什么是网络级防火墙？网络防火墙一般是基于源地址和目的地址、应用或协议以及每个IP包的端口来作出通过与否的判断。从这个意义上讲，路由器就是一个最简单的网络级防火墙，它们能通过检查这些数据包的信息来决定是否将所收到的包转发。
　　网络级防火墙在规则表中定义了各种规则来表明是否同意或拒绝包的通过，然后每当一个数据包通过时，把需要判断的数据包的一些信息同规则表进行比较，检查每一条规则直至发现包中的信息与某规则相符。如果没有一条规则能符合，防火墙就会使用默认规则，一般情况下，默认规则就是要求防火墙丢弃该包。通过定义基于TCP或UDP数据包的端口号，防火墙能够判断是否允许建立特定的连接，如Telnet、FTP连接。
　　
　　高级的防火墙系统通常还有状态检测功能，状态检测又称动态包过滤，是在传统包过滤上的功能扩展，最早由 checkpoint提出。传统的包过滤在遇到利用动态端口的协议时会发生困难，如FTP，防火墙事先无法知道一个FTP服务会使用哪些端口，需要打开哪些端口，如果采用原始的静态包过滤的话，就需要将所有可能用到的端口打开，这就违反了最小服务准则，会给安全带来不必要的隐患。
　　
　　基于状态检测的防火墙通过检查应用程序信息（如FTP的PORT和PASS命令），来判断此端口是否允许需要临时打开，而当传输结束时，端口又马上恢复为关闭状态。另外，基于状态检测的防火墙在数据包过滤时，先将该数据包归并到某个现有会话中，这样过滤时只要看一下这个会话所适用的规则就可以了，这样做有两个好处：一个是避免了NMAP之类的扫描程序利用异常数据包进行网络扫描，另一方面，也加快了防火墙匹配的速度。状态检测概念已经在防火墙研究中得到广泛认可，而且，越来越多的产品也在向这个方向迈进。
　　
　　通常来说，网络级防火墙简洁、速度快、费用低，并且对用户透明，但是对网络的保护依赖于对网络更高协议层的信息的理解能力。在传统的网络级防火墙中，对网络更高层次的信息的理解能力是十分有限的。
　　
　　如果您的弱电机房工程需要配置高级的网络防火墙，您可以在河姆渡弱电安防平台采购防火墙相关设备，河姆渡以数字生态服务智慧产业，我们将为您提供机房网络工程一站式解决方案。
　　
　　您可能感兴趣的内容：
　　
　　什么是网络防火墙？网络防火墙怎么关闭？ 
　　
　　网络防火墙之通过《互联网用户账号名称管理规定》规范用户行为