基于操作方法的防火墙类型都有哪些？

以下是基于功能和OSI模型的五种类型的防火墙：

1、包过滤式防火墙

组过滤防火墙充当网络层的检查点，将每个组的头信息与预定义的标准组进行比较。这些防火墙检查以下基于标头的信息：

1）目标和源IP地址。

2）程序包类型。

3）端口号。

4）网络协议。

这种类型的防火墙只分析表面细节，不打开数据包来查看有效负载。数据包过滤防火墙不考虑现有流量，并对每个数据包执行真空检查。数据包过滤防火墙适用于仅基于基本安全功能就可以保护自己免受现有威胁的小型企业。

数据包过滤防火墙的优点：

1）低成本。

2）快速数据包过滤和处理

3）精通过滤内部部门之间的流量。

4）资源消耗低。

5）对网络速度和用户环境的影响微乎其微。

6）多层防火墙策略中出色的第一道防线。

数据包过滤防火墙的缺点：

1）不要检查数据包有效载荷（实际数据）。

2）经验丰富的黑客很容易绕过。

3）无法筛选应用程序层。

4）由于每个数据包都是单独处理的，因此很容易受到IP欺诈攻击。

5）没有用户身份验证或日志记录功能。

6）设置和管理访问控制列表是一项挑战。

2、电路级网关

电路级网关运行在OSI会话级，本地主机和远程主机之间的传输控制协议（TCP）监控握手。您可以在不消耗大量资源的情况下快速批准或拒绝流量。然而，这些系统不检查软件包。TCP握手通过后，还会调用受恶意软件感染的请求。

电路级网关的优点：

1）仅处理请求的事务并拒绝所有其他流量。

2）易于安装和管理。

3）资源和成本效率。

4）强大的地址暴露保护。

5）对最终用户环境的影响很小。

网关在电路级别的缺点：

1）没有内容过滤，因此没有单独的解决方案。

2）通常，软件和网络协议需要调整。

3、状态检测防火墙

状态检测防火墙（或动态数据包过滤防火墙）监视来自网络和传输级别的数据包。这些类型的防火墙将数据包检测与TCP握手验证相结合。

状态检测防火墙维护一个表数据库，用于跟踪所有打开的连接，并允许系统检查现有流量。此数据库存储有关以下主要数据包的所有信息：

1）源IP。

2）源端口。

3）目标IP。

4）每个连接的目标端口。

新数据包到达后，防火墙将检查有效的连接表。检测到的数据包将在不进行进一步分析的情况下发送，防火墙将根据默认规则集评估故障流量。

状态检测防火墙的优点：

1）过滤流量将自动通过以前检查过的数据包。

2）在防止使用协议错误的攻击方面做得很好。

3）无需打开大量端口，允许流量进出，可以减少攻击面。

4）详细的日志记录功能对于数字取证非常有用。

5）减少端口扫描仪的曝光。

状态检测防火墙的缺点：

1）它比数据包过滤防火墙便宜。

2）正确设置它需要很高的技能。

3）它通常会影响性能并导致网络延迟。

4）不支持对欺骗性流量源进行身份验证。

5）易受来自现有连接的TCP洪泛攻击。