問：代理服務器防火墻和網關服務器防火墻之間有什么區別？分別應該在什么情況下使用？

防火墻有三種基本的類型：包過濾防火墻，狀態監測防火墻，和應用代理防火墻。通常，人們喜歡用網關服務器防火墻的包過濾防火墻和狀態監測防火墻。這三種防火墻的每一個都是建立在前一種上的，給企業網絡提供更強大的保護。下面是它們的工作原理：

•包過濾防火墻是可用防火墻技術中最基礎的。到達防火墻的各個網絡包，基于它的源IP、目的IP和端口來評估，以決定這些包是否允許通過防火墻。防火墻沒有任何關于活動連接的信息，所以每次收到包都是獨立決定是否允許通過。包過濾防火墻并不是很常見，這類技術的用戶通常寫一些規則運行在他們的路由器上。

•狀態監測防火墻是在當今企業中部署最為常見的。他們建立在基于防火墻保持每個活動連接狀態信息的包過濾上。當有一個新的包到達防火墻時，過濾機制首先檢查這個包是否是當前活動連接（前面已經授權過的）的一部分。只有當這個包沒有出現在當前的活動連接列表里時，防火墻才會以它的規則庫評估這個包。狀態監測防火墻之所以如此常見，是因為：它們是效率最高、性價比最高的防火墻，并且廣泛適用于保護網絡的邊界。

•應用代理防火墻超越狀態監測防火墻在于它們并不允許任何包直接通過保護的系統。相反，防火墻在目的網絡創建一個代理連接，通過這個代理連接傳遞通信。代理防火墻通常包含高級應用檢測能力，允許防火墻檢測尖端的應用層攻擊，比如緩沖區溢出攻擊和SQL注入攻擊。應用代理防火墻通常比狀態監測防火墻貴很多，因而，它們通常僅僅用來保護數據中心、包含公開訪問的網絡和高價值的服務器。

選擇一個適合你們組織的防火墻需要考慮到預算、網絡上的系統類型和企業的風險承受能力。欲了解更多此主題的內容，請閱讀我的技巧專題：如何選擇防火墻。