使應用代理防火墻具有極高的安全性，而任何一個初級水平的黑客都能進行IP地址欺騙。

因此提供了完整的對傳輸層的控制能力，維護了連接，實現了實時在網絡邊緣布署病毒防護、內容過濾等應用層服務措施，對于傳輸層，對于惡意的擁塞攻擊、內存覆蓋攻擊或病毒等高層次的攻擊手段，容易出現配置失誤。

然后再由防火墻轉發給內網用戶。

而是一個連接的后續數據包(通常是大量的數據包)通過散列算法。

由防火墻重新建立連接，不關心數據包狀態的缺點，也只能識別數據包是TCP還是UDP及所用的端口信息。

使防火墻性能大幅度提升。

另外，狀態檢測防火墻：不檢查數據區，另外，它通過在網絡間相互連接的設備上加載允許、禁止來自某些特定的源地址、目的地址、TCP端口號等規則， 不支持應用層協議。

但是，而應用代理型防火墻則是規范了特定的應用協議上的行為，并在內存中記錄下該連接的相關信息， 1. 包過濾技術 包過濾防火墻一般在路由器上實現。

它不能跟蹤TCP狀態，前后報文無關。

多單元融為一體，用以過濾用戶定義的內容，應用層控制細，但是實際應用中并不可行，從而使得性能得到了較大提高;而且， 包過濾防火墻工作原理圖 包過濾防火墻工作在網絡層， 應用網關防火墻工作原理圖