在我們繼續(xù)討論防火墻技術(shù)前，我們需要對(duì)一些重要的術(shù)語(yǔ)有一些認(rèn)識(shí)

　　網(wǎng)關(guān)

　　網(wǎng)關(guān)是在兩上設(shè)備之間提供轉(zhuǎn)發(fā)服務(wù)的系統(tǒng)。網(wǎng)關(guān)的范圍可以從互聯(lián)網(wǎng)應(yīng)用程序如公共網(wǎng)關(guān)接口（CGI）到在兩臺(tái)主機(jī)間處理流量的防火墻網(wǎng)關(guān)。這個(gè)術(shù)語(yǔ)是非常常見(jiàn)的，而且在本課會(huì)用于一個(gè)防火墻組件里，在兩個(gè)不同的網(wǎng)絡(luò)路由和處理數(shù)據(jù)。

　　電路級(jí)網(wǎng)關(guān)

　　電路級(jí)網(wǎng)關(guān)用來(lái)監(jiān)控受信任的客戶(hù)或服務(wù)器與不受信任的主機(jī)間的TCP握手信息,這樣來(lái)決定該會(huì)話(huà)是否合法,電路級(jí)網(wǎng)關(guān)是在OSI模型中會(huì)話(huà)層上來(lái)過(guò)濾數(shù)據(jù)包,這樣比包過(guò)濾防火墻要高兩層。另外，電路級(jí)網(wǎng)關(guān)還提供一個(gè)重要的安全功能：網(wǎng)絡(luò)地址轉(zhuǎn)移(NAT)將所有公司內(nèi)部的IP地址映射到一個(gè)“安全”的IP地址，這個(gè)地址是由防火墻使用的。有兩種方法來(lái)實(shí)現(xiàn)這種類(lèi)型的網(wǎng)關(guān)，一種是由一臺(tái)主機(jī)充當(dāng)篩選路由器而另一臺(tái)充當(dāng)應(yīng)用級(jí)防火墻。另一種是在第一個(gè)防火墻主機(jī)和第二個(gè)之間建立安全的連接。這種結(jié)構(gòu)的好處是當(dāng)一次攻擊發(fā)生時(shí)能提供容錯(cuò)功能。

　　應(yīng)用級(jí)網(wǎng)關(guān)

　　應(yīng)用級(jí)網(wǎng)關(guān)可以工作在OSI七層模型的任一層上，能夠檢查進(jìn)出的數(shù)據(jù)包，通過(guò)網(wǎng)關(guān)復(fù)制傳遞數(shù)據(jù)，防止在受信任服務(wù)器和客戶(hù)機(jī)與不受信任的主機(jī)間直接建立聯(lián)系。應(yīng)用級(jí)網(wǎng)關(guān)能夠理解應(yīng)用層上的協(xié)議，能夠做復(fù)雜一些的訪問(wèn)控制，并做精細(xì)的注冊(cè)。通常是在特殊的服務(wù)器上安裝軟件來(lái)實(shí)現(xiàn)的。

　　包過(guò)濾

　　包過(guò)濾是處理網(wǎng)絡(luò)上基于packet-by-packet流量的設(shè)備。包過(guò)濾設(shè)備允許或阻止包，典型的實(shí)施方法是通過(guò)標(biāo)準(zhǔn)的路由器。包過(guò)濾是幾種不同防火墻的類(lèi)型之一，在本課后面我們將做詳細(xì)地討論。

　　代理服務(wù)器

　　代理服務(wù)器代表內(nèi)部客戶(hù)端與外部的服務(wù)器通信。代理服務(wù)器這個(gè)術(shù)語(yǔ)通常是指一個(gè)應(yīng)用級(jí)的網(wǎng)關(guān)，雖然電路級(jí)網(wǎng)關(guān)也可作為代理服務(wù)器的一種。