523防火璃 应用级防火墙:在应用层实 防火墙的分岁现,实现方士 中是 IP级防火墙 优点 IP级防火墙:在IP层实现的,也称为 缺点 包过滤型防火墙,主要通过路由器及 应用级防 过滤器来完成对外界计算机访问内部 网络的限制,也可以指定或限制内部 优缺 网络访问因特网。包过滤器是运行在 路由器上的一个软件,它能阻止IP包 状态监测 任意通过路由器。网管应预先配置包 过滤器的过滤条件,包括源地址、目 优点 的地址及各种网络服务。凡是满足过 缺点:多少滤条件的P数据包都会被过滤掉。11 5.2.3 防火墙技术 防火墙的分类 IP级防火墙 • 优点：对用户透明，速度快。 • 缺点：没有用户使用记录，不能防止IP地址盗用. 应用级防火墙 • 优点：能详细记录所有访问状态信息，更安全可靠. • 缺点：当内部网络终端较多时，访问效率较低。 状态监测防火墙 • 优点：能监测无连接状态 • 缺点：多少要影响网络速度，配置较复杂 应用级防火墙：在应用层实 现 ，实现方式有许多种，其 中最常见的方法是通过代理服 务器（也称为应用网关）。 状态监测防火墙：在不影响网 络正常运行的情况下，通过监 测引擎抽取状态，并动态保存 起来作为执行安全策略的参考。 当用户的访问请求到达网关的 操作系统前，由状态监视器抽 取有关数据进行分析，然后结 合网络的安全配置和安全规定 做出相应的处理动作。 IP级防火墙：在IP层实现的，也称为 包过滤型防火墙，主要通过路由器及 过滤器来完成对外界计算机访问内部 网络的限制，也可以指定或限制内部 网络访问因特网。包过滤器是运行在 路由器上的一个软件，它能阻止IP包 任意通过路由器。网管应预先配置包 过滤器的过滤条件，包括源地址、目 的地址及各种网络服务。凡是满足过 滤条件的IP数据包都会被过滤掉