防火墙技术基础知识大全

合集下载

简述防火墙的主要技术

简述防火墙的主要技术防火墙是一种网络安全设备，用于保护计算机网络免受恶意攻击和未经授权的访问。

它利用一系列技术来检测和阻止不安全的网络流量，以确保网络的安全性和可靠性。

以下将对防火墙的主要技术进行简述。

1. 包过滤技术（Packet Filtering）：包过滤是防火墙最基本也是最常用的技术之一。

它通过检查数据包的源地址、目标地址、端口号、协议类型等信息来决定是否允许通过。

包过滤可以根据预先设定的规则来过滤流量，例如，只允许特定IP地址的数据包通过或者禁止特定端口的访问。

2. 状态检测技术（Stateful Inspection）：状态检测是包过滤技术的进一步发展。

它不仅仅根据单个数据包的信息来决定是否允许通过，还会维护一个连接的状态表来判断是否是合法的流量。

状态检测可以更好地处理复杂的网络连接，如TCP连接的建立、终止和数据传输过程。

3. 应用层网关（Application Gateway）：应用层网关是防火墙的一种高级形式，它能够深入应用层协议进行检查和过滤。

应用层网关可以分析和过滤应用层协议的数据，如HTTP、FTP、SMTP等，并根据预先定义的策略来控制应用层流量。

这种技术可以对特定应用程序进行细粒度的访问控制，提高安全性和灵活性。

4. VPN隧道技术（VPN Tunneling）：VPN隧道技术通过在公共网络上建立安全的隧道，将数据进行加密和封装，从而实现远程访问和分支机构之间的安全通信。

防火墙可以支持VPN隧道技术，允许受信任的用户通过加密通道访问内部网络资源，同时保护数据的机密性和完整性。

5. 网络地址转换（Network Address Translation，NAT）：NAT技术允许将内部网络的私有IP地址转换为公共IP地址，以实现内部网络与外部网络的通信。

防火墙可以通过NAT技术来隐藏内部网络的真实IP地址，增加网络的安全性。

此外，NAT还可以实现端口映射，将外部请求转发到内部服务器，提供互联网服务。

计算机网络安全基础_第08章_防火墙技术

因为网络中每一个用户所需要的服务和信息经常是不一样的，它们对安全保障的要求也不一样，所以我们可以将网络组织结构的一部分与其余站点隔离（比如，财务部分要与其它部分分开）。
2019年8月26日3时16分
计算机网络安全基础
8.1 防火墙基本概念
1．试验网络
在大多数情况下，应该在内部防火墙中设置这样的
网络，并给每个试验网络配置一台路由器并连接到参数
网络。而主要的包过滤工作在连接参数网络与内部主网
的路由器上完成。
2019年8月26日3时16分
计算机网络安全基础
8.1 防火墙基本概念
2．低保密网络试验网络比较危险，但它对整个内部网的安全构成
的威胁还不是最大的。而许多内部网组织结构里面的资源本身就固有一些非安全因素。比如，校园网中那些包含学生公寓网点的部分就被认为是不安全的，单位企业网中的那些演示网部分、客户培训网部分和开放实验室网部分都被认为是安全性比较差的。但这些网又比纯粹的外部网与内部网其它部分的交互要多得多。这些网络称为低保密网。
2019年8月26日3时16分
计算机网络安全基础
8.1 防火墙基本概念
内部网需要防范的三种攻击有：间谍：试图偷走敏感信息的黑客、入侵者和闯入者。盗窃：盗窃对象包括数据、Web表格、磁盘空间和CPU 资源等。破坏系统：通过路由器或主机／服务器蓄意破坏文件系统或阻止授权用户访问内部网（外部网）和服务器。
2019年8月26日3时16分
计算机网络安全基础
8.1 防火墙基本概念
8.1.6 内部防火墙
但有时为了某些原因，我们还需要对内部网的部分站点再加以保护以免受其它站点的侵袭。因此，有时我们需要在同一结构的两个部分之间，或者在同一内部网的两个不同组织结构之间再建立防火墙（也被称为内部防火墙）。

《防火墙技术》PPT课件

• 了解恶意进攻手段
现代信息安全系统
•现代信息安全系统＝
–防火墙 –＋合适的安全策略 –＋全体人员的参与
防火墙的应用设计原则
• Affordability
– 我准备为安全支付多少费用?
• Functionality
– 我是否还能使用我的资源?
• Cultural Compatibility
– 是否符合人们的工作方式?
地址翻译-NAT(一)
• RFC1918规定了私有地址
– 下面三类地址不能用于Internet主机地址
地址翻译-NAT(二)
• 实现方式
– 静态地址翻译 – 动态地址翻译 – 端口地址翻译(PAT)
• 优点：节约地址资源，有一定的安全保护作用
• 缺点：有些服务不能支持
NAT-静态地址翻译
NAT-端口地址翻译
• 两种缺省选择
– 没有被明确允许的即为禁止 – 没有被明确禁止的即为允许
防火墙的安全策略
• 防火墙的物理安全 • 防火墙的认证加密 • 防火墙的过滤策略 • 防火墙的预警能力 • 防火墙的记录设置
名词解释
• 堡垒主机（Bastion Host）
– 一个高度安全的计算机系统。通常是暴露于外部网络，作为连接内部网络用户的桥梁，易受攻击。
回路层代理服务
全状态检测(Stateful Inspection)
Application Presentation
Session Transport Network DataLink Physical
Application Presentation
Session Transport Network
– TCP or UDP

常用网络防火墙管理命令与技巧(五)

常用网络防火墙管理命令与技巧随着网络安全威胁的不断增加，网络防火墙成为保护企业和个人信息安全的关键设备之一。

网络防火墙管理命令和技巧是网络安全人员必备的知识和技能。

本文将介绍一些常用的网络防火墙管理命令和技巧，以帮助读者更好地保护网络安全。

一、防火墙基础知识在介绍网络防火墙管理命令和技巧之前，我们首先来了解一些防火墙的基础知识。

防火墙是一种网络安全设备，通过过滤和控制网络流量来保护网络免受未经授权的访问和攻击。

防火墙的主要功能包括网络流量过滤、访问控制、入侵检测和阻止、虚拟专用网络（VPN）等。

二、常用管理命令1. 查看防火墙状态：通过命令"show firewall"或"showsecurity policy"可以查看当前防火墙的状态，包括已配置的策略、连接状态和其他相关信息。

2. 添加和删除防火墙策略：通过命令"set firewall policy"可以添加或修改防火墙策略，通过命令"delete firewall policy"可以删除已有的防火墙策略。

3. 配置网络地址转换（NAT）：通过命令"set firewall nat"可以配置网络地址转换，将内部IP地址映射为外部可公开访问的IP地址，以保护内部网络的安全。

4. 管理入侵检测系统（IDS）：通过命令"set security ips"可以配置入侵检测系统，对网络中的异常流量进行识别和阻止，以防止潜在的攻击。

三、常用管理技巧1. 命令行快捷键：在配置防火墙时，使用命令行界面是一个高效的方式。

掌握一些常用的命令行快捷键，如Tab键自动补全命令、Ctrl+C中断执行、Ctrl+Z挂起执行等，可以提高工作效率。

2. 使用正则表达式：正则表达式是一种强大的文本模式匹配工具，在防火墙管理中可以用于配置策略、过滤日志等。

例如，通过使用正则表达式可以迅速过滤出指定源IP或目标端口的网络流量。

防火墙技术介绍

请求
Intranet
真实的客户端
代理的工作方式
两种防火墙技术
返回本节
状态监视器防火墙
（1）状态监视器防火墙的工作原理
这种防火墙安全特性非常好，它采用了一个在网关上执行网络安全策略的软件引擎，称之为检测模块。检测模块在不影响网络正常工作的前提下，采用抽取相关数据的方法对网络通信的各层实施监测，抽取部分数据，即状态信息，并动态地保存起来作为以后指定安全决策的参考。
3．灵活的代理系统代理系统是一种将信息从防火墙的一侧传送到另一侧的
软件模块。第四代防火墙采用了两种代理机制，一种用于代理从内部网络到外部网络的连接，另一种用于代理从外部网络到内部网络的连接。前者采用网络地址转换（NAT）技术来解决，后者采用非保密的用户定制代理或保密的代理系统技术来解决。
4．多级的过滤技术为保证系统的安全性和防护水平，第四代防火墙采用了
图 2 防火墙技术的简单发展历史
返回本节
设置防火墙的目的和功能
（1）防火墙是网络安全的屏障（2）防火墙可以强化网络安全策略（3）对网络存取和访问进行监控审计（4）防止内部信息的外泄
返回本节
防火墙的局限性
（1）防火墙防外不防内。（2）防火墙难于管理和配置，易造成安全漏洞。（3）很难为用户在防火墙内外提供一致的安全策略。（4）防火墙只实现了粗粒度的访问控制。
（2）状态监视器防火墙的优缺点状态监视器的优点： ① 检测模块支持多种协议和应用程序，并可以很
容易地实现应用和服务的扩充。 ② 它会监测RPC和UDP之类的端口信息，而包过
滤和代理网关都不支持此类端口。 ③ 性能坚固状态监视器的缺点： ① 配置非常复杂。 ② 会降低网络的速度。

第 9 章防火墙技术

1. 包过滤
包过滤又称"报文过滤" 它是防火墙传统的, 包过滤又称"报文过滤",它是防火墙传统的,最基本的过滤技术. 的过滤技术.防火墙的包过滤技术就是通过对各种网络应用,通信类型和端口的使用来规定安全规则. 络应用,通信类型和端口的使用来规定安全规则.根据数据包中包头部分所包含的源IP地址目的IP地址地址, 地址, 据数据包中包头部分所包含的源地址,目的地址, 协议类型( 协议类型(TCP包,UDP包,ICMP包)源端口,目包包包源端口, 的端口及数据包传递方向等信息, 的端口及数据包传递方向等信息,对通信过程中数据进行过滤,允许符合事先规定的安全规则(或称" 进行过滤,允许符合事先规定的安全规则(或称"安全策略" 的数据包通过, 全策略")的数据包通过,而将那些不符合安全规则的数据包丢弃. 的数据包丢弃. 防火墙的网络拓扑结构可简化为图9.1所示所示. 防火墙的网络拓扑结构可简化为图所示.在网络结构中防火墙位于内,外部网络的边界,防火墙作为内, 构中防火墙位于内,外部网络的边界,防火墙作为内, 外部网络的惟一通道,所有进, 外部网络的惟一通道,所有进,出的数据都必须通过防火墙来传输, 防火墙来传输,有效地保证了外部网络的所有通信请求都能在防火墙中进行过滤. 求都能在防火墙中进行过滤.
今天的黑客技术可以容易地攻陷一个单纯的包过滤式的防火墙. 滤式的防火墙.黑客们对包过滤式防火墙发出一系列信息包,这些包中的IP地址已经被替换一系列信息包,这些包中的地址已经被替换为一串顺序的IP地址地址( ).一旦有一为一串顺序的地址(Fake IP).一旦有一 ). 个包通过了防火墙,黑客便可以用这个IP地址个包通过了防火墙,黑客便可以用这个地址来伪装他们发出的信息.另外, 来伪装他们发出的信息.另外,黑客们还可使用一种他们自己编制的路由器攻击程序, 用一种他们自己编制的路由器攻击程序,这种程序使用路由器协议来发送伪造的路由信息, 程序使用路由器协议来发送伪造的路由信息, 这样所有的包都会被重新路由到一个入侵者所指定的特别地址. 指定的特别地址.

防火墙简介网络工程师考试必备知识点优选版

知识点优选版防火墙一、防火墙的基本类型：1、包过滤防火墙。

2、应用网关防火墙。

3、代理服务器防火墙。

4、状态检测防火墙。

1、包过滤防火墙通常直接转发报文，它对用户完全透明，速度较快。

包过滤防火墙可以根据数据包中的各项信息来控制站点与站点、站点与网络、网络与网络之间的相互访问，但无法控制传输数据的内容，因为内容是应用层数据，而包过滤器处在传输层和网络层。

包过滤防火墙只管从哪里来，管不了来的是什么内容。

数据包过滤防火墙的缺点有二：一是非法访问一旦突破防火墙，即可对主机上的软件和配置漏洞进行攻击；二是数据包的源地址、目的地址以及IP的端口号都在数据包的头部，很有可能被窃听或假冒。

2、状态检测防火墙。

也叫自适应防火墙，动态包过滤防火墙。

他具备包过滤防火墙的一切优点，具备较好的DoS攻击和DDoS攻击防御能力，缺点是对应用层数据进行控制，不能记录高层次日志。

3、应用网关防火墙。

是在网络应用层上建立协议过滤和转发功能。

它针对特定的网络应用服务协议使用指定的数据过滤逻辑，并在过滤的同时，对数据包进行必要的分析、登记和统计，形成报告。

实际中的应用网关通常安装在专用工作站系统上。

数据包过滤和应用网关防火墙有一个共同的特点，就是它们仅仅依靠特定的逻辑判定是否允许数据包通过。

一旦满足逻辑，则防火墙内外的计算机系统建立直接联系，防火墙外部的用户便有可能直接了解防火墙内部的网络结构和运行状态，这有利于实施非法访问和攻击。

应用网关也采用了过滤的机制，因此存在让Internet 上的用户了解内部网络的结构和运行状态的可能。

4、代理服务器防火墙。

主要使用代理技术来阻断内部网络和外部网络之间的通信，达到隐蔽内部网络的目的。

外部计算机的网络链路只能到达代理服务器，从而起到了隔离防火墙内外计算机系统的作用。

此外，代理服务也对过往的数据包进行分析、注册登记，形成报告，同时当发现被攻击迹象时会向网络管理员发出警报，并保留攻击痕迹。

防火墙能有效地防止外来的入侵，它在网络系统中的作用是：控制进出网络的信息流向和信息包；提供使用和流量的日志和审计；隐藏内部IP地址及网络结构的细节；另外防火墙引起或IE浏览器出现故障，也可导致可以正常连接，但不能打开网页。

防火墙的常用三种技术

防火墙的常用三种技术导读：我根据大家的需要整理了一份关于《防火墙的常用三种技术》的内容，具体内容：关于防火墙常用的三种技术你们知道是哪三个吗?如果不知道的话，下面就由我来带大家学习一下防火墙的三种常用技术吧。

：1.包过滤技术包过滤是最早使用的一种防火墙技术，...关于防火墙常用的三种技术你们知道是哪三个吗?如果不知道的话，下面就由我来带大家学习一下防火墙的三种常用技术吧。

：1.包过滤技术包过滤是最早使用的一种防火墙技术，它的第一代模型是"静态包过滤"(Static Packet Filtering)，使用包过滤技术的防火墙通常工作在OSI 模型中的网络层(Network Layer)上，后来发展更新的"动态包过滤"(Dynamic Packet Filtering)增加了传输层(Transport Layer)，简而言之，包过滤技术工作的地方就是各种基于TCP/IP协议的数据报文进出的通道，它把这两层作为数据监控的对象，对每个数据包的头部、协议、地址、端口、类型等信息进行分析，并与预先设定好的防火墙过滤规则(Filtering Rule)进行核对，一旦发现某个包的某个或多个部分与过滤规则匹配并且条件为"阻止"的时候，这个包就会被丢弃。

适当的设置过滤规则可以让防火墙工作得更安全有效，但是这种技术只能根据预设的过滤规则进行判断，一旦出现一个没有在设计人员意料之中的有害数据包请求，整个防火墙的保护就相当于摆设了。

也许你会想，让用户自行添加不行吗?但是别忘了，我们要为是普通计算机用户考虑，并不是所有人都了解网络协议的，如果防火墙工具出现了过滤遗漏问题，他们只能等着被入侵了。

一些公司采用定期从网络升级过滤规则的方法，这个创意固然可以方便一部分家庭用户，但是对相对比较专业的用户而言，却不见得就是好事，因为他们可能会有根据自己的机器环境设定和改动的规则，如果这个规则刚好和升级到的规则发生冲突，用户就该郁闷了，而且如果两条规则冲突了，防火墙该听谁的，会不会当场"死给你看"(崩溃)?也许就因为考虑到这些因素，至今我没见过有多少个产品会提供过滤规则更新功能的，这并不能和杀毒软件的病毒特征库升级原理相提并论。

1、下载文档前请自行甄别文档内容的完整性，平台不提供额外的编辑、内容补充、找答案等附加服务。
2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
3、如文档侵犯您的权益，请联系客服反馈,我们会尽快为您处理(人工客服工作时间：9:00-18:30)。

防火墙技术基础知识大全什么是防火墙?防火墙是一个或一组在两个网络之间执行访问控制策略的系统，包括硬件和软件，目的是保护网络不被可疑的人侵扰。

本质上，它遵从的是一种允许或阻止业务来往的网络通信安全机制，也就是提供可控的过滤网络通信，只允许授权的通讯。

下面就让小编带你去看看防火墙基础知识运用大全，希望对你有所帮助吧网络安全中的防火墙技术?网络安全与防火墙的关系是目标和手段的关系，保障网络及业务系统的安全是目标，使用防火墙执行访问控制拦截不该访问的请求是手段。

要达成安全的目标，手段多种多样，需要组合使用，仅有防火墙是远远不够的。

狭义的防火墙通常指网络层的硬件防火墙设备，或主机层的防火墙软件，一般基于五元组(源IP、源端口、目标IP、目标端口、传输协议)中的部分要素进行访问控制(放行或阻断)。

广义的防火墙，还包括Web应用防火墙(Web Application Firewall，简称WAF)，主要功能是拦截针对WEB应用的攻击，如SQL 注入、跨站脚本、命令注入、WEBSHELL等，产品形态多种多样。

此外，还有NGFW(下一代防火墙)，但这个下一代的主要特性(比如往应用层检测方向发展等)基本没有大规模使用，暂不展开。

在笔者看来，在当前防火墙基础上扩展的下一代防火墙，未必就是合理的发展方向，主要原因之一就是HTTPS的普及，让网络层设备不再具备应用层的检测与访问控制能力。

也正是基于这个考虑，Janusec打造的WAF网关，可用于HTTPS的安全防御、负载均衡、私钥加密等。

网络安全之最全防火墙技术详解一、安全域防火墙的安全域包括安全区域和安全域间。

安全区域在防火墙中，安全区域(Security Zone)，简称为区域(zone)，是一个或多个接口的组合，这些接口所包含的用户具有相同的安全属性。

每个安全区域具有全局唯一的安全优先级，即不存在两个具有相同优先级的安全区域。

设备认为在同一安全区域内部发生的数据流动是可信的，不需要实施任何安全策略。

只有当不同安全区域之间发生数据流动时，才会触发防火墙的安全检查，并实施相应的安全策略。

安全域间任何两个安全区域都构成一个安全域间(Interzone)，并具有单独的安全域间视图，大部分的防火墙配置都在安全域间视图下配置。

例如：配置了安全区域 zone1 和 zone2，则在 zone1 和 zone2 的安全域间视图中，可以配置ACL 包过滤功能，表示对zone1 和zone2 之间发生的数据流动实施 ACL 包过滤。

在安全域间使能防火墙功能后，当高优先级的用户访问低优先级区域时，防火墙会记录报文的IP、v__ 等信息，生成一个流表。

当报文返回时，设备会查看报文的IP、v__ 等信息，因为流表里记录有发出报文的信息，所以有对应的表项，返回的报文能通过。

低优先级的用户访问高优先级用户时，默认是不允许访问的。

因此，把内网设置为高优先级区域，外网设置为低优先级区域，内网用户可以主动访问外网，外网用户则不能主动访问内网。

基于安全域的防火墙的优点传统的交换机/路由器的策略配置通常都是围绕报文入接口、出接口展开的，随着防火墙的不断发展，已经逐渐摆脱了只连接外网和内网的角色，出现了内网/外网/DMZ(Demilitarized Zone)的模式，并且向着提供高端口密度的方向发展。

在这种组网环境中，传统基于接口的策略配置方式给网络管理员带来了极大的负担，安全策略的维护工作量成倍增加，从而也增加了因为配置引入安全风险的概率。

除了复杂的基于接口的安全策略配置，某些防火墙支持全局的策略配置，全局策略配置的缺点是配置粒度过粗，一台设备只能配置同样的安全策略，满足不了用户在不同安全区域或者不同接口上实施不同安全策略的要求，使用上具有明显的局限性。

基于安全域的防火墙支持基于安全区域的配置方式，所有攻击检测策略均配置在安全区域上，配置简洁又不失灵活性，既降低网络管理员配置负担，又能满足复杂组网情况下针对安全区域实施不同攻击防范策略的要求。

二、防火墙工作模式为了增加防火墙组网的灵活性，设备不再定义整个设备的工作模式，而是定义接口的工作模式，接口的工作模式如下：路由模式：如果设备接口具有IP 地址通过三层与外连接，则认为该接口工作在路由模式下。

透明模式：如果设备接口无IP 地址通过二层对外连接，则认为该接口工作在透明模式下。

如果设备既存在工作在路由模式的接口(接口具有IP 地址)，又存在工作在透明模式的接口(接口无IP 地址)，则认为该设备工作在混合模式下。

1、路由模式当设备位于内部网络和外部网络之间，同时为设备与内部网络、外部网络相连的接口分别配置不同网段的IP 地址，并重新规划原有的网络拓扑结构。

如图所示，规划了 2 个安全区域：Trust 区域和 Untrust 区域，设备的Trust 区域接口与公司内部网络相连，Untrust区域接口与外部网络相连。

需要注意的是，Trust 区域接口和Untrust 区域接口分别处于两个不同的子网中。

当报文在三层区域的接口间进行转发时，根据报文的IP 地址来查找路由表。

此时设备表现为一个路由器。

但是，与路由器不同的是，设备转发的IP 报文还需要进行过滤等相关处理，通过检查会话表或ACL 规则以确定是否允许该报文通过。

除此之外，防火墙还需要完成其它攻击防范检查。

采用路由模式时，可以完成ACL(Access Control List)包过滤、ASPF 动态过滤等功能。

然而，路由模式需要对网络拓扑结构进行修改，例如，内部网络用户需要更改网关，路由器需要更改路由配置等。

进行网络改造前，请权衡利弊。

2、透明模式如果设备工作在透明模式，则可以避免改变拓扑结构。

此时，设备对于子网用户来说是完全透明的，即用户感觉不到设备的存在。

设备透明模式的典型组网方式如图所示。

设备的 Trust 区域接口与公司内部网络相连，Untrust 区域接口与外部网络相连。

需要注意的是， Trust 区域接口和 Untrust 区域接口必须处于同一个子网中。

采用透明模式时，只需在网络中像放置网桥(bridge)一样插入设备即可，无需修改任何已有的配置。

IP 报文同样会经过相关的过滤检查，内部网络用户依旧受到防火墙的保护。

如图所示，安全区域 A 和 B 在同一网段且有数据交互，连接安全区域 A 和 B 的接口分别加入 VLAN A 和 VLAN B，且必须加入 VLAN A 和 VLAN B 的组成的桥接组，当防火墙在这两个透明模式的接口间转发报文时，需要先进行VLAN 桥接，将报文入VLAN 变换为出VLAN，再根据报文的 MAC 地址查 MAC 表找到出接口。

此时设备表现为一个透明网桥。

但是，设备与网桥不同，设备转发的IP 报文还需要送到上层进行过滤等相关处理，通过检查会话表或ACL 规则以确定是否允许该报文通过。

此外，防火墙还需要完成其它攻击防范检查。

说明：要求两个工作在透明模式且有数据交互的接口，必须加入到不同的 VLAN 中;同时，这两个接口必须加入同一个 VLAN 桥接组中，而且只能加入一个桥接组。

设备在透明模式的接口上进行MAC 地址学习，在透明模式的接口间转发报文时，通过查 MAC 表进行二层转发。

3、设备的混合模式如果设备既存在工作在路由模式的接口(接口具有IP 地址)，又存在工作在透明模式的接口(接口无IP 地址)，则认为设备工作在混合模式下。

网络 A 和 B 是不同的网段，设备连接网络 A 和 B 的接口是三层接口，对 A 和 B 之间的报文要进行路由转发;网络 C 和 D 是相同网段，设备连接网络 C 和 D 的接口是二层接口，对 C 和 D 之间的报文要进行 VLAN 桥接和二层转发。

三、包过滤防火墙包过滤防火墙的基本原理是：通过配置ACL 实施数据包的过滤。

实施过滤主要是基于数据包中的 IP 层所承载的上层协议的协议号、源/目的 IP 地址、源/目的端口号和报文传递的方向等信息。

透明防火墙模式下，还可以根据报文的源/目的 MAC 地址、以太类型等进行过滤。

包过滤应用在防火墙中，对需要转发的数据包，先获取数据包的包头信息，然后和设定的ACL 规则进行比较，根据比较的结果决定对数据包进行转发或者丢弃。

设备对包过滤防火墙的支持普通 IP 报文过滤：防火墙基于访问控制列表 ACL 对报文进行检查和过滤。

防火墙检查报文的源/目的IP 地址、源/目的端口号、协议类型号，根据访问控制列表允许符合条件的报文通过，拒绝不符合匹配条件的报文。

防火墙所检查的信息来源于 IP、 TCP 或 UDP 包头。

二层报文过滤：透明防火墙可以基于访问控制列表ACL 对二层报文进行检查和过滤。

防火墙检查报文的源/目的MAC、以太类型字段，根据访问控制列表允许符合条件的报文通过，拒绝不符合匹配条件的报文。

防火墙所检查的信息来源于 MAC 头。

分片报文过滤：包过滤提供了对分片报文进行检测过滤的支持。

包过滤防火墙将识别报文类型，如：非分片报文、首片分片报文、后续分片报文，对所有类型的报文都做过滤。

对于首片分片报文，设备根据报文的三层信息及四层信息，与ACL 规则进行匹配，如果允许通过，则记录首片分片报文的状态信息，建立后续分片的匹配信息表。

当后续分片报文到达时，防火墙不再进行ACL 规则的匹配，而是根据首片分片报文的 ACL 匹配结果进行转发。

另外，对于不匹配 ACL 规则的报文，防火墙还可以配置缺省处理方式。

四、状态防火墙包过滤防火墙属于静态防火墙，目前存在的问题如下：对于多通道的应用层协议(如 FTP、 SIP 等)，部分安全策略配置无法预知。

无法检测某些来自传输层和应用层的攻击行为(如TCP SYN、Java Applets 等)。

无法识别来自网络中伪造的ICMP 差错报文，从而无法避免ICMP 的恶意攻击。

对于 TCP 连接均要求其首报文为 SYN 报文，非 SYN 报文的 TCP 首包将被丢弃。

在这种处理方式下，当设备首次加入网络时，网络中原有TCP 连接的非首包在经过新加入的防火墙设备时均被丢弃，这会对中断已有的连接。

因此，提出了状态防火墙——ASPF(Application Specific Packet Filter)的概念。

ASPF 能够实现的检测有：应用层协议检测，包括FTP、HTTP、SMTP、RTSP、H.323(Q.931、 H.245、 RTP/RTCP)检测;传输层协议检测，包括 TCP 和 UDP 检测，即通用 TCP/UDP 检测。

ASPF 的功能ASPF 的主要功能如下：能够检查应用层协议信息，如报文的协议类型和端口号等信息，并且监控基于连接的应用层协议状态。

对于所有连接，每一个连接状态信息都将被ASPF 维护，并用于动态地决定数据包是否被允许通过防火墙进入内部网络，以阻止恶意的入侵。