三、链路级防火墙
这类防火墙不是简单的接受或拒绝数据包,它还根据一系列预定义规则来决定一个连接是否合法。如果一切通过验证,防火墙会打开一个会话,并允许指定源地址的数据通过防火墙进入网络内部。这个通信只被允许在限定时间内进行。
图2、链路级防火墙
另外,这个防火墙还可以根据以下对象来执行连接验证,例如源IP地址或源端口,目的IP地址或目的端口,使用的协议,用户ID,密码和时间等等,多数情况下要根据几种条件的组合来进行验证。我们可以看出,包级别的过滤在这种防火墙中也可能发生。
主要优点:
·链路级防火墙通常比应用层防火墙更快,因为它们执行更少的操作;
·通过禁用特定互联网源地址与内部计算机的连接,链路级防火墙可以帮助保护整个网络;
·通过与网络地址解析联合使用,你可以使用链路级防火墙来阻止外部用户访问内部网络IP地址。
主要缺点:
·运行在传输层,因此必须要对传输函数编程进行比较大的修改。这可能影响到网络的性能和运行。
·链路级防火墙需要安装人员和维护人员具有一定的专业知识。
