網絡上的數據都是以包為單位進行傳輸的，每一個數據包中都會包含一些特定的信息，如數據的源地址、目標地址、源端口號和目標端口號等。防火墻通過讀取數據包中的地址信息來判斷這些包是否來自可信任的網絡，并與預先設定的訪問控制規則進行比較，進而確定是否需對數據包進行處理和操作。數據包過濾可以防止外部不合法用戶對內部網絡的訪問，但由于不能檢測數據包的具體內容，所以不能識別具有非法內容的數據包，無法實施對應用層協議的安全處理。來個丑圖解釋下：

包過濾優點

（1）一個過濾路由器能協助保護整個網絡。絕大多數Internet防火墻系統只用一個包過濾路由器；
（2）過濾路由器速度快、效率高。執行包過濾所用的時間很少或幾乎不需要什么時間，由于過濾路由器只檢查報頭相應的字段，一般不查看數據報的內容，而且某些核心部分是由專用硬件實現的，如果通信負載適中且定義的過濾很少的話，則對路由器性能沒有多大影響；
（3）包過濾路由器對終端用戶和應用程序是透明的。當數據包過濾路由器決定讓數據包通過時，它與普通路由器沒什么區別，甚至用戶沒有認識到它的存在，因此不需要專門的用戶培訓或在每主機上設置特別的軟件。

包過濾缺點

（1）定義包過濾器可能是一項復雜的工作。因為網管員需要詳細地了解Internet各種服務、包頭格式和他們在希望每個域查找的特定的值。
（2）路由器信息包的吞吐量隨過濾器數量的增加而減少。路由器被優化用來從每個包中提取目的IP地址、查找一個相對簡單的路由表，而后將信息包順向運行到適當轉發接口。如果過濾可執行，路由器還必須對每個包執行所有過濾規則。這可能消耗CPU的資源，并影響一個完全飽和的系統性能。
（3）不能徹底防止地址欺騙。大多數包過濾路由器都是基于源IP地址、目的IP地址而進行過濾的，而IP地址的偽造是很容易、很普遍的。
（4）一些應用協議不適合于數據包過濾。即使是完美的數據包過濾，也會發現一些協議不很適合于經由數據包過濾安全保護。如RPC、X- Window和FTP。而且服務代理和HTTP的鏈接，大大削弱了基于源地址和源端口的過濾功能。
（5）正常的數據包過濾路由器無法執行某些安全策略。例如，數據包說它們來自什么主機，而不是什么用戶，因此，我們不能強行限制特殊的用戶。同樣地，數據包說它到什么端口，而不是到什么應用程序，當我們通過端口號對高級協議強行限制時，不希望在端口上有別的指定協議之外的協議，而不懷好意的知情者能夠很容易地破壞這種控制。
（6）一些包過濾路由器不提供任何日志能力，直到闖入發生后，危險的封包才可能檢測出來。它可以阻止非法用戶進入內部網絡，但也不會告訴我們究竟都有誰來過，或者誰從內部進入了外部網絡。

應用代理

代理服務器是指代表內網用戶向外網服務器進行連接請求的服務程序。代理服務器運行在兩個網絡之間，它對于客戶機來說就像是一臺真的服務器，而對于外網的服務器來說，它又是一臺客戶機。基本工作過程：
客戶機將請求發給代理服務器，代理服務器根據請求向服務器索取數據，然后將索取到的數據轉發給我們的客戶機。代理防火墻工作原理來個丑圖展示下：

應用代理優點

（1）代理服務器提供緩存功能，大部分信息在服務器上有緩存，這樣在提交重復請求時可以從緩存獲取信息而不必再次進行網絡連接，提高網絡性能。
（2）外聯主機無法看清內部網絡，阻止了一切對內部網絡的探測活動
（3）代理服務可以提供各種用戶身份認證手段，加強服務的安全性。
（4）代理服務位于應用層，提供了詳細的日志記錄，有助于分析。
（5）代理技術的過濾規則比包過濾的過濾規則簡單

應用代理缺點

（1）在訪問數據流量大的情況下，代理技術會增加訪問的延遲。
（2）應用層代理不能支持所有的協議
（3）對操作系統有明顯依賴性，必須基于某個特定的系統和協議

網絡IP地址轉換（NAT）

網絡IP地址轉換是一種將私有IP地址轉化為公網IP地址的技術，它被廣泛應用于各種類型的網絡和互聯網中。網絡IP地址轉換一方面可隱藏內部網絡的真實IP地址，使內部網絡免受黑客的直接攻擊，另一方面由于內部網絡使用了私有IP地址，從而有效解決了公網IP 地址不足的問題。丑圖走一波：

如果在NAT模式的基礎上需要實現外部網絡訪問內部網絡服務的需求時，還可以使用地址/端口映射（MAP）技術，在防火墻上進行地址/端口映射配置，當外部網絡用戶需要訪問內部服務時，防火墻將請求映射到內部服務器上；當內部服務器返回相應數據時，防火墻再將數據轉發給外部網絡。使用地址/端口映射技術實現了外部用戶能夠訪問內部服務，但是外部用戶無法看到內部服務器的真實地址，只能看到防火墻的地址，增強了內部服務器的安全性。

審核編輯：彭菁