防火墙分类

防火墙分类
    1、数据包过滤防火墙  2、应用成防火墙

1、数据包过滤防火墙
    我们假设这台计算机上共装有两块网卡，其让扮演路由器的角色。因此，当一个数据包从左边接口进入后，即由路由表引导到右边接口送出，接着，我们在其上运行数据包过滤防火墙的操作，而这个防火墙的位置位于路由表之后。从这个结构我们大概可以知道数据包过滤防火墙每一次执行检查的最小单位是“一个数据包”。

数据包过滤防火墙优缺点如下：
优点：由于数据包过滤防火墙的检查范围是一个数据包，因此，当一个数据包从左边接口进入后，在防火墙检查其无误之后，该数据包即可从右边接口送出，当然数据包从右边送出之后，就再也与防火墙无关了，因此，数据包过滤防火墙堆“内存”及“CPU性能”的要求较低。由此数据包防火墙的成本较低
缺点：因为数据包过滤防火墙的检查范围只有一个数据包，因此，数据包过滤防火墙无法对连接中的数据进行更精准的过滤操作。比如说，我们无法使用数据包过滤防火墙来检查一封电子邮件中是否由计算机病毒。

2、应用成防火墙
        数据包过滤防火墙是以路由方式将数据包转发到另一方，而应用层防火墙不是这样了，应用层防火墙不需要包含路由机制。 我们假设现在有一个SMTP协议的连接要穿过防火墙，当然这个连接上所有数据还原数据还是以一个个数据包单位的，当第一个数据包进入防火墙主机后，该数据包随即被一层一层地往上传递，最后这个数据包被应用层防火墙的应用程序过滤程序收到：第二个数据包进入防火墙主机之后，也是如此。其实该连接中的所有数据包都会被应用程序过滤程序收到。也就是说，应用程序过滤程序将会收到该连接的所有数据包。因此，应用程序过滤程序就可以把这些数据包重新封装的电子邮件。既然是电子邮件所携带的附件，当检查无误后，应用程序过滤程序再将这封电子邮件发送到它原来的目的地。

优点：因为应用层防火墙能够检查任何一个连接中的任何字节，因此应用成防火墙能够进行比数据包过滤防火墙更精确的过滤操作。
缺点：应用成防火墙必须将所有数据包保存下来，并将其还原成一条完整数据内容，因此应用层防火墙一定与“协议”有关。也就说，无法处理应用程序过滤进程
不支持的通信协议，因此，应用层防火墙的使用范围较小。