防火墙的定义和分类

包过滤型防火墙：通过访问控制表，检查数据流中每个数据包的源地址、目的地址，所用的端口号、协议状态等因素，来确定是否允许该数据包通过。

应用网关防火墙：它工作在OSI模型的应用层，能针对特定的网络应用协议制定数据过滤规则。通过软件程序来传送和过滤Telnet和FIP这类网络服务，这类软件通常安装在专用工作站系统上，运行该程序的主机叫应用网关。这种技术参与到一个TCP连接的全过程，在应用层建立协议过滤和转发功能，故叫应用层网关。

代理服务器防火墙：它工作在OSI模型的应用层，主要使用代理技术来阻断内部网络和外部网络之间的通信，达到隐藏内部网络的目的。（相当于一个中介来担当中间人，负责传递信息，而两者不互相见面，也就不了解真实情况）

状态监测防火墙：它也被称作自适应防火墙或动态包过滤防火墙。这种防火墙能通过状态检测技术动态记录、维护各个连接的协议状态，并且在网络层和IP之间插入一个检测模块，对IP包的信息进行拆分检测（比如IP包中的协议，源地址）来对比先前制定的策略，以确定是否允许通过。

自适应代理防火墙：它可根据用户的安全策略，动态适应传输中的分组流量（比如优先级和安全级来确定流量），它整合了动态包过滤防火墙技术和应用代理技术，本质上说是状态监测防火墙。

防火墙的作用是：

防火墙是指设置在不同网络（如可信任的企业内部网和不可信的公共网）或网络安全域之间的一系列部件的组合。它可通过监测、限制、更改跨越防火墙的数据流，尽可能地对外部屏蔽网络内部的信息、结构和运行状况，以此来实现网络的安全保护。

在逻辑上，防火墙是一个分离器，一个限制器，也是一个分析器，有效地监控了内部网和Internet之间的任何活动，保证了内部网络的安全。

包过滤防火墙工作在网络协议IP层，它只对IP包的源地址、目标地址及相应端口进行处理，因此速度比较快，能够处理的并发连接比较多，缺点是对应用层的攻击无能为力。

代理服务器防火墙将收到的IP包还原成高层协议的通讯数据，比如http连接信息，因此能够对基于高层协议的攻击进行拦截。缺点是处理速度比较慢，能够处理的并发数比较少。

代理服务器是防火墙技术的发展方向，众多厂商都在提高处理速度的同时基于代理开发防火墙的更高级防护功能。

但是现在总的来说还是包过滤的防火墙更普遍一些，因为很多代理功能的已经被服务器取代叻！

---