防火墙原理

防火墙设置在不同网络或网络安全域之间，通过监测、限制、更改跨越防火墙的数据流，对外部屏蔽网络内部的信息、结构和运行状况，有选择地接受外部访问，对内部强化设备监管、控制对服务器和外部网络的访问，在被保护网络和外部网络之间架起一道屏障，以防止不可预测的、潜在的破坏性侵入。防火墙通常使用的安全控制手段主要有包过滤、应用代理、状态检测、深度检测。

防火墙类型
1、包过滤技术
包过滤防火墙也叫分组过滤防火墙， 工作在网络层(Network Layer)上，通过网络间互相连接的设备上加载允许、禁止来自某些特定的源地址、目的地址、端口号（FTP、HTTP、DNS等）及协议类型（TCP、UDP、ICMP、IGMP等）、标志位等规则，对通过设备的数据包进行检查，限制数据包进出内部网络。遵循最小特权原则，明确允许管理员希望通过的数据包，禁止其它数据包。
包过滤技术工作的地方就是各种基于TCP/IP协议的数据报文进出的通道，它把这两层作为数据监控的对象，对每个数据包的头部、协议、地址、端口、类型等信息进行分析，并与预先设定好的防火墙过滤规则(FilteringRule)进行核对，一旦发现某个包的某个或多个部分与过滤规则匹配并且条件为“阻止”的时候，这个包就会被丢弃。
2、应用代理技术
应用代理防火墙又叫应用网关防火墙，用代理服务器的方式运行于内联网络和外联网络之间，在应用层实现安全控制功能，起到内联网络和外联网络之间应用服务的转接作用。
代理服务器监听内联网络中主机的请求，当请求到达代理服务器后，代理服务器根据安全策略对数据包的首部和数据部分信息进行检查，检查之后将内联网络中的主机源地址改为自己的地址之后将这个数据包发给外部的目的主机，这样外部的主机接到的信息是来自于代理服务器而不是源主机。目的主机应答的数据包也将发送到代理服务器，经过代理服务器检查允许通过后，代理服务器将数据包的目的地址改为内联主机的地址，之后发往目的主机。类似于在内联网络和外联网络之间设置一个中转，外联网络并不清楚内联网络的拓补结构。