从osi七层模型角度看服务被访问过程！！！

我一直对于网络充满无限的好奇 于是从osi网络七层模型的角度去看一个服务被访问过程中产生的问题

防火墙在osi七层模型属于那一层？

首先我自己知道的防火墙其实是分为三种 硬件 软件 芯片，我们学习的防护墙属于软件级别的 然后我在网上百度查了得到了几种答案，网上的大佬通过不同的分类，讲解了这个问题。

第一种 硬件防火墙，（第一层物理层）

相当然是属于最底层物理层

第二种 过滤型防火墙 （第三四层 网络层，传输层）常用*

（也成为包过滤技术防火墙）就是我文档中的管理netfilter网络过滤模块的三种工具firewalld/ebtables/iptables 主要根据分组的包头源地址、目的地址和端口号、协议类型等标志来确定是否允许数据包通过。 可以基于数据源头的地bai址以及协议类型等标志特征进行分析，确定是否可以通过。 在符合防火墙规定标准之下，满足安全性能以及类型才可以进行信息的传递，而一些不安全的因素则会被防火墙过滤、阻挡。 应用在第三，第四层 网络层和传输层中

第三种 应用型防火墙 （第七层 应用层）

也可以被称为代理服务器,它的安全性要高于包过滤型产品，并已经开始向应用层发展·。 在网络应用层上建立协议过滤和转发功能。它针对特定的网络应用服务协议使用指定的数据过滤逻辑，并在过滤的同时，对数据包进行必要的分析、登记和统计，形成报告。

############################################################################

数据包过滤和应用网关防火墙有一个共同的特点，就是它们仅仅依靠特定的逻辑判定是否允许数据包通过。一旦满足逻辑，则防火墙内外的计算机系统建立直接联系，防火墙外部的用户便有可能直接了解防火墙内部的网络结构和运行状态，这有利于实施。

#############################################################################

第四种 复合型防火墙

目前应用较为广泛的防火墙技术当属复合型防火墙技术，综合了包过滤防火墙技术以及应用代理防火墙技术的优点，譬如发过来的安全策略是包过滤策略，那么可以针对报文的报头部分进行访问控制；

如果安全策略是代理策略，就可以针对报文的内容数据进行访问控制，因此复合型防火墙技术综合了其组成部分的优点，同时摒弃了两种防火墙的原有缺点，大大提高了防火墙技术在应用实践中的灵活性和安全性。

第五种 状态检测防护墙

过滤型和应用型相同和不同点

过滤型防火墙应用型防火墙复合型防火墙安全性排序（数字越小安全性越高）321

四类防火墙强对比

包过滤防火墙：包过滤防火墙不检查数据区，包过滤防火墙不建立连接状态表，前后报文无关，应用层控制很弱。 应用网关防火墙：不检查IP、TCP报头，不建立连接状态表，网络层保护比较弱。 状态检测防火墙：不检查数据区，建立连接状态表，前后报文相关，应用层控制很弱。 复合型防火墙：可以检查整个数据包内容，根据需要建立连接状态表，网络层保护强，应用层控制细，会话控制较弱。

防火墙通常使用的安全控制手段主要有包过滤、状态检测、代理服务。

包过滤技术是一种简单、有效的安全控制技术，它通过在网络间相互连接的设备上加载允许、禁止来自某些特定的源地址、目的地址、TCP端口号等规则，对通过设备的数据包进行检查，限制数据包进出内部网络。包过滤的最大优点是对用户透明，传输性能高。但由于安全控制层次在网络层、传输层，安全控制的力度也只限于源地址、目的地址和端口号，因而只能进行较为初步的安全控制，对于恶意的拥塞攻击、内存覆盖攻击或病毒等高层次的攻击手段，则无能为力。

状态检测是比包过滤更为有效的安全控制方法。对新建的应用连接，状态检测检查预先设置的安全规则，允许符合规则的连接通过，并在内存中记录下该连接的相关信息，生成状态表。对该连接的后续数据包，只要符合状态表，就可以通过。这种方式的好处在于：由于不需要对每个数据包进行规则检查，而是一个连接的后续数据包（通常是大量的数据包）通过散列算法，直接进行状态检查，从而使得性能得到了较大提高；而且，由于状态表是动态的，因而可以有选择地、动态地开通1024号以上的端口，使得安全性得到进一步地提高。

tcp-wrappers属于那一层？

属于tcp/ip协议一簇 所以是第四层传输层