防火墙的分类与作用 浅论防火墙技术应用

核心提示： 包过滤路由器的优点，大多数防火墙配置成无状态的包过滤路由器，防火墙的分类与作用 浅论防火墙技术应用(3)，因而实现包过滤几乎没有任何耗费，另外，当然，应用层网关的最大的局限性在于它需要用户或者改变其性能，它对用户和应用来说是透明的，每台主机无需安装特定的软件

包过滤路由器的优点，大多数防火墙配置成无状态的包过滤路由器，因而实现包过滤几乎没有任何耗费。另外，它对用户和应用来说是透明的，每台主机无需安装特定的软件，使用起来比较方便。

包过滤路由器的局限性在于定义包过滤是个复杂的工作，网络管理员需要对各种因特网服务、包头格式以及希望在每一个城找到的特定的值有足够的了解：面对复杂的过滤需求，过滤规则将是一个冗长而复杂、不易理解和管理的集合，同样也很难测试规则的正确性；任何直接通过路由器的包都可能被利用做为发起一个数据驱动的攻击；随着过滤数目的增加，将降低路由器包的吞吐量，同时耗费更多CPU的时间而影响系统的性能；再者IP包过滤难以进行行之有效的流量控制，因为它可以许可或拒绝一个特定的服务，但无法理解一个特定服务的内容或数据。

2、应用层网关

应用层网关允许网络管理员实施一个较包过滤路由器更为严格的安全策略，为每一个期望的应用服务在其网关上安装专用的代码（一个代理服务），同时，代理代码也可以配置成支持一个应用服务的某些特定的特性。对应用服务的访问都是通过访问相应的代理服务实现的，而不允许用户直接登录到应用层网关（Bastion Host）。

应用层网关安全性的提高是以购买同关硬件平台的费用为代价，网关的配置将降低对用户的服务水平，但增加了安全配置上的灵活性。

应用层网关的好处，在于它授予网络管理员对每一个服务的完全控制权，由代理服务限制了命令集合和哪一台内部主机支持相应的服务。同时，网络管理员对支持哪些服务可以完全控制。另外，应用层网关支持强的用户认证、提供详细的日志信息、以及较包过滤路由器更易于配置和测试的过滤规则。

当然，应用层网关的最大的局限性在于它需要用户或者改变其性能，或者在需要访问代理服务的系统上安装特殊的软件。