防火墙的设置中有哪些限制策略可用？有的基于IP地址，有的基于端口，还有哪些策略常用？

现在很多的攻击都基于正常的业务端口。所以现在传统的防火墙只针对ip还有端口的策略已经越来越无法满足安全需求了

1.包过滤防火墙 ，
通过检查数据流中每一个IP数据包的源地址、目的地址、所用端口号、协议状态等因素或它们的组合来确定是否允许该数据包通过
2、应用代理防火墙
应用代理防火墙能够将所有跨越防火墙的网络通信链路分为两段，使得网络内部的客户不直接与外部的服务器通信。
3、状态检测防火墙
状态检测防火墙克服了包过滤防火墙和应用代理防火墙的局限性，能够根据协议、端口及IP数据包的源地址、目的地址的具体情况来决定数据包是否可以通过。

策略方面：
防火墙的策略是有网络规则，访问规则和服务器发布规则三者的结合。
网络是定义不同网络间是否可以访问
访问是定义网络间怎么进行访问
服务器是如何让外部网络访问内部网络中的服务器。
然后所有规则都是在其中延伸出来。

上文所说均是传统4层网络防火墙，还有7层应用防火墙，出了支持传统的防火墙策略，还支持应用行为和驱动行为分析和策略。

IP、端口、包这三个策略估计占了90%以上