防火墙在应用WEB过滤技术可分为哪两个方面?( )A、对http协议命令的过滤B、对http请求的过滤，主要是对url的过滤C、对web访问进行身份认证，只允许认证通过的用户访问D、对http响应的过滤，主要是对内容的过滤

此题考查防火墙知识点。根据题干“应用层的”关键词，不难选择B。防火墙一般可分为下面六类。（1）包过滤型防火墙。包过滤型防火墙是在网络层对数据包进行分析、选择，选择的依据是系统内设置的过滤规则（访问控制表）。通过检查每个数据包的源地址、目的地址、端口和协议状态等因素，确定是否允许该数据包通过。包过滤型防火墙的优点是逻辑简单、成本低，易于安装和使用，网络性能和透明性好，通常安装在路由器上。其缺点是很难准确地设置包过滤器，缺乏用户级的授权；包过滤判别的条件位于数据包的头部，由于IPv4的不安全性，很可能被假冒或窃取；是基于网络层的安全技术，不能检测通过高层协议而实施的攻击。（2）电路级网关型防火墙。电路级网关型防火墙起着一定的代理服务作用，监视两台计算机建立连接时的握手信息，判断该会话请求是否合法。一旦会话连接有效后，该网关仅复制和传递数据。电路级网关型防火墙在IP层代理各种高层会话，具有隐藏内部网络信息的能力，且透明性高。但由于其对会话建立后所传输的具体内容不再作进一步的分析，因此安全性低。（3）应用网关型防火墙。应用网关型防火墙是在应用层上实现协议过滤和转发功能，针对特别的网络应用协议制定数据过滤规则。应用网关通常安装在专用工作站系统上，由于它工作于应用层，因此具有高层应用数据或协议的理解能力，可以动态地修改过滤规则，提供记录和统计信息。应用网关型防火墙和包过滤型防火墙有一个共同特点，就是它们仅依靠特定的逻辑来判断是否允许数据包通过，一旦符合条件，则防火墙内外的计算机系统建立直接联系，防火墙外部网络能直接了解内部网络结构和运行状态，这大大增加了实施非法访问攻击的机会。（4）代理服务型防火墙。代理服务器接收客户请求后，会检查并验证其合法性，如合法，它将作为一台客户机向真正的服务器发出请求并取回所需信息，最后再转发给客户。代理服务型防火墙将内部系统与外界完全隔离开来，从外面只看到代理服务器，而看不到任何内部资源，而且代理服务器只允许被代理的服务通过。代理服务安全性高，还可以过滤协议，通常认为是最安全的防火墙技术。其不足主要是不能完全透明地支持各种服务和应用，而且会消耗大量的CPU资源，导致系统的低性能。（5）状态检测型防火墙。状态检测型防火墙动态记录和维护各个连接的协议状态，并在网络层对通信的各个层次进行分析与检测，以决定是否允许通过防火墙。因此，状态检测型防火墙兼备了较高的效率和安全性，可以支持多种网络协议和应用，且可以方便地扩展实现对各种非标准服务的支持。（6）自适应代理型防火墙。自适应代理型防火墙可以根据用户定义的安全策略，动态适应传送中的分组流量。如果安全要求较高，则最初的安全检查仍在应用层完成。而一旦代理明确了会话的所有细节，那么其后的数据包就可以直接经过速度快得多的网络层。因此，此类防火墙兼备了代理技术的安全性和状态检测技术的高效率。