数据包过滤防火墙与应用程序级网关

没有人能否认，互联网的快速发展确实让世界变得更加紧密。但同时，它也带来了各种安全威胁。为了确保企业网络中的宝贵信息免受外部攻击的破坏，我们必须建立一些有效的机制来保障信息的保密性和完整性。这就是我们需要做的事情。防火墙开始发挥作用了。

这就像是一个站在部长家门口的保安一样。他负责监视每一个人，并对所有想要进入房子的人进行身体检查。如果有人携带了刀具、枪支等危险物品，那么他们就不会被允许进入。同样地，即使一个人并不携带任何违禁物品，但如果看起来很可疑，那么保安仍然可以阻止这个人进入。

防火墙的作用就像一道屏障。它保护着企业网络，充当着内部网络与外部世界之间的屏障。所有来自内部或外部的网络流量都必须经过防火墙的过滤。防火墙会决定这些流量是否可以被允许通过。防火墙可以通过硬件或软件来实现，或者两者结合使用。
 

Packet Filters –

• 它工作在OSI模型的网络层。它会根据IP头部和传输头部中的内容，对每個数据包应用一系列规则。然后根据这些规则的结果，来决定是转发还是丢弃该数据包。
• 数据包过滤防火墙根据数据包的源地址、目标地址或特定的传输协议类型来控制对数据包的访问。这种控制发生在OSI模型的数据链路层、网络层以及传输层。数据包过滤防火墙的工作原理是基于OSI模型的网络层。
• 数据包过滤器只关注每个数据包的最基本属性，因为它们不需要记住与流量相关的任何信息，因为每个数据包都是单独被处理的。因此，它们能够非常快速地决定数据包的流向。
• 例如，可以设置过滤器来阻止所有UDP数据包以及所有Telnet连接。这种配置方式可以防止外部人员通过Telnet登录到内部主机，同时也防止内部人员通过Telnet连接登录到外部主机。

应用程序网关 –

• 应用级网关也被称为堡垒主机。它运行在应用层。多个应用网关可以运行在同一台主机上，但每个网关都是独立的服务器，拥有自己的进程。
• 这些防火墙，也被称为应用程序代理，能够提供最安全的数据传输方式。因为它们能够检查通信过程中的每一层信息，包括应用程序中的数据。
• 以FTP服务为例。FTP命令包括获取文件、上传文件、列出文件以及将某个进程置于目录树中的特定位置等。有些系统管理员会禁止使用“put”命令，但允许使用“get”命令；或者只允许列出某些文件，或者禁止用户离开某个目录。代理服务器可以模拟这种协议交换的双方行为。例如，代理服务器可以接受“get”命令，但拒绝执行“put”命令。

其运作方式如下：

步骤1：用户通过TCP/IP协议，例如HTTP，与应用程序网关进行通信。

步骤2：应用程序网关会询问用户希望与哪个远程主机建立连接。此外，它还会要求用户提供用于访问该应用程序网关服务的用户名和密码。

步骤3：在确认了用户的身份真实性之后，应用网关会代表该用户访问远程主机，以发送数据包。

差异：