防火墻有哪些體系結構

防火墻的體系結構主要有以下三種：

• 雙重宿主主機體系結構：雙重宿主主機體系結構是圍繞具有雙重宿主的主機計算機而構筑的，該計算機至少有兩個網絡接口，這樣的主機可以充當與這些接口相連的網絡之間的路由器，它能夠從一個網絡往另一個網絡發送數據包。

• 屏蔽主機體系結構：屏蔽主機體系結構中，提供安全保護的主機僅僅與被保護的內部網絡相連。

• 屏蔽子網體系結構：屏蔽子網體系結構添加額外的安全層到屏蔽主機體系結構，即通過添加周邊網絡更進一步地把內部網絡與Internet隔離開。

防火墻的實現技術有以下四種：

• 騙子過濾技術：工作在網絡層，通常基于IP數據包的源地址、目的地址、源端口和目的端口進行過濾.騙子濾技術是在網絡層對數據包進行選擇，選擇的依據是系統內設置的過濾邏輯，被稱為訪問控制列表。通過檢查數據流中每個數據包的源地址、目的地址、所用的端口號和協議狀態等因素或它們的組合，來確定是否允許該數據包通過。

• 代理服務技術：所謂代理服務器，是指代表客戶處理連接請求的程序。當代理服務器得到一個客戶的連接意圖時， 它將核實客戶請求， 并用特定的安全化的proxy應用程序來處理連接請求，將處理后的請求傳遞到真實的服務器上，然后接受服務器應答，并進行下一步處理后，將答復交給發出請求的最終客戶。代理服務器在外部網絡向內部網絡申請服務時發揮了中間轉接和隔離內、外部網絡的作用，所以又叫代理防火墻。代理防火墻工作于應用層，且針對特定的應用層協議。

• 狀態檢測技術：也稱為動態騙子濾防火墻。基于狀態檢測技術的防火墻通過一個在網關處執行網絡安全策略的檢測引擎而獲得非常好的安全特性，檢測引擎在不影響網絡正常運行的前提下，采用抽取有關數據的方法對網絡通信的各層實施檢測，并將抽取的狀態信息動態地保存起來作為以后執行安全策略的參考。狀態檢測防火墻監視和跟蹤每一個有效連接的狀態，并根據這些信息決定是否允許網絡數據包通過防火墻。

• NAT技術：網絡地址轉換， 是一個internet工程任務組的標準，允許一個整體機構以一個公用IP地址出現在互聯網上。即是一種把內部私有IP地址翻譯成合法網絡IP地址的技術。

回答所涉及的環境：聯想天逸510S、Windows 10。