器都能通过检查这些信息来决定是否将所收到的包转发，但它不能判断出一个IP包来自何方，去向何处。先进的网络级防火墙可以判断这一点，它可以提供内部信息以说明所通过的连接状态和
f一些数据流的内容，把判断的信息同规则表进行比较，在规则表中定义了各种规则来表明是否同意或拒绝包的通过。包过滤防火墙检查每一条规则直至发现包中的信息与某规则相符。如果没有一条规则能符合，防火墙就会使用默认规则，一般情况下，默认规则就是要求防火墙丢弃该包。其次，通过定义基于TCP或UDP数据包的端口号，防火墙能够判断是否允许建立特定的连接，如Tel
et、FTP连接。
2应用级网关应用级网关能够检查进出的数据包，通过网关复制传递数据，防止在受信任服务器和客户机与不受信任的主机间直接建立联系。应用级网关能够理解应用层上的协议，能够做复杂一些的访问控制，并做精细的注册和稽核。但每一种协议需要相应的代理软件，使用时工作量大，效率不如网络级防火墙。应用级网关有较好的访问控制，是目前最安全的防火墙技术，但实现困难，而且有的应用级网关缺乏“透明度”。在实际使用中，用户在受信任的网络上通过防火墙访问I
ter
et时，经常会发现存在延迟并且必须进行多次登录Logi
才能访问I
ter
et或I
tra
et。3电路级网关电路级网关用来监控受信任的客户或服务器与不受信任的主机间的TCP握手信息这样来决定该会话Sessio
是否合法电路级网关是在OSI模型中会话层上来过滤数据包这样比包过滤防火墙要高二层。实际上电路级网关并非作为一个独立的产品存在，它与其他的应用级网关结合在一起，如TrustI
formatio
Systems公司的Gau
tletI
ter
etFirewall；DEC公司的AltaVistaFirewall等产品。另外，电路级网关还提供一个重要的安全功能：代理服务器（ProxyServer），代理服务器是个防火墙，在其上运行一个叫做“地址转移”的进程，来将所有你公司内部的IP地址映射到一个“安全”的IP地址，这个地址是由防火墙使用的。但是，作为电路级网关也存在着一些缺陷，因为该网关是在会话层工作的，它就无法检查应用层级的数据包。4规则检查防火墙该防火墙结合了包过滤防火墙、电路级网关和应用级网关的特点。它同包过滤防火墙一样，规则检查防火墙能够在OSI网络层上通过IP地址和端口号，过滤进出的数据包。它也象电路级网关一样，能够检查SYN和ACK标记和序列数字是否逻辑有序。当然它也象应用级网关一样，可以在OSI应用层上检查数据包的内容，查看这些内容是否能符合公司r