网络层防火墙工作原理

1. 工作位置：网络层防火墙主要工作在TCP/IP协议栈的网络层，对应OSI模型的第三层。
2. 工作方式：它基于IP地址和端口号来对数据包进行检查。防火墙配置有访问控制列表（ACL），ACL中包含了允许或拒绝特定源IP地址、目的IP地址、协议（如TCP、UDP、ICMP等）及端口号组合的规则。当数据包到达防火墙时，防火墙提取数据包中的源IP地址、目的IP地址以及协议类型等信息，然后与ACL中的规则逐一匹配。例如，如果规则设置为允许来自特定子网的IP地址访问某服务器的80端口（HTTP服务），那么当来自该子网且目的端口为80的数据包到达时，防火墙会根据规则放行；若不符合规则，则丢弃数据包。
3. 特点：网络层防火墙处理速度快，因为它主要检查包头信息，不涉及深入的应用层内容分析。但它只能根据IP地址和端口进行过滤，对于伪装IP地址或利用常用端口进行恶意活动的行为防范能力有限。

传输层防火墙工作原理

1. 工作位置：传输层防火墙工作在TCP/IP协议栈的传输层，对应OSI模型的第四层，主要针对TCP和UDP协议。
2. 工作方式：除了像网络层防火墙那样检查IP地址和端口号外，传输层防火墙还会深入检查TCP或UDP包头中的更多信息，如TCP的标志位（SYN、ACK、FIN等）。例如，通过检查TCP连接的三次握手过程来判断连接的合法性。正常的TCP连接起始于客户端发送SYN包，服务器回应SYN + ACK包，客户端再发送ACK包完成连接建立。防火墙可以通过检测这些标志位的顺序和组合来确保连接是正常建立的，防止诸如SYN Flood等攻击。对于UDP，虽然它是无连接协议，但防火墙可以跟踪UDP会话，依据会话状态来决定是否允许数据包通过。
3. 特点：传输层防火墙比网络层防火墙更具智能性，能够对连接状态进行监测和控制，有效防范一些基于传输层的攻击。然而，它仍然不理解应用层的数据内容，对于应用层的恶意行为检测能力不足。

防火墙依据规则对网络流量过滤的总体流程

1. 规则匹配：防火墙接收到数据包后，首先根据其所属的协议栈层次，按照相应层次的规则集进行匹配。从最具体的规则开始尝试匹配，如果找到匹配的规则，则按照该规则的动作（允许或拒绝）处理数据包。例如，先检查是否有针对特定IP地址和端口号组合的精确规则，如果没有，则检查更通用的规则。
2. 缺省策略：如果数据包没有匹配到任何明确的规则，防火墙会依据缺省策略进行处理。常见的缺省策略有两种，一种是“默认允许”，即除非明确拒绝，否则允许所有流量通过；另一种是“默认拒绝”，即除非明确允许，否则拒绝所有流量通过。在安全要求较高的环境中，通常采用“默认拒绝”策略，以最大程度保障网络安全。
3. 日志记录：无论数据包是被允许还是拒绝通过，防火墙通常会记录相关的日志信息。日志中包含数据包的源IP地址、目的IP地址、协议类型、端口号、时间等关键信息，这些日志有助于网络管理员进行安全审计和故障排查，分析网络流量模式以及发现潜在的安全威胁。