問(wèn)：代理服務(wù)器防火墻和網(wǎng)關(guān)服務(wù)器防火墻之間有什么區(qū)別？分別應(yīng)該在什么情況下使用？

防火墻有三種基本的類(lèi)型：包過(guò)濾防火墻，狀態(tài)監(jiān)測(cè)防火墻，和應(yīng)用代理防火墻。通常，人們喜歡用網(wǎng)關(guān)服務(wù)器防火墻的包過(guò)濾防火墻和狀態(tài)監(jiān)測(cè)防火墻。這三種防火墻的每一個(gè)都是建立在前一種上的，給企業(yè)網(wǎng)絡(luò)提供更強(qiáng)大的保護(hù)。下面是它們的工作原理：

•包過(guò)濾防火墻是可用防火墻技術(shù)中最基礎(chǔ)的。到達(dá)防火墻的各個(gè)網(wǎng)絡(luò)包，基于它的源IP、目的IP和端口來(lái)評(píng)估，以決定這些包是否允許通過(guò)防火墻。防火墻沒(méi)有任何關(guān)于活動(dòng)連接的信息，所以每次收到包都是獨(dú)立決定是否允許通過(guò)。包過(guò)濾防火墻并不是很常見(jiàn)，這類(lèi)技術(shù)的用戶(hù)通常寫(xiě)一些規(guī)則運(yùn)行在他們的路由器上。

•狀態(tài)監(jiān)測(cè)防火墻是在當(dāng)今企業(yè)中部署最為常見(jiàn)的。他們建立在基于防火墻保持每個(gè)活動(dòng)連接狀態(tài)信息的包過(guò)濾上。當(dāng)有一個(gè)新的包到達(dá)防火墻時(shí)，過(guò)濾機(jī)制首先檢查這個(gè)包是否是當(dāng)前活動(dòng)連接（前面已經(jīng)授權(quán)過(guò)的）的一部分。只有當(dāng)這個(gè)包沒(méi)有出現(xiàn)在當(dāng)前的活動(dòng)連接列表里時(shí)，防火墻才會(huì)以它的規(guī)則庫(kù)評(píng)估這個(gè)包。狀態(tài)監(jiān)測(cè)防火墻之所以如此常見(jiàn)，是因?yàn)椋核鼈兪切首罡?、性?xún)r(jià)比最高的防火墻，并且廣泛適用于保護(hù)網(wǎng)絡(luò)的邊界。

•應(yīng)用代理防火墻超越狀態(tài)監(jiān)測(cè)防火墻在于它們并不允許任何包直接通過(guò)保護(hù)的系統(tǒng)。相反，防火墻在目的網(wǎng)絡(luò)創(chuàng)建一個(gè)代理連接，通過(guò)這個(gè)代理連接傳遞通信。代理防火墻通常包含高級(jí)應(yīng)用檢測(cè)能力，允許防火墻檢測(cè)尖端的應(yīng)用層攻擊，比如緩沖區(qū)溢出攻擊和SQL注入攻擊。應(yīng)用代理防火墻通常比狀態(tài)監(jiān)測(cè)防火墻貴很多，因而，它們通常僅僅用來(lái)保護(hù)數(shù)據(jù)中心、包含公開(kāi)訪(fǎng)問(wèn)的網(wǎng)絡(luò)和高價(jià)值的服務(wù)器。

選擇一個(gè)適合你們組織的防火墻需要考慮到預(yù)算、網(wǎng)絡(luò)上的系統(tǒng)類(lèi)型和企業(yè)的風(fēng)險(xiǎn)承受能力。欲了解更多此主題的內(nèi)容，請(qǐng)閱讀我的技巧專(zhuān)題：如何選擇防火墻。