防火墻通常使用的安全控制手段主要有包過(guò)濾、狀態(tài)檢測(cè)、代理服務(wù)。包過(guò)濾技術(shù)是一種簡(jiǎn)單、有效的安全控制技術(shù)，它通過(guò)在網(wǎng)絡(luò)間相互連接的設(shè)備上加載允許、禁止來(lái)自某些特定的源地址、目的地址、TCP端口號(hào)等規(guī)則，對(duì)通過(guò)設(shè)備的數(shù)據(jù)包進(jìn)行檢查，限制數(shù)據(jù)包進(jìn)出內(nèi)部網(wǎng)絡(luò)。包過(guò)濾的最大優(yōu)點(diǎn)是對(duì)用戶透明，傳輸性能高。但由于安全控制層次在網(wǎng)絡(luò)層、傳輸層，安全控制的力度也只限于源地址、目的地址和端口號(hào)，因而只能進(jìn)行較為初步的安全控制。

狀態(tài)檢測(cè)是比包過(guò)濾更為有效的安全控制方法。對(duì)新建的應(yīng)用連接，狀態(tài)檢測(cè)檢查預(yù)先設(shè)置的安全規(guī)則，允許符合規(guī)則的連接通過(guò)，并在內(nèi)存中記錄下該連接的相關(guān)信息，生成狀態(tài)表。對(duì)該連接的后續(xù)數(shù)據(jù)包，只要符合狀態(tài)表，就可以通過(guò)。這種方式的好處在于：由于不需要對(duì)每個(gè)數(shù)據(jù)包進(jìn)行規(guī)則檢查，而是一個(gè)連接的后續(xù)數(shù)據(jù)包通過(guò)散列算法，直接進(jìn)行狀態(tài)檢查，從而使得性能得到了較大提高；而且，由于狀態(tài)表是動(dòng)態(tài)的，因而可以有選擇地、動(dòng)態(tài)地開(kāi)通1024號(hào)以上的端口，使得安全性得到進(jìn)一步地提高。

硬件防火墻本質(zhì)上是把軟件防火墻嵌入在硬件中，硬件防火墻的硬件和軟件都需要單獨(dú)設(shè)計(jì)，使用專用網(wǎng)絡(luò)芯片來(lái)處理數(shù)據(jù)包，采用專門的操作系統(tǒng)平臺(tái)，從而避免通用操作系統(tǒng)的安全漏洞導(dǎo)致內(nèi)網(wǎng)安全受到威脅。硬件防火墻是把防火墻程序做到芯片里面，由硬件執(zhí)行服務(wù)器的防護(hù)功能。因?yàn)閮?nèi)嵌結(jié)構(gòu)，因此比其他種類的防火墻速度更快，處理能力更強(qiáng)，性能更高。

按照組成結(jié)構(gòu)劃分，服務(wù)器防火墻的種類可以分為硬件防火墻和軟件防火墻。硬件防火墻性能上優(yōu)于軟件防火墻，因?yàn)樗凶约旱膶Ｓ锰幚砥骱蛢?nèi)存，可以獨(dú)立完成防范網(wǎng)絡(luò)攻擊的功能，不過(guò)價(jià)格會(huì)貴不少，更改設(shè)置也比較麻煩。

了解更多服務(wù)器及資訊，請(qǐng)關(guān)注夢(mèng)飛科技官方網(wǎng)站 http://www.qzkangyuan.com/，感謝您的支持！