安全網(wǎng)關(guān)是各種技術(shù)有趣的融合，具有重要且獨特的保護作用，其范圍從協(xié)議級過濾到十分復(fù)雜的應(yīng)用級過濾。防火墻主要有三類： 分組過濾 電路網(wǎng)關(guān) 應(yīng)用網(wǎng)關(guān) 
  注意：三種中只有一種是過濾器，其余都是網(wǎng)關(guān)。 這三種機制通常結(jié)合使用。過濾器是映射機制，可區(qū)分合法的和欺騙包。每種方法都有各自的能力和限制，要根據(jù)安全的需要仔細(xì)評價。
1、包過濾器 
  包過濾是安全映射最基本的形式，路由軟件可根據(jù)包的源地址、目的地址或端口號建立許可權(quán)， 對眾所周知的端口號的過濾可以阻止或允許網(wǎng)際協(xié)議如FTP、rlogin等。過濾器可對進入和/或流出的數(shù)據(jù)操作， 在網(wǎng)絡(luò)層實現(xiàn)過濾意味著路由器可以為所有應(yīng)用提供安全映射功能。作為（邏輯意義上的）路由器的常駐部分， 這種過濾可在任何可路由的網(wǎng)絡(luò)中自由使用，但不要把它誤解為萬能的，包過濾有很多弱點，但總比沒有好。 
  包過濾很難做好，尤其當(dāng)安全需求定義得不好且不細(xì)致的時候更是如此。這種過濾也很容易被攻破。包過濾比較每個數(shù)據(jù)包， 基于包頭信息與路由器的訪問列表的比較來做出通過/不通過的決定，這種技術(shù)存在許多潛在的弱點。首先， 它直接依賴路由器管理員正確地編制權(quán)限集，這種情況下，拼寫的錯誤是致命的， 可以在防線中造成不需要任何特殊技術(shù)就可以攻破的漏洞。即使管理員準(zhǔn)確地設(shè)計了權(quán)限，其邏輯也必須毫無破綻才行。 雖然設(shè)計路由似乎很簡單，但開發(fā)和維護一長套復(fù)雜的權(quán)限也是很麻煩的， 必須根據(jù)防火墻的權(quán)限集理解和評估每天的變化，新添加的服務(wù)器如果沒有明確地被保護，可能就會成為攻破點。 
  隨著時間的推移，訪問權(quán)限的查找會降低路由器的轉(zhuǎn)發(fā)速度。每當(dāng)路由器收到一個分組， 它必須識別該分組要到達目的地需經(jīng)由的下一跳地址，這必將伴隨著另一個很耗費CPU的工作： 檢查訪問列表以確定其是否被允許到達該目的地。訪問列表越長，此過程要花的時間就越多。
包過濾的第二個缺陷是它認(rèn)為包頭信息是有效的，無法驗證該包的源頭。 頭信息很容易被精通網(wǎng)絡(luò)的人篡改， 這種篡改通常稱為“欺騙”。
包過濾的種種弱點使它不足以保護你的網(wǎng)絡(luò)資源，最好與其它更復(fù)雜的過濾機制聯(lián)合使用，而不要單獨使用。
2、鏈路網(wǎng)關(guān) 
  鏈路級網(wǎng)關(guān)對于保護源自私有、安全的網(wǎng)絡(luò)環(huán)境的請求是很理想的。這種網(wǎng)關(guān)攔截TCP請求，甚至某些UDP請求， 然后代表數(shù)據(jù)源來獲取所請求的信息。該代理服務(wù)器接收對萬維網(wǎng)上的信息的請求，并代表數(shù)據(jù)源完成請求。實際上， 此網(wǎng)關(guān)就象一條將源與目的連在一起的線，但使源避免了穿過不安全的網(wǎng)絡(luò)區(qū)域所帶來的風(fēng)險。
3 什么是網(wǎng)關(guān) 
  這種方式的請求代理簡化了邊緣網(wǎng)關(guān)的安全管理，如果做好了訪問控制，除了代理服務(wù)器外所有出去的數(shù)據(jù)流都被阻塞。 理想情況下，此服務(wù)器有唯一的地址，不屬于任何內(nèi)部使用的網(wǎng)段。這絕對使無意中微妙地暴露給不安全區(qū)域的信息量最小化， 只有代理服務(wù)器的網(wǎng)絡(luò)地址可被外部得到，而不是安全區(qū)域中每個聯(lián)網(wǎng)的計算機的網(wǎng)絡(luò)地址。
3、應(yīng)用網(wǎng)關(guān) 
  應(yīng)用網(wǎng)關(guān)是包過濾最極端的反面。包過濾實現(xiàn)的是對所有穿過網(wǎng)絡(luò)層包過濾設(shè)備的數(shù)據(jù)的通用保護， 而應(yīng)用網(wǎng)關(guān)在每個需要保護的主機上放置高度專用的應(yīng)用軟件，它防止了包過濾的陷阱，實現(xiàn)了每個主機的堅固的安全。
應(yīng)用網(wǎng)關(guān)的一個例子是病毒掃描器，這種專用軟件已經(jīng)成了桌面計算的主要產(chǎn)品之一。它在啟動時調(diào)入內(nèi)存并駐留在后臺， 持續(xù)地監(jiān)視文件不受已知病毒的感染，甚至是系統(tǒng)文件的改變。 病毒掃描器被設(shè)計用于在危害可能產(chǎn)生前保護用戶不受到病毒的潛在損害。
這種保護級別不可能在網(wǎng)絡(luò)層實現(xiàn)，那將需要檢查每個分組的內(nèi)容，驗證其來源，確定其正確的網(wǎng)絡(luò)路徑， 并確定其內(nèi)容是有意義的還是欺騙性的。這一過程將產(chǎn)生無法負(fù)擔(dān)的過載，嚴(yán)重影響網(wǎng)絡(luò)性能。
4、組合過濾網(wǎng)關(guān) 
  使用組合過濾方案的網(wǎng)關(guān)通過冗余、重疊的過濾器提供相當(dāng)堅固的訪問控制，可以包括包、鏈路和應(yīng)用級的過濾機制。 這樣的安全網(wǎng)關(guān)最普通的實現(xiàn)是象崗哨一樣保護私有網(wǎng)段邊緣的出入點，通常稱為邊緣網(wǎng)關(guān)或防火墻。 這一重要的責(zé)任通常需要多種過濾技術(shù)以提供足夠的防衛(wèi)。下圖所示為由兩個組件構(gòu)成的安全網(wǎng)關(guān)：一個路由器和一個處理機。 結(jié)合在一起后，它們可以提供協(xié)議、鏈路和應(yīng)用級保護。 
  這種專用的網(wǎng)關(guān)不象其它種類的網(wǎng)關(guān)一樣，需要提供轉(zhuǎn)換功能。作為網(wǎng)絡(luò)邊緣的網(wǎng)關(guān)，它們的責(zé)任是控制出入的數(shù)據(jù)流。 顯然的，由這種網(wǎng)關(guān)聯(lián)接的內(nèi)網(wǎng)與外網(wǎng)都使用IP協(xié)議，因此不需要做協(xié)議轉(zhuǎn)換，過濾是最重要的。 
  保護內(nèi)網(wǎng)不被非授權(quán)的外部網(wǎng)絡(luò)訪問的原因是顯然的?？刂葡蛲庠L問的原因就不那么明顯了。在某些情況下， 是需要過濾發(fā)向外部的數(shù)據(jù)的。例如，用戶基于瀏覽的增值業(yè)務(wù)可能產(chǎn)生大量的WAN流量，如果不加控制， 很容易影響網(wǎng)絡(luò)運載其它應(yīng)用的能力，因此有必要全部或部分地阻塞此類數(shù)據(jù)。 
  聯(lián)網(wǎng)的主要協(xié)議IP是個開放的協(xié)議，它被設(shè)計用于實現(xiàn)網(wǎng)段間的通信。這既是其主要的力量所在，同時也是其最大的弱點。 為兩個IP網(wǎng)提供互連在本質(zhì)上創(chuàng)建了一個大的IP網(wǎng)， 保衛(wèi)網(wǎng)絡(luò)邊緣的衛(wèi)士--防火墻--的任務(wù)就是在合法的數(shù)據(jù)和欺騙性數(shù)據(jù)之間進行分辨。
5、實現(xiàn)中的考慮 
  實現(xiàn)一個安全網(wǎng)關(guān)并不是個容易的任務(wù),其成功靠需求定義、仔細(xì)設(shè)計及無漏洞的實現(xiàn)。首要任務(wù)是建立全面的規(guī)則， 在深入理解安全和開銷的基礎(chǔ)上定義可接受的折衷方案，這些規(guī)則建立了安全策略。 
  安全策略可以是寬松的、嚴(yán)格的或介于二者之間。在一個極端情況下，安全策略的基始承諾是允許所有數(shù)據(jù)通過，例外很少， 很易管理，這些例外明確地加到安全體制中。這種策略很容易實現(xiàn)，不需要預(yù)見性考慮，保證即使業(yè)余人員也能做到最小的保護。 另一個極端則極其嚴(yán)格，這種策略要求所有要通過的數(shù)據(jù)明確指出被允許，這需要仔細(xì)、著意的設(shè)計，其維護的代價很大， 但是對網(wǎng)絡(luò)安全有無形的價值。從安全策略的角度看，這是唯一可接受的方案。在這兩種極端之間存在許多方案，它們在易于實現(xiàn)、 使用和維護代價之間做出了折衷，正確的權(quán)衡需要對危險和代價做出仔細(xì)的評估。