防火牆作為網際網路與內網之間的資安系統,較為專業的使用方式是以硬體(一台專屬的網路裝置),或是擁有兩個以上網路介面的電腦負責,若是個人的防火牆則通常為執行在主機上的內建程式(e.g., Windows Firewall Defender)。
根據TCP/IP的網路架構或是OSI架構,可以將防火牆分為網路層防火牆與應用層防火牆。
網路層防火牆(aka 封包過濾型防火牆):
網路層防火牆的管理方法是根據企業預先設定好的ACL,只有符合規則的封包可以通過。在此應用機制之下還可以分為狀態感知(Stateful)與無狀態感知(Stateless)。
關於網路連線性質的描述包括連線前後的資訊(e.g., 來源IP、目的地IP、埠號)與連線狀態Session (e.g., 連線初始化、交握中、傳輸中或完成連線) 。
狀態感知防火牆就是利用紀錄與追蹤連線狀態的內容,也就是只要收到的封包經確認仍屬於現存連線的內容而非新要求的連線,就會直接核准兩端的網路通訊來加速封包過濾處理。
無狀態感知防火牆因為沒有記錄連線狀態的內容,每一筆封包都必須依照ACL的規定進行篩選是否能夠允許該封包的通過。
應用層防火牆、代理型防火牆(Proxy firewall)、閘道式防火牆(Gateway firewall):
應用層防火牆則是針對OSI架構裡的應用層進行控管,控管的對象不是網路裡傳送的封包,而是運行中的程式所發出或接收的封包。client端上受列管的應用服務程式會和代理主機連接再通過這個代理伺服器去與外部的網路進行傳輸。
note: 代理型防火牆勢必為一個代理伺服器,但反之則不成立。
另外補充架構上的防火牆定義:
主機型防火牆、雙介面主機防火牆-
於防火牆主機內利用兩片網路卡將內外部網路連線隔離。
屏蔽式主機防火牆-
於防火牆主機前端加裝一個屏蔽路由器,當外部網路的封包進入防火牆時,路由器先檢查封包是否滿足既定的過濾規則,通過後才再交由主機針對網路服務層的驗證。
屏蔽式子網路防火牆-
在屏蔽式主機架構下,多安裝一個對內的路由器。此種架構會由多台主機與兩個路由器組成。第一個路由器的任務就是做屏蔽式主機防火牆的事情,第二個路由器則專責管理內部網路的資料封包,加強資安的防護。