器之间，完全阻挡了二者间的数据交流。从客户机来看，代理服务器相当于一台真正的服务器；而从服务器来看，代理服务器又是一台真正的客户机。当客户机需要使用服务器上的数据时，首先将数据请求发给代理服务器，代理服务器再根据这一请求向服务器索取数据，然后再由代理服务器将数据传输给客户机。由于外部系统与内部服务器之间没有直接的数据通道，外部的恶意侵害也就很难伤害到企业内部网络系统。
其特点是完全“阻隔”了网络通信流通过对每种应用服务编制专门的代理程序实现监视和控制应用层通信流的作用。
代理型防火墙的优点是安全性较高可以针对应用层进行侦测和扫描对付基于应用层的侵入和病毒都十分有『海√浪』效。其缺点是对系统的整体性能有较大的影响而且代理服务器必须针对客户机可能产生的所有应用类型逐一进行设置大大增加了系统管理的复杂性。
4检测型防火墙。检测型防火墙是新一代的产品，这一技术实际已经超越了最初的防火墙定义。它采用的一种基于连接的状态检测机制将属于同一连接的所有包作为一个整体的数据流看待构成连接状态表通过规则表与状态表的共同配合对表中的各个连接状态因素加以识别。这种动态『海√浪』连接表中的记录可以是以前的通信信息也可以是其他相关应用程序的信息它能够对各层的数据进行主动的、实时的监测、有效地判断出各层中的非法侵入。同时，这种检测型防火墙产
10
f计算机网络安全与防火墙技术
品一般还带有分布式探测器，这些探测器安置在各种应用服务器和其他网络的节之中，不仅能够检测来自网络外部『海√浪』的攻击，同时对来自内部的恶意破坏也有极强的防范作用。据权威机构统计，在针对网络系统的攻击中，有相当比例的攻击来自网络内部。因此，检测型防火墙不仅超越了传统防火墙的定义，而且在安全性上也超越了前两代产品。
虽然监测型防火墙安全性上已超越了包过滤型和代理服务器型防火墙，但由于监测型防火墙技术的实现成本『海√浪』较高，也不易管理，所以目前在实用中的防火墙产品仍然以第二代代理型产品为主，但在某些方面也已经开始使用监测型防火墙。基于对系统成本与安全技术成本的综合考虑，用户可以选择性地使用某些监测型技术。这样既能够保证网络系统的安全性需求，同时也能有效地控制安全系统的总拥有成本。
实际上，作为当前防火墙产品的主流趋势，大多数代理服务器（也称应用网关）也集成了包过滤技术，这两种技『海√浪』术的混合应用显然比单r