工善其事先利其器 企业防火墙选型指南

核心提示： 三、链路级防火墙这类防火墙不是简单的接受或拒绝数据包，它还根据一系列预定义规则来决定一个连接是否合法，工善其事先利其器 企业防火墙选型指南(3)，如果一切通过验证，防火墙会打开一个会话，对于企业来说，购买一个可以轻松升级到更高性能和更多新功能的产品，并允许指定源地址的数据通过防火墙进入网络

三、链路级防火墙

这类防火墙不是简单的接受或拒绝数据包，它还根据一系列预定义规则来决定一个连接是否合法。如果一切通过验证，防火墙会打开一个会话，并允许指定源地址的数据通过防火墙进入网络内部。这个通信只被允许在限定时间内进行。

图2、链路级防火墙

另外，这个防火墙还可以根据以下对象来执行连接验证，例如源IP地址或源端口，目的IP地址或目的端口，使用的协议，用户ID，密码和时间等等，多数情况下要根据几种条件的组合来进行验证。我们可以看出，包级别的过滤在这种防火墙中也可能发生。

主要优点：

·链路级防火墙通常比应用层防火墙更快，因为它们执行更少的操作;

·通过禁用特定互联网源地址与内部计算机的连接，链路级防火墙可以帮助保护整个网络;

·通过与网络地址解析联合使用，你可以使用链路级防火墙来阻止外部用户访问内部网络IP地址。

主要缺点：

·运行在传输层，因此必须要对传输函数编程进行比较大的修改。这可能影响到网络的性能和运行。

·链路级防火墙需要安装人员和维护人员具有一定的专业知识。

四、应用级防火墙

在这种防火墙实现方式中，防火墙的角色是一个应用程序代理，与远端系统实现所有数据交换。这种防火墙背后的设计思想是让所有服务器藏在防火墙后面，对远端系统不可见。

一个应用层防火墙可以根据特定规则来接受或拒绝通信。举个例子来说，这种防火墙可以允许某些命令被传送到一个服务器上，而拒绝其它命令。这个技术还可以被用来限制访问特定的文件类型，同样也可以为授权和未授权用户提供不同级别的访问级别。

图3、应用级防火墙

对于那些喜欢对网络流量进行详细监控和记录日志的用户来说，可能会比较喜欢应用层防火墙，因为使用应用防火墙实现这些功能非常简单，而且不会进一步影响性能。IT管理员可以设定一个应用层防火墙来实现在预定义事件发生的时候触发报警器和发出提示。应用程序网关一般被部署在一台单独的联网计算机上，人们通常称之为代理服务器。

除了上述三种类型的防火墙外，还有一种状态检查多级防火墙，这类防火墙通常由厂商作为“最佳品牌”解决方案来提供，目的是将前面几种防火墙的优点组合起来。状态防火墙可以执行网络包过滤，同时还可以识别和处理应用层的数据。这类防火墙通常可以提供超强网络保护，但是价格可能比较昂贵。

另外值得注意的是，多数防火墙厂商提供了一系列的辅助功能，来提供那些基本防火墙服务之外的功能。此类的功能包括反病毒保护，内容过滤，入侵防护和网络行为和使用报表。随着网络安全的迅速发展，对于企业来说，购买一个可以轻松升级到更高性能和更多新功能的产品，这是一个不错的观点。