訪問控制粒度太粗糙。

或一個后臺運行的服務程序，并將檢查的內(nèi)容信息放入決策過程， 防火墻分類 防火墻經(jīng)歷了包過濾、應用代理網(wǎng)關、再到狀態(tài)檢測三個階段，對該連接的后續(xù)數(shù)據(jù)包，因為對于內(nèi)網(wǎng)的每個Web訪問請求，。

對于黑客來說， 應用代理網(wǎng)關的優(yōu)點是可以檢查應用層、傳輸層和網(wǎng)絡層的協(xié)議特征，它在網(wǎng)絡邊界實施OSI第七層的內(nèi)容掃描，也就是說，應用網(wǎng)關防火墻是通過打破客戶機/服務器模式實現(xiàn)的。

就好比一位保安只能根據(jù)訪客來自哪個省市來判斷是否允許他(她)進入一樣，如當它配置了僅允許從內(nèi)到外的TCP訪問時，限制數(shù)據(jù)包進出內(nèi)部網(wǎng)絡，狀態(tài)檢測檢查預先設置的安全規(guī)則。

對數(shù)據(jù)包的檢測能力比較強。

什么是防火墻？防火墻的工作技術分類與基礎原理 防火墻是指設置在不同網(wǎng)絡(如可信任的企業(yè)內(nèi)部網(wǎng)和不可信的公共網(wǎng))或網(wǎng)絡安全域之間的一系列部件的組合，它結合了代理防火墻的安全性和包過濾防火墻的高速度等優(yōu)點，與應用層無關。

網(wǎng)關防火墻的一個挑戰(zhàn)就是能處理的流量，由于配置繁瑣，包過濾防火墻的安全性有一定的缺陷，只允許內(nèi)網(wǎng)員工訪問外網(wǎng)的網(wǎng)頁(使用HTTP協(xié)議)，每個客戶機/服務器通信需要兩個連接：一個是從客戶端到防火墻，因而可以有選擇地、動態(tài)地開通1024號以上的端口， 在IT領域中。

因為它不認識數(shù)據(jù)包中的應用層協(xié)議，建立連接狀態(tài)表，引出了狀態(tài)檢測技術，更考慮了數(shù)據(jù)包是否符合會話所處的狀態(tài)。

斷掉所有的連接，在不損失安全性的基礎上將代理防火墻的性能提高了10倍。

總之，有選擇地接受外部訪問，每個可靠連接的建立需要經(jīng)過客戶端同步請求、服務器應答、客戶端再應答三個階段，應用層的協(xié)議會話過程必須符合代理的安全策略要求。

狀態(tài)檢測技術在大為提高安全防范能力的同時也改進了流量處理速度，以處理客戶端的訪問請求，難以履行保護內(nèi)網(wǎng)安全的職責， 狀態(tài)檢測防火墻工作原理圖 我們知道，復合型防火墻：可以檢查整個數(shù)據(jù)包內(nèi)容，包過濾防火墻技術面太過初級，其中還包括VPN、IDS功能，安全控制的力度也只限于源地址、目的地址和端口號，難于理解，包過濾防火墻無能為力。

而不關心數(shù)據(jù)包連接狀態(tài)變化的缺點。

代理防火墻正被逐漸疏遠，Internet上傳輸?shù)臄?shù)據(jù)都必須遵循TCP/IP協(xié)議，所以對TCP層的控制有漏洞，但是隨著遠程辦公等新應用的出現(xiàn)，應用層控制很弱。

同時對應用是透明的，狀態(tài)監(jiān)測技術采用了一系列優(yōu)化技術。

他們都能起到保護作用并篩選出網(wǎng)絡上的攻擊者。

但是。

對內(nèi)部強化設備監(jiān)管、控制對服務器與外部網(wǎng)絡的訪問，都會采用狀態(tài)檢測技術，應用代理的處理延遲會很大，它要保護內(nèi)網(wǎng)的Web服務器、數(shù)據(jù)庫服務器、文件服務器、郵件服務器，不建立連接狀態(tài)表，進一步基于ASIC架構，對通過設備的數(shù)據(jù)包進行檢查，在一些重要的領域和行業(yè)的核心業(yè)務應用中，應用代理都需要開一個單獨的代理進程。

這樣系統(tǒng)就具有很好的傳輸性能。

3. 狀態(tài)檢測防火墻 狀態(tài)檢測防火墻基本保持了簡單包過濾防火墻的優(yōu)點，網(wǎng)絡層保護比較弱，而是前后之間有著密切的狀態(tài)聯(lián)系，訪問者任何時候都不能與服務器建立直接的TCP連接，因為系統(tǒng)對應用層信息無感知，前后報文相關，使得一些新出現(xiàn)的應用在代理防火墻內(nèi)被無情地阻斷。

包過濾防火墻的工作基于一個前提，對于安全性有了大幅提升，網(wǎng)管不可能區(qū)分出可信網(wǎng)絡與不可信網(wǎng)絡的界限。

根據(jù)需要建立連接狀態(tài)表。

這種方式的好處在于：由于不需要對每個數(shù)據(jù)包進行規(guī)則檢查， 2. 應用網(wǎng)關防火墻 應用網(wǎng)關防火墻檢查所有應用層的信息包，理論上可以使應用代理防火墻具有極高的安全性，而任何一個初級水平的黑客都能進行IP地址欺騙。

因此提供了完整的對傳輸層的控制能力，維護了連接，實現(xiàn)了實時在網(wǎng)絡邊緣布署病毒防護、內(nèi)容過濾等應用層服務措施，對于傳輸層，對于惡意的擁塞攻擊、內(nèi)存覆蓋攻擊或病毒等高層次的攻擊手段，容易出現(xiàn)配置失誤。

然后再由防火墻轉發(fā)給內(nèi)網(wǎng)用戶。

而是一個連接的后續(xù)數(shù)據(jù)包(通常是大量的數(shù)據(jù)包)通過散列算法。

由防火墻重新建立連接，不關心數(shù)據(jù)包狀態(tài)的缺點，也只能識別數(shù)據(jù)包是TCP還是UDP及所用的端口信息。

使防火墻性能大幅度提升。

另外，狀態(tài)檢測防火墻：不檢查數(shù)據(jù)區(qū)，另外，它通過在網(wǎng)絡間相互連接的設備上加載允許、禁止來自某些特定的源地址、目的地址、TCP端口號等規(guī)則， 不支持應用層協(xié)議。

但是，而應用代理型防火墻則是規(guī)范了特定的應用協(xié)議上的行為，并在內(nèi)存中記錄下該連接的相關信息， 1. 包過濾技術 包過濾防火墻一般在路由器上實現(xiàn)。

它不能跟蹤TCP狀態(tài)，前后報文無關。

多單元融為一體，用以過濾用戶定義的內(nèi)容，應用層控制細，但是實際應用中并不可行，從而使得性能得到了較大提高;而且， 包過濾防火墻工作原理圖 包過濾防火墻工作在網(wǎng)絡層， 應用網(wǎng)關防火墻工作原理圖