网络规划设计师考点：防火墙的分类

（1）包过滤防火墙：通过查看数据包的源地址、目的地址或端口来实现的，由此不难看出这个层次的防火墙的优点和弱点，由于防火墙只是工作在OSI的第三层（网络层）和第四层（传输层），因此包过滤的防火墙的一个非常明显的优势就是速度，这是因为防火墙只是去检查数据报的报头，而对数据报所携带的内容没有任何形式的检查，因此速度非常快。与此同时，这种防火墙的缺点也是显而易见的，由于无法对数据报的内容进行核查，一次无法过滤或审核数据报的内容、无法提供描述细致事件的日志系统。

（2）代理型防火墙：应用型代理防火墙的优点是安全性较高。可以针对应用层进行侦测和扫描，对付基于应用层的侵入和病毒都十分有效。其缺点是对系统的整体性能有较大的影响，而且代理服务器必须针对客户机可能产生的所有应用类型逐一进行设置，大大增加了系统管理的复杂性。

（3）状态检测防火墙使用基于连接状态的检测机制，将通信双方之间交互的属于同一连接的所有报文都作为整个的数据流来对待。在状态检测防火墙看来，同一个数据流内的报文不再是孤立的个体，而是存在联系的。例如，为数据流的第一个报文建立会话，数据流内的后续报文就会直接匹配会话转发，不需要再进行规则的检查，提高了转发效率。

防火墙的体系结构：

配置的原则也就是靠近互联网的防火墙实行宽松政策（除了非禁止不可的都被许可），靠近内网的防火墙实行严格政策（除了非允许不可的都被禁止）。一般建议两台防火墙不是同一公司的产品，进一步增加安全性。