傳統防火墻保護哪些層

防火墻的工作原理是通過設置安全策略，來進行安全防護。傳統防火墻工作層次3、4、5、7層（七層模型）。所以傳統防火墻保護3、4、5、7層。防火墻是部署在網絡出口處/服務器區(數據中心）/廣域網接入，用于防止外界黑客攻擊/保護內部網絡安全性的安全硬件。

傳統防火墻的類型

• 包過濾（包過濾防火墻）

  工作層次：3/4層（七層模型）

  工作原理：手工，類似ACL控制數據包，五元組，實現單向訪問

  優點：僅處理3/4層，簡單快捷。

  缺點：ACL多且復雜，手工配置，不能隨需求自動修改；不能識別通信狀態進行控制；不能防范應用層攻擊；是默認策略，沒有明顯允許就是禁止。

• 狀態檢測技術（狀態防火墻）

  工作層次：3/4/5層

  工作原理：維持會話表通信狀態。會話表包括五個元素（源目的IP，源目的端口，協議號）

  優點：可以識別會話狀態控制通信；能動態生成放通回程報文的策略。

  缺點：不能防范應用層攻擊、應用data不能檢測、對FTP等多連接應用兼容性差。

• 應用代理技術ALG（應用代理防火墻）

  工作層次：3/4/5/7層

  工作原理：應用數據data檢查:動態協商的端口、URL、 ftp操作指令、http請 求方法等,允許動態通道(端口都是隨機動態協商的,如FTP )的數據進入防火墻。

  優點：可以檢測應用層數據,防范簡單的應用層攻擊；

  缺點：軟件處理,消耗資源。

回答所涉及的環境：聯想天逸510S、Windows 10。