参考答案：D

解析：

[分析]： 防火墙是指建立在内外网络边界上的过滤封锁机制。内部网络被认为是安全和可信赖的，而外部网络(通常是Internet)被认为是不安全和不可信赖的。防火墙的作用是防止不希望的、未经授权的通信进出被保护的内部网络，通过边界控制强化内部网络的安全政策。由于防火墙是一种被动技术，它假设了网络边界和服务，因此，对内部的非法访问难以有效地控制。
实现防火墙的产品主要两大类：一类是网络级防火墙，另一类是应用级防火墙。目前一种趋势是把这两种技术结合起来。
1．网络级防火墙
网络级防火墙也称为过滤型防火墙。事实上它是一种具有特殊功能的路由器，采用报文动态过滤技术，能够动态地检查流过的TCP/IP报文或分组头，根据企业所定义的规则，决定禁止某些报文通过或者允许某些报文通过，允许通过的报文将按照路由表设定的路径进行信息转发。相应的防火墙软件工作在传输层与网络层。
状态检测防火墙又称动态包过滤，是在传统包过滤上的功能扩展。状态检测防火墙在网络层由一个检查引擎截获数据包并抽取出与应用层状态有关的信息，并以此作为依据决定对该连接是接受还是拒绝。这种技术提供了高度安全的解决方案，同时也具有较好的适应性和可扩展性。状态检测防火墙一般也包括一些代理级的服务，它们提供附加的对特定应用程序数据内容的支持。状态检测技术最适合提供对UDP协议的有限支持。它将所有通过防火墙的UDP分组均视为一个虚拟连接，当反向应答分组送达时，就认为一个虚拟连接已经建立。状态检测防火墙克服了包过滤防火墙和应用代理服务器的局限性，不仅仅检测“to”或“from”的地址，而且不要求每个访问的应用都有代理。
2．应用级防火墙
应用级防火墙也称为应用网关型防火墙，目前已大多采用代理服务机制，即采用一个网关来管理应用服务，在其上安装对应于每种服务的特殊代码(代理服务程序)，在此网关上控制与监督各类应用层服务的网络连接。例如对外部用户(或内部用户)的FTP、TELNET、SMTP等服务请求，检查用户的真实身份、请求合法性和源与目的地IP地址的合法性等，从而由网关决定接受或拒绝该服务请求，对于可接受的服务请求由代理服务机制连接内部网与外部网。代理服务程序的配置由企业网络管理员所控制。
目前常用的应用级防火墙大致有4种类型：双穴机网关、屏蔽主机网关、屏蔽子网关和应用代理服务器，分别适合于不同规模的企业内部网。他们的一个共同点是需要有一台主机(称之为堡垒主机)来负责通信登记、信息转发和控制服务提供等任务。
(1)双穴主机 (dual-homed)网关 由堡垒主机作为应用网关，其中装有两块网卡分别连接外因特网和受保护的内部网，该主机运行防火墙软件，具有两个Ⅳ地址，并且能隔离内部主机与外部主机之间的所有可能连接。
(2)屏蔽主机 (screened host)网关 也称甄别主机网关。在外部因特网与被保护的企业内部网之间插入了堡垒主机和路由器，通常是由IP分组过滤路由器去过滤或甄别出可能的不安全连接，再把所有授权的应用服务连接转向应用网关的代理服务机制。
(3)屏蔽于网 (screened subnet)网关 也称甄别子网网关，适合于较大规模的网络使用。即在外部因特网与被保护的企业内部网之间插入了一个独立的子网，例如在子网中有两个路由器和一台堡垒主机(其上运行防火墙软件作为应用网关)，内部网与外部网的一方各有一个分组过滤路由器，可根据不同甄别规则接受或拒绝网络通信，子网中的堡垒主机(或其他可供共享的服务器资源)是外部网与内部网都可能访问的惟一系统。