包過濾防火牆

特點：包過濾是指在網路層對每一個數據包進行檢查，根據配置的安全策略轉發或丟棄資料包。包過濾防火牆的基本原理是：通過配置訪問控制列表（ACL, Access Control List）實施資料包的過濾。主要基於資料包中的源/目的IP地址、源/目的埠號、IP 標識和報文傳遞的方向等資訊。

優點：設計簡單，易於實現，價格便宜。

缺點：

• 隨著ACL複雜度和長度的增加，其過濾效能呈指數下降趨勢
• 靜態的ACL規則難以適應動態的安全要求
• 包過濾不檢查會話狀態也不分析資料，這很容易讓黑客矇混過關。例如，攻擊者可以使用假冒地址進行欺騙，通過把自己主機IP地址設成一個合法主機IP地址，就能很輕易地通過報文過濾器

代理防火牆

特點：代理服務作用於網路的應用層，其實質是把內部網路和外部網路使用者之間直接進行的業務由代理接管。代理檢查來自使用者的請求，使用者通過安全策略檢查後，該防火牆將代表外部使用者與真正的伺服器建立連線，轉發外部使用者請求，並將真正伺服器返回的響應回送給外部使用者。

優點：能夠完全控制網路資訊的交換，控制會話過程，具有較高的安全性。

缺點：

• 軟體實現限制了處理速度，易於遭受拒絕服務攻擊
• 需要針對每一種協議開發應用層代理，開發週期長，而且升級困難

狀態檢測防火牆

特點：狀態檢測是包過濾技術的擴充套件。基於連線狀態的包過濾在進行資料包的檢查時，不僅將每個資料包看成是獨立單元，還要考慮前後報文的歷史關聯性。我們知道，所有基於可靠連線的資料流（即基於TCP協議的資料流）的建立都需要經過“客戶端同步請求”、“伺服器應答”以及“客戶端再應答”三個過程（即“三次握手”過程），這說明每個資料包都不是獨立存在的，而是前後有著密切的狀態聯絡的。基於這種狀態聯絡，從而發展出狀態檢測技術。

基本原理：

• 狀態檢測防火牆使用各種會話表來追蹤啟用的TCP（Transmission Control Protocol）會話和UDP（User Datagram Protocol）偽會話，由訪問控制列表決定建立哪些會話，資料包只有與會話相關聯時才會被轉發。其中UDP偽會話是在處理UDP協議包時為該UDP資料流建立虛擬連線（UDP是面對無連線的協議），以對UDP 連線過程進行狀態監控的會話。
• 狀態檢測防火牆在網路層截獲資料包，然後從各應用層提取出安全策略所需要的狀態資訊，並儲存到會話表中，通過分析這些會話表和與該資料包有關的後續連線請求來做出恰當決定。

優點：

• 後續資料包處理效能優異：狀態檢測防火牆對資料包進行ACL 檢查的同時，可以將資料流連線狀態記錄下來，該資料流中的後續包則無需再進行ACL檢查，只需根據會話表對新收到的報文進行連線記錄檢查即可。檢查通過後，該連線狀態記錄將被重新整理，從而避免重複檢查具有相同連線狀態的資料包。連線會話表裡的記錄可以隨意排列，與記錄固定排列的ACL 不同，於是狀態檢測防火牆可採用諸如二叉樹或雜湊（Hash）等演算法進行快速搜尋，提高了系統的傳輸效率。
• 安全性較高：連線狀態清單是動態管理的。會話完成後防火牆上所建立的臨時返回報文入口隨即關閉，保障了內部網路的實時安全。同時，狀態檢測防火牆採用實時連線狀態監控技術，通過在會話表中識別諸如應答響應等連線狀態因素，增強了系統的安全性。