叙述防火墙的作用，比较几种不同类型防火墙的优缺点。

●试题五

【答案】防火墙是设置在被保护网络和外部网络之间的一道屏障，以防止发生不可预测的、潜在破坏性的侵入。它可通过监测、限制、更改跨越防火墙的数据流，尽可能地对外部屏蔽网络内部的信息、结构和运行状况，以此来实现网络的安全保护。

根据防范的方式和侧重点的不同，防火墙可分为三大类：

1.数据包过滤

数据包过滤(Packet Filtering)技术是在网络层对数据包进行选择。数据包过滤防火墙逻辑简单，价格便宜，易于安装和使用，网络性能和透明性好。它的缺点有两点：一是非法访问一旦突破防火墙，即可对主机上的软件和配置漏洞进行攻击；数据包的源地址、目的地址以及IP的端口号都在数据包的头部，很有可能被窃听或假冒。

2.应用级网关

应用级网关(Application Level Gateways)是在网络应用层上建立协议过滤和转发功能。数据包过滤和应用级网关防火墙有一个共同的特点，就是它们仅仅依靠特定的逻辑判定是否允许数据包通过。一旦满足逻辑，则防火墙内外的计算机系统建立直接联系，防火墙外部的用户便有可能直接了解防火墙内部的网络结构和运行状态，这有利于实施非法访问和攻击。

3.代理服务

代理服务(Proxy Service)，也有人将它归于应用级网关一类。它是针对数据包过滤和应用级网关技术存在的缺点而引入的防火墙技术，其特点是将所有跨越防火墙的网络通信链路分为两段。防火墙内外计算机系统间应用层的“链接”，由两个终止代理服务器上的“链接”来实现，外部计算机的网络链路只能到达代理服务器，从而起到了隔离防火墙内外计算机系统的作用。此外，代理服务也对过往的数据包进行分析，注册登记，形成报告，同时当发现被攻击迹象时向网络管理员发出警报，并保留攻击痕迹及其应用层代理服务数据控制及传输过程。

上述三种方式中，应用级网关和代理服务方式的防火墙大多是基于主机的，价格比较贵，但性能好，其安装和使用也比数据包过滤的防火墙复杂。