1、什么是防火墙？防火墙有哪些类型？
防火墙的概念
防火墙(firewall)是一项协助确保信息安全的设备，会依照特定的规则，允许或是限制
传输的数据通过。防火墙由软件和硬件设备组合而成，它可以是一台专属的硬件也可以是架
设在一般硬件上的一套软件。在内部网和外部网之间、专用网与公共网之间的界面上构造保
护屏障，使Internet与Intranet之间建立起一个安全网关（Security Gateway），从而保
护内部网免受非法用户的侵入。防火墙主要由服务访问规则、验证工具、包过滤和应用网关
4个部分组成，计算机流入流出的所有网络通信和数据包均要经过防火墙。防火墙最基本的
功能就是隔离网络，通过将网络划分成不同的区域（ZONE），制定出不同区域之间的访问控
制策略来控制不同信任程度区域间传送的数据流，同时对流经它的网络通信进行扫描，这样
能够过滤掉一些攻击，以免其在目标计算机上被执行。防火墙还可以关闭不使用的端口。而
且还能禁止特定端口的流出通信，封锁特洛伊木马，也可以禁止来自特殊站点的访问，从而
防止来自不明入侵者的所有通信。
防火墙的类型
从防火墙的软、硬件形式划分，防火墙可以分为软件防火墙和硬件防火墙以及芯片级防
火墙。
(1) 软件防火墙
软件防火墙运行于特定的计算机上，它需要客户预先安装好的计算机操作系统的支持，
一般来说这台计算机就是整个网络的网关。俗称“个人防火墙”。软件防火墙就像其它的软
件产品一样需要先在计算机上安装并做好配置才可以使用。例如Sygate Fireware、天网防
火墙等。
(2) 硬件防火墙
硬件防火墙基于硬件平台的网络防预系统，与芯片级防火墙相比并不需要专门的硬件。
目前市场上大多数防火墙都是这种硬件防火墙，他们基于PC架构。
(3) 芯片级防火墙
芯片级防火墙基于专门的硬件平台，没有操作系统。专有的ASIC芯片促使它们比其他
种类的防火墙速度更快，处理能力更强，性能更高。例如NetScreen、FortiNet、Cisco等。
这类防火墙由于是专用OS（操作系统），防火墙本身的漏洞比较少，不过价格相对比较高昂。
从防火墙的技术来分的话，防火墙可以分为包过滤型、应用代理型
(1) 包过滤（Packet filtering）型
包过滤型防火墙工作在OSI网络参考模型的网络层和传输层，它根据数据包头源地址，
目的地址、端口号和协议类型等标志确定是否允许通过。只有满足过滤条件的数据包才被转
发到相应的目的地，其余数据包则从数据流中被丢弃。
(2) 应用代理（Application Proxy）型
应用代理型防火墙是工作在OSI的最高层，即应用层。其特点是完全“阻隔”了网络通
信流，通过对每种应用服务编制专门的代理程序，实现监视和控制应用层通信流的作用。
以作用的TCP/IP堆栈区分，主要分为网络层防火墙和应用层防火墙两种，但也有些防
火墙是同时运作于网络层及应用层。
(1) 网络层防火墙
网络层防火墙可视为一种 IP 封包过滤器，运作在底层的TCP/IP协定堆栈上。以列举
的方式，只允许符合特定规则的封包通过，其余的一概禁止穿越防火墙。这些规则通常可以
经由管理员定义或修改，不过某些防火墙设备可能只能套用内建的规则。也能以另一种较宽
松的角度来制定防火墙规则，只要封包不符合任何一项“否定规则”就予以放行。现在的操
作系统及网络设备大多已内建防火墙功能。
(2) 应用层防火墙
应用层防火墙是在TCP/IP堆栈的“应用层”上运作，使用浏览器时所产生的信息流或是使
用 FTP 时的信息流都是属于这一层。应用层防火墙可以拦截进出某些应用程式的所有封包。
理论上，这一类的防火墙可以完全阻绝外部的信息流进到受保护的计算机里。防火墙借由监
测所有的封包并找出不符规则的属性，可以防范电脑蠕虫或是木马程式的快速蔓延。不过就
实作而言，这个方法耗费计算机资源，同时会减缓计算机的运行速度，所以现在大部分的防
火墙都不会考虑以这种方法设计。