» 第一章  信息安全概述



                   （5）虚拟专用网（VPN，Virtual Private Network）
                   防火墙还支持具有Internet服务特性的企业内部网络技术体系VPN。通过VPN将企
               事业单位在地域上分布在全世界各地的LAN或专用子网，有机地联成一个整体。不仅
               省去了专用通信线路，而且为信息共享提供了技术保障。

                   2.类型
                   随着技术的进步和防火墙应用场景的不断延伸，现防火墙按照不同的使用场景主
               要可以分成以下四类。
                   （1）过滤防火墙

                   过滤防火墙，顾名思义，就是在计算机网络中起一个过滤的作用。这种防火墙会
               根据已经预设好的过滤规则，对在网络中流动的数据包进行过滤行为。如果符合过滤
               规则的数据包会被放行，如果数据包不满足过滤规则，就会被删除。数据包的过滤规
               则是基于数据包报审的特征的。防火墙通过检查数据包的源头IP地址，目的IP地址，

               数据包遵守的协议，端口号等特征来完成。第一代的防火墙就属于过滤防火墙。
                   （2）应用网关防火墙
                   已经介绍了的过滤防火墙在OSI七层协议中主要工作在数据链路层和IP层。与之

               不同的是，应用网关防火墙主要工作在最上层应用层。不仅如此，相比于基于过滤的
               防火墙来说，应用网关防火墙最大的特点是有一套自己的逻辑分析。基于这个逻辑分
               析，应用网关服务器在应用层上进行危险数据的过滤，分析内部网络应用层的使用协
               议，并且对计算机网络内部的所有数据包进行分析，如果数据包没有应用逻辑则不会
               被放行通过防火墙。

                   （3）服务防火墙
                   上述的两种防火墙都是应用在计算机网络中来阻挡恶意信息进入用户的电脑的。
               服务防火墙则有其他的应用场景，服务防火墙主要用于服务器的保护中。在现在的应

               用软件中，往往需要通过和服务器连接来获得完整的软件体验。所以服务防火墙也就
               应运而生。服务防火墙用来防止外部网络的恶意信息进入服务器的网络环境中。
                   （4）监控防火墙
                   如果说之前介绍的防火墙都是被动防守的话，那么监控防火墙则是不仅仅防守，

               还会主动出击。一方面，监控防火墙可以像传统的防火墙一样，过滤网络中的有害数
               据。另一方面，监控防火墙可以主动对数据进行分析和测试，得到网络中是否存在外
               部攻击。这种防火墙对内可以过滤，对外可以监控。从技术上来说，这是传统防火墙

               的重大升级。






                                                                                          • 13 •