包过滤路由器对IP地址、TCP或UDP分组头信息进行检查与过滤,以确定是否与设备的过滤规则匹配,继而决定该数据包按照路由表中的信息被转发或被丢弃。包过滤方式的主要优点是仅一个关键位置设置一个包过滤路由器就可以保护整个网络,而且包过滤对用户是透明的,不必在用户机上再安装特定的软件。包过滤也有它的缺点和局限性,如包过滤的规则配置比较复杂,而且几乎没有什么工具能对过滤规则的正确性进行测试;包过滤也元法查出具有数据驱动攻击这一类潜在危险的数据包;另外,随着过滤器数目的增加,路由器的吞吐量会下降,从而影响网络性能。
应用层网关也就是通常所说的代理服务器。代理服务器运行在Internet和Intranet之间,当收到用户对某站点的访问请求后,会检查该请求是否符合规定。若规则允许用户访问该站的话,代理服务器便以客户身份去那个站点取回所需信息再转发给客户o因此代理服务器会像一堵墙一样挡在内部用户和外界之间,从外部只能看到该代理服务器而无法获知任何内部资料,诸如用户的IP地址等。应用层网关比单一的包过滤更为可靠,而且会详细记录所有的访问状态信息。但是应用层网关也存在一些不足之处,首先因为它不允许用户直接访问网络,会使访问速度变慢;而且应用层网关需要对每一个特定的Internet服务器安装相应的代理服务软件,用户不能使用未被服务器支持的服务,对每一类服务要使用特殊的客户端软件;更不幸的是,并不是所有的Internet应用软件都可以使用代理服务器。
电路层网关是一种特殊的功能,它也可以由应用层网关来完成。电路层网关只依赖于TCP连接,并不进行任何附加的包处理或过滤。在Telnet的连接中,电路层网关简单地进行了中继,并不做任何审查、过滤或协议管理。它只在内部连接和外部连接之间来回拷贝字节,但隐藏受保护网络的有关信息。电路层网关常用于对外连接,此时假设网络管理员对其内部用户是信任的。它的优点是主机可以被设置成混合网关,对于内连接它支持应用层或代理服务,而对于外连接它支持电路层功能。这样,使得防火墙系统对于要访问Internet服务的内部用户来说使用起来很方便,同时又能提供保护内部网络免于外部攻击的防火墙功能。
