防火墙的分类和防火墙起到的作用介绍
我的图书馆
防火墙的分类和防火墙起到的作用介绍
防火墙的分类和在网络中起到的作用是什么，我们看看下文中的介绍。 首先大概说一下防火墙的分类。就防火墙（本文的防火墙都指商业用途的网络版防火墙，非个人使用的那种）的组成结构而言，可分为以下三种： 第一种：硬件防火墙 这里说的硬件防火墙是指所谓的-&　　&防火墙的分类和在网络中起到的作用是什么，我们看看下文中的介绍。&　　首先大概说一下防火墙的分类。就防火墙（本文的防火墙都指商业用途的网络版防火墙，非个人使用的那种）的组成结构而言，可分为以下三种：&　　第一种：硬件防火墙&　　这里说的硬件防火墙是指所谓的硬件防火墙。之所以加上"所谓"二字是针对芯片级防火墙说的了。它们最大的差别在于是否基于专用的硬件平台。目前市场上大多数防火墙都是这种所谓的硬件防火墙，他们都基于PC架构，就是说，它们和普通的家庭用的PC没有太大区别。在这些PC架构计算机上运行一些经过裁剪和简化的操作系统，最常用的有老版本的Unix、Linux和FreeBSD系统。 值得注意的是，由于此类防火墙采用的依然是别人的内核，因此依然会受到os本身的安全性影响。国内的许多防火墙产品就属于此类，因为采用的是经过裁减内核和定制组件的平台，因此国内防火墙的某些销售人员常常吹嘘其产品是“专用的os”等等，其实是一个概念误导，下面我们提到的第三种防火墙才是真正的os专用。　&　　第二种：芯片级防火墙&　　它们基于专门的硬件平台，没有操作系统。专有的ASIC芯片促使它们比其他种类的防火墙速度更快，处理能力更强，性能更高。做这类防火墙最出名的厂商莫过于NetScreen.其他的品牌还有FortiNet,算是后起之秀了。这类防火墙由于是专用OS,因此防火墙本身的漏洞比较少，不过价格相对比较高昂，所以一般只有在“确实需要”的情况下才考虑。第三种：软件防火墙&　　软件防火墙运行于特定的计算机上，它需要客户预先安装好的计算机操作系统的支持，一般来说这台计算机就是整个网络的网关。软件防火墙就象其它的软件产品一样需要先在计算机上安装并做好配置才可以使用。防火墙厂商中做网络版软件防火墙最出名的莫过于Checkpoint。使用这类防火墙，需要网管对所工作的操作系统平台比较熟悉。&　　在这里，特别纠正几个不正确的观念：&1.在效果上，芯片防火墙比其他两种防火墙好&　　这同样也是一种有失公允的观点。事实上芯片防火墙由于硬件的独立，的确在OS本身出漏洞的机会上比较少，但是由于其固化，导致在面对新兴的一些攻击方式时，无法及时应对；而另外两种防火墙，则可以简单地通过升级os的内核来获取系统新特性，通过灵活地策略设置来满足不断变化的要求，不过其OS出现漏洞的概率相对高一些。&2.唯技术指标论&　　请以“防火墙买来是使用的”为第一前提进行购买。防火墙本身的质量如何是一回事，是否习惯使用又是另一回事。如果对一款产品的界面不熟悉，策略设置方式不理解，那么即使用世界最顶级的防火墙也没有多大作用。就如小说中武林中人无不向往的“倚天剑”、“屠龙刀”被我拿到，肯定也敌不过乔峰赤手的少林长拳是一般道理。防火墙技术发展至今，市场已经很成熟了，各类产品的存在，自然有其生存于市场的理由。如何把产品用好，远比盲目地比较各类产品好。3.在性能上，芯片级防火墙&硬件防火墙&软件防火墙。&　　在价格上看来，的确倒是如此的关系。但是性能上却未必。防火墙的“好”，是看其支持的并发数、最大流量等等性能，而不是用软件硬件来区分的。事实上除了芯片级防火墙外，软件防火墙与硬件防火墙在硬件上基本是完全一样的。目前国内的防火墙厂商由于大多采用硬件防火墙而不是软件防火墙，原因1是考虑到用户网络管理员的素质等原因，还有就是基于我国大多数民众对“看得见的硬件值钱，看不到的软件不值钱”这样一种错误观点的迎合。不少硬件防火墙厂商大肆诋毁软件防火墙性能，不外是为了让自己那加上了外壳的普通pc＋一个被修改后的内核＋一套防火墙软件能够卖出一个好价钱来而已。而为什么不作芯片级防火墙呢？坦白说，国内没有公司有技术实力。而且在中国市场上来看，某些国内的所谓硬件防火墙的硬件质量连diy的兼容机都比不上。看看国内XX的硬件防火墙那拙劣的硬盘和网卡，使用过的人都能猜到是哪家，我就不点名了。真正看防火墙，应该看其稳定性和性能，而不是用软、硬来区分的。至少，如果笔者自己选购，我会选择购买CheckPoint而非某些所谓的硬件防火墙的。二、防火墙能够作到些什么？&　　1.包过滤&　　具备包过滤的就是防火墙？对，没错！根据对防火墙的定义，凡是能有效阻止网络非法连接的方式，都算防火墙。早期的防火墙一般就是利用设置的条件，监测通过的包的特征来决定放行或者阻止的，包过滤是很重要的一种特性。虽然防火墙技术发展到现在有了很多新的理念提出，但是包过滤依然是非常重要的一环，如同四层交换机首要的仍是要具备包的快速转发这样一个交换机的基本功能一样。通过包过滤，防火墙可以实现阻挡攻击，禁止外部/内部访问某些站点，限制每个ip的流量和连接数。&　　2.包的透明转发&　　事实上，由于防火墙一般架设在提供某些服务的服务器前。如果用示意图来表示就是 Server—FireWall—Guest 。用户对服务器的访问的请求与服务器反馈给用户的信息，都需要经过防火墙的转发,因此，很多防火墙具备网关的能力。&　　3.阻挡外部攻击&　　如果用户发送的信息是防火墙设置所不允许的，防火墙会立即将其阻断，避免其进入防火墙之后的服务器中。&　　4.记录攻击&　　如果有必要，其实防火墙是完全可以将攻击行为都记录下来的，但是由于出于效率上的考虑，目前一般记录攻击的事情都交给IDS来完成了，我们在后面会提到。&　　以上是所有防火墙都具备的基本特性，虽然很简单，但防火墙技术就是在此基础上逐步发展起来的。&三、防火墙有哪些缺点和不足？&　　1.防火墙可以阻断攻击，但不能消灭攻击源。&　　“各扫自家门前雪，不管他人瓦上霜”，就是目前网络安全的现状。互联网上病毒、木马、恶意试探等等造成的攻击行为络绎不绝。设置得当的防火墙能够阻挡他们，但是无法清除攻击源。即使防火墙进行了良好的设置，使得攻击无法穿透防火墙，但各种攻击仍然会源源不断地向防火墙发出尝试。例如接主干网10M网络带宽的某站点，其日常流量中平均有512K左右是攻击行为。那么，即使成功设置了防火墙后，这512K的攻击流量依然不会有丝毫减少。&　　2.防火墙不能抵抗最新的未设置策略的攻击漏洞　&　　就如杀毒软件与病毒一样，总是先出现病毒，杀毒软件经过分析出特征码后加入到病毒库内才能查杀。防火墙的各种策略，也是在该攻击方式经过专家分析后给出其特征进而设置的。如果世界上新发现某个主机漏洞的cracker的把第一个攻击对象选中了您的网络，那么防火墙也没有办法帮到您的。&　　3.防火墙的并发连接数限制容易导致拥塞或者溢出&　　由于要判断、处理流经防火墙的每一个包，因此防火墙在某些流量大、并发请求多的情况下，很容易导致拥塞，成为整个网络的瓶颈影响性能。而当防火墙溢出的时候，整个防线就如同虚设，原本被禁止的连接也能从容通过了。　&　　4.防火墙对服务器合法开放的端口的攻击大多无法阻止&　　某些情况下，攻击者利用服务器提供的服务进行缺陷攻击。例如利用开放了3389端口取得没打过sp补丁的win2k的超级权限、利用asp程序进行脚本攻击等。由于其行为在防火墙一级看来是“合理”和“合法”的，因此就被简单地放行了。&　　5.防火墙对待内部主动发起连接的攻击一般无法阻止&　　“外紧内松”是一般局域网络的特点。或许一道严密防守的防火墙内部的网络是一片混乱也有可能。通过社会工程学发送带木马的邮件、带木马的URL等方式，然后由中木马的机器主动对攻击者连接，将铁壁一样的防火墙瞬间破坏掉。另外，防火墙内部各主机间的攻击行为，防火墙也只有如旁观者一样冷视而爱莫能助。&　　6．防火墙本身也会出现问题和受到攻击&　　防火墙也是一个os，也有着其硬件系统和软件，因此依然有着漏洞和bug。所以其本身也可能受到攻击和出现软/硬件方面的故障。&　　7．防火墙不处理病毒　&　　不管是funlove病毒也好，还是CIH也好。在内部网络用户下载外网的带毒文件的时候，防火墙是不为所动的（这里的防火墙不是指单机/企业级的杀毒软件中的实时监控功能，虽然它们不少都叫“病毒防火墙”）。&　　看到这里，或许您原本心目中的防火墙已经被我拉下了神台。是的，防火墙是网络安全的重要一环，但不代表设置了防火墙就能一定保证网络的安全。“真正的安全是一种意识，而非技术!”请牢记这句话。&　　不管怎么样，防火墙仍然有其积极的一面。在构建任何一个网络的防御工事时，除了物理上的隔离和目前新近提出的网闸概念外，首要的选择绝对是防火墙。&
TA的最新馆藏
喜欢该文的人也喜欢查看:3729|回复：8
一直不清楚，软件防火墙和硬件防火墙有什么区别？？？硬件防火墙好在哪里？？？请大家帮帮忙，给个详细答案？小弟在此谢谢了。
初级工程师
一个是防火墙程序装在普通PC（或服务器）上，一个是防火墙程序安装在专用经过特殊设计的PC（X86架构）上。
硬件防火墙目前有3种架构，X86,NP,ASIC。
硬件防火墙的主要优势是稳定性和性能，即使是X86架构的防火墙，它内部所用的操作系统也是经过很多优化而产生的专用操作系统。和普通的防火墙程序＋ win/linux/类unix软件防火墙系统相比，稳定性和性能都有比较大的提高。
NP（网络处理器）和ASIC(专用集成电路）采用了不同于x86架构的设计，用专用的处理芯片最大限度的提高了产品的稳定性和性能。
回答的很精彩
初级工程师
不是很清楚,学习一下
应该这样说，软件防火墙建立在windows平台的服务器上，无论软件防火墙的技术怎么好，恶意攻击者只要攻击操作平台即可攻陷网络，而windows平台的漏洞实在太多，因此建议各位最好选用硬件防火墙，而不是软件防火墙，其实价格差不多
中级工程师
进来学习,闪了
学习下，闪人。。。。。。。。。。。。。
初级工程师
引用:原帖由 netpenguin 于
16:17 发表
应该这样说，软件防火墙建立在windows平台的服务器上，无论软件防火墙的技术怎么好，恶意攻击者只要攻击操作平台即可攻陷网络，而windows平台的漏洞实在太多，因此建议各位最好选用硬件防火墙，而不是软件防火墙， ... 最早防火墙的概念是UNIX下提出来了，Linux下也有不少防火墙的解决方案。大部分x86结构的硬防火墙用的都是Linux或类Linux系统。
中级工程师
硬件是用优化的专用平台，无论是安全性还是性能，都要好于软件。防火墙与杀毒软件有什么区别?_百度知道
防火墙与杀毒软件有什么区别?
我有更好的答案
1.防火墙是位于计算机和它所连接的网络之间的软件，安装了防火墙的计算机流入流出的所有网络通信均要经过此防火墙。使用防火墙是保障网络安全的第一步，选择一款合适的防火墙，是保护信息安全不可或缺的一道屏障。 2.因为杀毒软件和防火墙软件本身定位不同，所以在安装反病毒软件之后，还不能阻止黑客攻击，用户需要再安装防火墙类软件来保护系统安全。 3.杀毒软件主要用来防病毒，防火墙软件用来防黑客攻击。 4.病毒为可执行代码，黑客攻击为数据包形式。 5.病毒通常自动执行，黑客攻击是被动的。 6.病毒主要利用系统功能，黑客更注重系统漏洞。 7.当遇到黑客攻击时反病毒软件无法对系统进行保护。 8.对于初级用户，可以选择使用防火墙软件配置好的安全级别。 9.防火墙软件需要对具体应用进行规格配置。 10.防火墙不处理病毒 不管是funlove病毒也好，还是CIH也好,在内部网络用户下载外网的带毒文件的时候，防火墙是不为所动的（这里的防火墙不是指单机/企业级的杀毒软件中的实时监控功能，虽然它们不少都叫“病毒防火墙”）。 看到这里，或许您原本心目中的防火墙已经被我拉下了神台。是的，防火墙是网络安全的重要一环，但不代表设置了防火墙就能一定保证网络的安全。“真正的安全是一种意识，而非技术!”请牢记这句话。 不管怎么样，防火墙仍然有其积极的一面。在构建任何一个网络的防御工事时，除了物理上的隔离和目前新近提出的网闸概念外，首要的选择绝对是防火墙。 最后，要说的依然是那句“世界上没有一种技术能真正保证绝对地安全。”安全问题，是从设备到人，从服务器上的每个服务程序到防火墙、IDS等安全产品的综合问题；任何一个环节工作，只是迈向安全的步骤。 附录： 防火墙能够作到些什么？ 1.包过滤 具备包过滤的就是防火墙？对，没错！根据对防火墙的定义，凡是能有效阻止网络非法连接的方式，都算防火墙。早期的防火墙一般就是利用设置的条件，监测通过的包的特征来决定放行或者阻止的，包过滤是很重要的一种特性。虽然防火墙技术发展到现在有了很多新的理念提出，但是包过滤依然是非常重要的一环，如同四层交换机首要的仍是要具备包的快速转发这样一个交换机的基本功能一样。通过包过滤，防火墙可以实现阻挡攻击，禁止外部/内部访问某些站点，限制每个ip的流量和连接数。 2.包的透明转发 事实上，由于防火墙一般架设在提供某些服务的服务器前。如果用示意图来表示就是 Server—FireWall—Guest 。用户对服务器的访问的请求与服务器反馈给用户的信息，都需要经过防火墙的转发,因此，很多防火墙具备网关的能力。 3.阻挡外部攻击 如果用户发送的信息是防火墙设置所不允许的，防火墙会立即将其阻断，避免其进入防火墙之后的服务器中。 4.记录攻击 如果有必要，其实防火墙是完全可以将攻击行为都记录下来的，但是由于出于效率上的考虑，目前一般记录攻击的事情都交给IDS（入侵检测系统）来完成了。 以上是所有防火墙都具备的基本特性，虽然很简单，但防火墙技术就是在此基础上逐步发展起来的。
采纳率：36%
杀毒软件针对你计算机的文件系统,进行病毒的查杀!现在基本还都实现了实时监控功能,能够及时发现存在于电脑上面的病毒并即时处理.而防火墙,顾名思义,墙的作用就是隔离外面的世界.防火墙很好的把你的电脑(或者内部网络)与外部网络隔离,保护你的电脑或者内部网络不受非法访问与攻击,像一些木马,它在本地机器窃取了你的私人信息之后就要透过网络去传输,防火墙的作用就是限制了木马对网络的非法访问,以此达到对你隐私的保护.通俗点来说,反病毒软件属于杀手,针对文件系统,把一切非法的有害的东西进行侦查去除,而防火墙进行的是制止,针对网络系统,不管你什么东西,不经过我的同意,一概不允许通过防火墙!
防火墙是防止有害程序比如木马随意访问网络的，杀毒软件是杀病毒和木马的。
我也不太清楚
防火墙可以拒绝一般黑客的攻击,而杀毒软件可以杀毒.
其他2条回答
为您推荐：
其他类似问题
您可能关注的内容
杀毒软件的相关知识
换一换
回答问题，赢新手礼包
个人、企业类
违法有害信息,请在下方选择后提交
色情、暴力
我们会通过消息、邮箱等方式尽快将举报结果通知您。以上由提供
您的位置：
> 硬件防火墙有什么作用？硬件防火墙用于什么途径？
硬件防火墙有什么作用？硬件防火墙用于什么途径？
　　硬件防火墙类似软件防火墙，都是用于保护计算机自身安全的策略，不过硬件防火墙常见于网吧、企业等领域。若是不法人士入侵网络，硬件防火墙便可能拦截访问。阅读下文了解硬件防火墙的作用和使用途径。
　　第一要素：硬件防火墙的基本功能
　　防火墙系统可以说是网络的第一道防线，因此一个企业在决定使用防火墙保护内部网络的安全时，它首先需要了解一个防火墙系统应具备的基本功能，这是用户选择防火墙产品的依据和条件。一个成功的防火墙产品应该具有下述基本功能：
　　防火墙的设计谋略应遵循安全防范的基本原则-- 除非明确答应，否则就禁止 ；防火墙本身支持安全策略，而不是添加上去的；假如组织机构的安全策略发生改变，可以加入新的服务；有先进的认证手段或有挂钩程序，可以安装先进的认证方法；假如需要，可以运用过滤技术答应和禁止服务；可以使用FTP和Telnet等服务代理，以便先进的认证手段可以被安装和运行在防火墙上；拥有界面友好、易于编程的IP过滤语言，并可以根据数据包的性质进行武汉论坛违规词汇滤，数据包的性质有目标和源IP地址、协议类型、源和目的TCP/UDP端口、TCP包的ACK位、出站和入站网络接口等。
　　假如用户需要NNTP（网络消息传输协议）、Xｗｉｎｄｏｗ、HTTP和Gopher等服务，防火墙应该包含相应的代理服务程序。防火墙也应具有集中邮件的功能，以减少SMTP服务器和外界服务器的直接连接，并可以集中处理整个站点的电子邮件。防火墙应答应公众对站点的访问，应把信息服务器和其他内部服务器分开。
　　防火墙应该能够集中和过滤拨入访问，并可以记录网络流量和可疑的活动。此外，为了使日志具有可读性，防火墙应具有精简日志的能力。固然没有必要让防火墙的操纵系统和公司内部使用的操纵系同一样，但在防火墙上运行一个治理员熟悉的操纵系统会使治理变得简单。防火墙的强度和正确性应该可被验证，设计尽量简单，以便治理员理解和维护。防火墙和相应的操纵系统应该用补丁程序进行升级且升级必须定期进行。正像前面提到的那样，Internet每时每刻都在发生着变化，新的易攻击点随时可能会产生。当新的危险出现时，新的服务和升级工作可能会对防火墙的安装产生潜伏的阻力，因此防火墙的可适应性是很重要的。
　　第二要素：企业的特殊要求
　　企业安全政策中往往有些特殊需求不是每一个防火墙都会提供的，这方面常会成为选择防火墙的考虑因素之一，常见的需求如下：
　　1、网络地址转换功能（NAT）
　　进行地址转换有两个好处：其一是隐躲内部网络真正的IP，这可以使黑客无法直接攻击内部网络，这也是笔者之所以要夸大防火墙自身安全性题目的主要原因；另一个好处是可以让内部使用保存的IP，这对很多IP不足的企业是有益的。
　　2、双重DNS
　　当内部网络使用没有注册的IP地址，或是防火墙进行IP转换时，DNS也必须经过转换，由于，同样的一个主机在内部的IP与给予外界的IP将会不同，有的防火墙会提供双重DNS，有的则必须在不同主机上各安装一个DNS。
　　3、虚拟专用网络（VPN）
　　VPN可以在思科防火墙与防火墙或移动的客户端之间对所有网络传输的内容加密，建立一个虚拟通道，让两者感觉是在同一个网络上，可以安全且不受拘束地互相存取。
　　4、扫毒功能
　　大部分防火墙都可以与防病毒软件搭配实现扫毒功能，有的防火墙则可以直接集成扫毒功能，差别只是扫毒工作是由防火墙完成，或是由另一台专用的计算机完成。
　　5、特殊控制需求
　　有时候企业会有特别的控制需求，如限制特定使用者才能发送Email，FTP只能下载文件不能上传文件，限制同时上网人数，限制使用时间或阻塞Java、ActiveX控件等，依需求不同而定。
　　第三要素：与用户网络结合
　　1、治理的难易度
　　防火墙治理的难易度是思科防火墙能否达到目的的主要考虑因素之一。一般企业之所以很少以已有的网络设备直接当作防火墙的原因，除了先条件到的武汉论坛违规词汇滤，并不能达到完全的控制之外，设定工作困难、须具备完整的知识以及不易除错等治理题目，更是一般企业不愿意使用的主要原因。
　　2、自身的安全性
　　大多数人在选择防火墙时都将留意力放在防火墙如何控制连接以及防火墙支持多少种服务，但往往忽略了一点，防火墙也是网络上的主机之一，也可能存在安全题目，防火墙假如不能确保自身安全，则防火墙的控制功能再强，也终究不能完全保护内部网络。
　　大部分防火墙都安装在一般的操纵系统上，如Unix、NT系统等。在防火墙主机上执行的除了防火墙软件外，所有的程序、系统核心，也大多来自于操纵系统本身的原有程序。当防火墙主机上所执行的软件出现安全漏洞时，防火墙本身也将受到威胁。此时，任何的防火墙控制机制都可能失效，由于当一个黑客取得了防火墙上的控制权以后，黑客几乎可为所欲为地修改防火墙上的访问规则，进而侵入更多的系统。因此防火墙自身应有相当高的安全保护。
　　3、完善的售后服务
　　我们以为，用户在选购思科防火墙产品时，除了从以上的功能特点考虑之外，还应该留意好的防火墙应该是企业整体网络的保护者，并能弥补其它操纵系统的不足，使操纵系统的安全性不会对企业网络的整体安全造成影响。防火墙应该能够支持多种平台，由于使用者才是完全的控制者，而使用者的平台往往是多种多样的，它们应选择一套符合现有环境需求的防火墙产品。由于新产品的出现，就会有人研究新的破解方法，所以好的防火墙产品应拥有完善及时的售后服务体系。
　　4、完整的安全检查
　　好的防火墙还应该向使用者提供完整的安全检查功能，但是一个安全的网络仍必须依靠使用者的观察及改进，由于防火墙并不能有效地杜绝所有的恶意封包，企业想要达到真正的安全仍然需要内部职员不断记录、改进、追踪。防火墙可以限制唯有正当的使用者才能进行连接，但是否存在利用正当掩护非法的情形仍需依靠治理者来发现。
　　5、结适用户情况
　　在选购一个防火墙时，用户应该从自身考虑以下的因素：
　　(1)、网络受威胁的程度；
　　(2)、若入侵者闯入网络，将要受到的潜伏的损失；
　　(3)、其他已经用来保护网络及其资源的安全措施；
　　(4)、由于硬件或软件失效，或防火墙遭到 拒绝服务攻击 ，而导致用户不能访问Internet，造成的整个机构的损失；
　　(5)、机构所希看提供给Internet的服务，希看能从Internet得到的服务以及可以同时通过防火墙的用户数目；
　　(6)、网络是否有经验丰富的治理员；
　　(7)、今后可能的要求，如要求增加通过防火墙的网络活动或要求新的Internet服务。
　　以上便是关于硬件防火墙的作用和使用途径，生活在网络的世界中，用户的信息安全随时会受到挑战，要从细节开始注重保护信息。
评论列表（网友评论仅供网友表达个人看法，并不表明本站同意其观点或证实其描述）
Copyright (C)2014 www.xitongcheng.cc All rights reserved
本站发布的系统与软件仅为个人学习测试使用，请在下载后24小时内删除，不得用于任何商业用途，否则后果自负，请支持购买微软正版软件！
黔ICP备号-1