防火墙体系架构的分几类

防火墙体系架构的分四类：

• 包过滤型防火墙

  包过滤防火墙是用一个软件查看所流经的数据包的包头（header），由此决定整个包的命运。它可能会决定丢弃（DROP）这个包，可能会接受（ACCEPT）这个包（让这个包通过），也可能执行其它更复杂的动作。

• 双宿/多宿主机防火墙

  双宿指的是一个设备具有两个接口：一个面向外部网络，另一个则面向内部网络。应该禁用所有多宿主防火墙的IP转发功能，以便使过滤规则控制所有通信，而非允许接口之间存在软件支持的捷径。

  各类防火墙路由器和各种主机按其配置和功能可组成各种类型的防火墙，主要有：双宿主主机防火墙（Dual-Homed Host Firewall），它是由堡垒主机充当网关，并在其上运行防火墙软件，内外网之间的通信必须经过堡垒主机。

• 被屏蔽主机防火墙

  屏蔽主机防火墙体系统结构由包过滤路由器和堡垒主机构成。其实现了网络层安全(包过滤)和应用层安全(代理服务)。

• 被屏蔽子网防火墙

  子网屏蔽防火墙体系结构添加额外的安全层到主机屏蔽结构，即通过添加网络更进一步地把内部网络与外网隔离。增加的安全层次包括一台堡垒主机和路由器。两台路由器之间是一个被周围网络或参数网络的安全子网，也叫DMZ(隔离区或军事区)。使得内部和外部网络之间有了两层隔断。