概述

所谓防火墙指的是一个由软件和硬件设备组合而成、在内部网和外部网之间、专用网与公共网之间构造的保护屏障,是一种获取安全性方法的形象说法。通常,实现防火墙的主流技术有三种。

(1)包过滤技术。

包过滤是使用很早的一种防火墙技术,它在基于TCP/IP的数据报文进出的通道上工作,对这两层数据进行监控,对每个数据包的头部、协议、地址、端口和类型等信息进行详细分析,并与提前设定好的防火墙过滤规则(Filtering Rule)进行比对,只要发现一个包的某个或多个部分与过滤规则匹配并且条件为“阻止”的时候,就会丢弃这个包。

(2)应用代理技术。

由于包过滤技术对于数据的保护不是很完善,对于一些特殊的攻击方式(例如SYN攻击)不能起到很好的作用,因此,出现了“应用代理”(Application Proxy)技术的防火墙。代理设备包含两个部分:服务端和客户端。主要工作方式:当服务端接收来自用户的请求时,通过代理设备的客户端把这个客户端的请求转发给服务器,把从服务器接收到的响应转发给用户。

(3)状态检测技术。

状态检测技术通过检测网络的状态来做出安全决策,工作方式为在不影响网络正常工作的前提下采用抽取相关数据的方法对网络通信的各个层次实行监测,并根据预定义的过滤规则做出安全决策。
网络地址转换(Network Address Translation,NAT)是一种将私有(保留)地址转化为合法IP地址的转换技术,完美地解决了IPv4地址不足的问题,而且还能够有效地避免来自网络外部的攻击,隐藏并保护网络内部的计算机。

包过滤技术是最基本的防火墙技术
应用级网关和代理服务器技术都是应用代理技术的防火墙
NAT技术是网络地址转换,用于公网和内网IP之间的相互转换,它不是防火墙技术。