19 | 防火墙：如何和黑客“划清界限”？

防火墙分类

包过滤防火墙

原理：工作在网络层和传输层。通过检测并拦截所有流经防火墙的TCP和UDP数据包对系统提供保护

特点：一般不需要采购额外的设备部署，只需要直接对网络边界的路由器进行设置即可

缺点：防护能力比较弱，只能提供最基础的安全防护

 

应用网关防火墙

原理：接受客户端发出的请求，然后以客户端的身份将请求再发往服务器。以代理的模式工作在应用层

特点：能处理的信息最多，能够提供农的安全防护能力也最强

缺点：对网络的性能、系统可用性产生影响；无法有效追踪请求来源

 

状态检测防护墙

原理：工作在网络层和传输层上。以链接的形式来看待低层级的TCP和UDP数据包

特点：能获得更优的性能且市场上采用最多

防火墙能为边界提供的保护

保护操作系统的漏洞

阻止非法的信息流动

限制可访问的服务和审计

防火墙的盲区

不能防御已授权服务中的恶意攻击

不能防御不通过防火墙的访问

不能防御防火墙自身操作系统存在的缺陷