防火墙的基本访问控制方法有哪些

• 包过滤

包过滤是指在网络层对每一个数据包进行检查，根据配置的安全策略转发或丢弃数据包。包过滤防火墙的基本原理是：通过配置访问控制列表（ACL, Access Control List）实施数据包的过滤。主要基于数据包中的源/目的IP地址、源/目的端口号、IP 标识和报文传递的方向等信息。

• 代理服务

代理服务作用于网络的应用层，其实质是把内部网络和外部网络用户之间直接进行的业务由代理接管。代理检查来自用户的请求，用户通过安全策略检查后，该防火墙将代表外部用户与真正的服务器建立连接，转发外部用户请求，并将真正服务器返回的响应回送给外部用户。

• 状态检测

状态检测是包过滤技术的扩展。基于连接状态的包过滤在进行数据包的检查时，不仅将每个数据包看成是独立单元，还要考虑前后报文的历史关联性。我们知道，所有基于可靠连接的数据流（即基于TCP协议的数据流）的建立都需要经过“客户端同步请求”、“服务器应答”以及“客户端再应答”三个过程（即“三次握手”过程），这说明每个数据包都不是独立存在的，而是前后有着密切的状态联系的。基于这种状态联系，从而发展出状态检测技术。