1)防火墻的主要技術(shù)

靜態(tài)包過濾：根據(jù)數(shù)據(jù)包的源地址、目的地址、源端口號(hào)、目的端口號(hào)、數(shù)據(jù)的對(duì)話協(xié)議及數(shù)據(jù)包頭中的各個(gè)標(biāo)志位等因素，按照系統(tǒng)預(yù)先制定好的規(guī)則來決定對(duì)數(shù)據(jù)包的操作（丟棄、通過或轉(zhuǎn)發(fā)）。包過濾技術(shù)邏輯簡(jiǎn)單、易于實(shí)現(xiàn)，處理速度快，但無法實(shí)現(xiàn)對(duì)應(yīng)用層信息過濾處理，并且對(duì)于網(wǎng)絡(luò)服務(wù)多、結(jié)構(gòu)復(fù)雜的網(wǎng)絡(luò)，包過濾規(guī)則配置復(fù)雜。

狀態(tài)檢測(cè)：狀態(tài)檢測(cè)也稱動(dòng)態(tài)包過濾，是對(duì)靜態(tài)包過濾技術(shù)的功能擴(kuò)展。狀態(tài)檢測(cè)技術(shù)通過維護(hù)一個(gè)記錄著網(wǎng)絡(luò)連接狀態(tài)變化的狀態(tài)表來自動(dòng)生成或刪除安全過濾規(guī)則。由于使用了狀態(tài)表，狀態(tài)檢測(cè)防火墻可處理會(huì)話當(dāng)前的狀態(tài)屬性、順序號(hào)、應(yīng)答標(biāo)記等信息，因此能有效的抵御偽造回包等類型的攻擊。狀態(tài)檢測(cè)技術(shù)的優(yōu)勢(shì)在于可根據(jù)會(huì)話信息決定過濾規(guī)則，因此能提供基于無連接的協(xié)議的應(yīng)用（DNS等）及基于端口動(dòng)態(tài)分配的協(xié)議的應(yīng)用(如NFS、NIS)的安全支持，因此具有較高的安全性。然而由于需要檢測(cè)更多內(nèi)容，因此對(duì)性能提出了更高的要求。

應(yīng)用代理：應(yīng)用代理技術(shù)工作于應(yīng)用層，起到外部網(wǎng)絡(luò)向一內(nèi)部網(wǎng)絡(luò)或內(nèi)部網(wǎng)絡(luò)向外部網(wǎng)絡(luò)申請(qǐng)服務(wù)時(shí)的轉(zhuǎn)接作用。當(dāng)外部網(wǎng)絡(luò)向內(nèi)部網(wǎng)絡(luò)申請(qǐng)服務(wù)時(shí)，內(nèi)部網(wǎng)絡(luò)只接受代理提出的服務(wù)請(qǐng)求，拒絕外部網(wǎng)絡(luò)其他節(jié)點(diǎn)的直接請(qǐng)求。應(yīng)用級(jí)代理網(wǎng)關(guān)防火墻的優(yōu)點(diǎn)包括可避免內(nèi)外網(wǎng)主機(jī)的直接連接；提供比包過濾更詳細(xì)的日志記錄，如在一個(gè)HTTP連接中，包過濾只能記錄單個(gè)的數(shù)據(jù)包，而應(yīng)用網(wǎng)關(guān)還可以記錄文件名、URL等信息；可以隱藏內(nèi)部IP地址； 可以面向用戶授權(quán)；可以為用戶提供透明的加密機(jī)制；可以與認(rèn)證、授權(quán)等安全手段方便地集成。應(yīng)用代理技術(shù)的缺點(diǎn)包括處理速度比包過濾防火墻慢，對(duì)用戶不透明，給用戶的使用帶來不便，而且這種代理技術(shù)需要針對(duì)每種協(xié)議設(shè)置一個(gè)不同的代理服務(wù)器。