防火墙类型总结_电路级防火墙 和状态防火墙区别

PS：本文虽然标注是原创，不过基本都是对书本内容的整理摘录，所以不能完全算是原创，仅仅是笔者作为一个知识笔记。

这里是总结了《CCNP Security FIREWALL 642-618 Official Cert Guide》该书中的列举，在此除了参考该书，也参考了《Network Secuity Principles andPractices》，以及《CCNA SecurityOfficial Exam Certification Guide》的内容做为一并整理。

1.     参考《CCNA SecurityOfficial Exam Certification Guide》一书中的分类，该书中，是以防火墙发展的4个阶段进行分类的。（注：书中P325页，同时书中也给出了这四种防火墙的发展时间表）

• 静态包过滤防火墙（Static packet-filtering firewall）。该防火墙被描述为第一代防火墙，其工作在OSI模型的layer3，过滤的参数是静态设定的。其主要根据网络层和传输层的数据包头部，以及数据流的传输方向进行过滤。根据该描述，静态包过滤防火墙和Stateless Packet Filtering防火墙是一致的。由于是静态包过滤，所以该防火墙的效率也是比较高的。该防火墙也被称为无状态分组过滤防火墙，路由器中所使用的扩展ACL即是这种防火墙的典型。

• 电路级防火墙（Circuit-level firewall）。该防火墙被描述为第二代防火墙。其主要功能是作为TCP的中继，故因为工作机制类似中继，可能才被命名为Circuit-level。该防火墙主动截获TCP与被保护主机间的连接，并代表主机完成握手工作。当握手完成后，该防火墙负责检查只有属于该连接的数据分组才可以通过，而不属于该连接的则被拒绝。由于其只检查数据包是否属于该会话，而不验证数据包内容，所以其处理速率也是较快的。

• 应用级防火墙（Application layer firewall）。该防火墙被描述为第三代防火墙。其主要功能是在建立连接之前，基于应用层对数据进行验证。所有数据包的数据都在应用层被检测，并且维护了完整的连接状态以及序列信息。应用层防火墙还能够验证其他的一些安全选项，而且这些选项只能够在应用层完成，比如具体的用户密码以及服务请求。代理服务器防火墙应该属于应用级防火墙的一种具体实现。

• 动态包过滤防火墙（Dynamic packet-filtering firewall）。该防火墙被描述为第四代防火墙，其主要工作在OSI 3，4，5层上。这一代防火墙也被称为有状态（stateful）防火墙，其通过本地的状态监控表，用来追踪通过流量的各种信息。该信息可能包含：1.源/目的TCP和UDP端口号。2.TCP序列号。3.TCP标记。4.基于RFCedTCP状态机的TCP会话状态。5.基于计时器的UDP流量追踪。同时，有状态防火墙通常内置高级IP处理的特性，比如数据分片的重新组装以及IP选项的清楚或者拒绝。有状态防火墙甚至可以访问控制上层应用协议，比如FTP和HTTP协议，提供一种高层协议的过滤功能。

• 参考《CCNP Security FIREWALL 642-618Official Cert Guide》一书中，实际上给出了几种典型的防火墙类型，以及具体分析了其优缺点。

     静态包过滤防火墙（Stateless Packer Filter）