一、包过滤防火墙
包过滤防火墙主要针对OSI模型中的网络层和传输层的信息进行分析。通常包过滤防火墙 用来控制IP、 UDP、 TCP、 ICMP和其他协议。
包过滤防火墙对通过防火墙的数据包进行 检查,只有满足条件的数据包才能通过对数据包的检查内容,一般包括源地址、目的地址 和协议。包过滤防火墙通过规则(如ACL )来确定数据包是否能通过。配置了ACL的防火墙 可以看成包过滤防火墙。
二、代理服务器式防火墙
代理服务器式防火墙对第四层到第七层的数据进行检查,与包过滤防火墙相比,需要更高 的开销。
用户经过建立会话状态并通过认证及授权后,才能访问到受保护的网络。压力较大的情况下,代理服务器式防火墙工作很慢。 ISA可以看成是代理服务器式防火墙。
三、基于状态检测的防火墙
基于状态检测的防火墙检测每一个TCP、 UDP之类的会话连接。基于状态的会话包含特 定会话的源/目的地址、端口号、TCP序列号信息以及与此会话相关的其他标志信息。
基于状态检测的防火墙工作基于数据包、连接会话和一个基于状态的会话流表。基于状态检测的防火墙性能比包过滤防火墙和代理服务器式防火墙要高。