問：代理服務(wù)器防火墻和網(wǎng)關(guān)服務(wù)器防火墻之間有什么區(qū)別？分別應(yīng)該在什么情況下使用？

防火墻有三種基本的類型：包過濾防火墻，狀態(tài)監(jiān)測防火墻，和應(yīng)用代理防火墻。通常，人們喜歡用網(wǎng)關(guān)服務(wù)器防火墻的包過濾防火墻和狀態(tài)監(jiān)測防火墻。這三種防火墻的每一個都是建立在前一種上的，給企業(yè)網(wǎng)絡(luò)提供更強(qiáng)大的保護(hù)。下面是它們的工作原理：

•包過濾防火墻是可用防火墻技術(shù)中最基礎(chǔ)的。到達(dá)防火墻的各個網(wǎng)絡(luò)包，基于它的源IP、目的IP和端口來評估，以決定這些包是否允許通過防火墻。防火墻沒有任何關(guān)于活動連接的信息，所以每次收到包都是獨(dú)立決定是否允許通過。包過濾防火墻并不是很常見，這類技術(shù)的用戶通常寫一些規(guī)則運(yùn)行在他們的路由器上。

•狀態(tài)監(jiān)測防火墻是在當(dāng)今企業(yè)中部署最為常見的。他們建立在基于防火墻保持每個活動連接狀態(tài)信息的包過濾上。當(dāng)有一個新的包到達(dá)防火墻時，過濾機(jī)制首先檢查這個包是否是當(dāng)前活動連接（前面已經(jīng)授權(quán)過的）的一部分。只有當(dāng)這個包沒有出現(xiàn)在當(dāng)前的活動連接列表里時，防火墻才會以它的規(guī)則庫評估這個包。狀態(tài)監(jiān)測防火墻之所以如此常見，是因為：它們是效率最高、性價比最高的防火墻，并且廣泛適用于保護(hù)網(wǎng)絡(luò)的邊界。

•應(yīng)用代理防火墻超越狀態(tài)監(jiān)測防火墻在于它們并不允許任何包直接通過保護(hù)的系統(tǒng)。相反，防火墻在目的網(wǎng)絡(luò)創(chuàng)建一個代理連接，通過這個代理連接傳遞通信。代理防火墻通常包含高級應(yīng)用檢測能力，允許防火墻檢測尖端的應(yīng)用層攻擊，比如緩沖區(qū)溢出攻擊和SQL注入攻擊。應(yīng)用代理防火墻通常比狀態(tài)監(jiān)測防火墻貴很多，因而，它們通常僅僅用來保護(hù)數(shù)據(jù)中心、包含公開訪問的網(wǎng)絡(luò)和高價值的服務(wù)器。

選擇一個適合你們組織的防火墻需要考慮到預(yù)算、網(wǎng)絡(luò)上的系統(tǒng)類型和企業(yè)的風(fēng)險承受能力。欲了解更多此主題的內(nèi)容，請閱讀我的技巧專題：如何選擇防火墻。