防火牆裝置型別

目前市場的防火牆產品非常之多，劃分的標準也比較雜。主要分類如下：

1.從軟、硬體形式上分為

軟體防火牆和硬體防火牆以及晶元級防火牆。

第一種：軟體防火牆

軟體防火牆執行於特定的計算機上，它需要客戶預先安裝好的計算機作業系統的支援，一般來說這台計算機就是整個網路的閘道器。俗稱「個人防火牆」。軟體防火牆就像其它的軟體產品一樣需要先在計算機上安裝並做好配置才可以使用。防火牆廠商中做網路版軟體防火牆最出名的莫過於checkpoint。使用這類防火牆，需要網管對所工作的作業系統平台比較熟悉。

第二種：硬體防火牆

這裡說的硬體防火牆是指「所謂的硬體防火牆」。之所以加上"所謂"二字是針對晶元級防火牆說的了。它們最大的差別在於是否基於專用的硬體平台。目前市場上大多數防火牆都是這種所謂的硬體防火牆，他們都基於pc架構，就是說，它們和普通的家庭用的pc沒有太大區別。在這些pc架構計算機上執行一些經過裁剪和簡化的作業系統，最常用的有老版本的unix、linux和freebsd系統。值得注意的是，由於此類防火牆採用的依然是別人的核心，因此依然會受到os（作業系統）本身的安全性影響。

傳統硬體防火牆一般至少應具備三個埠，分別接內網，外網和dmz區（非軍事化區），現在一些新的硬體防火牆往往擴充套件了埠，常見四埠防火牆一般將第四個埠做為配置口、管理埠。很多防火牆還可以進一步擴充套件埠數目。

第三種：晶元級防火牆

晶元級防火牆基於專門的硬體平台，沒有作業系統。專有的asic晶元促使它們比其他種類的防火牆速度更快，處理能力更強，效能更高。做這類防火牆最出名的廠商有netscreen、fortinet、cisco等。這類防火牆由於是專用os（作業系統）,因此防火牆本身的漏洞比較少，不過**相對比較高昂。

2.從防火牆技術分為

「包過濾型」和「應用**型」兩大類。

(1).包過濾(packetfiltering)型

包過濾型防火牆工作在osi網路參考模型的網路層和傳輸層，它根據資料報頭源位址，目的位址、埠號和協議型別等標誌確定是否允許通過。只有滿足過濾條件的資料報才被**到相應的目的地，其餘資料報則被從資料流中丟棄。

包過濾方式是一種通用、廉價和有效的安全手段。之所以通用，是因為它不是針對各個具體的網路服務採取特殊的處理方式，適用於所有網路服務；之所以廉價，是因為大多數路由器都提供資料報過濾功能，所以這類防火牆多數是由路由器整合的；之所以有效，是因為它能很大程度上滿足了絕大多數企業安全要求。

在整個防火牆技術的發展過程中，包過濾技術出現了兩種不同版本，稱為「第一代靜態包過濾」和「第二代動態包過濾」。

第一代靜態包過濾型別防火牆

這類防火牆幾乎是與路由器同時產生的，它是根據定義好的過濾規則審查每個資料報，以便確定其是否與某一條包過濾規則匹配。過濾規則基於資料報的報頭資訊進行制訂。報頭資訊中包括ip源位址、ip目標位址、傳輸協議(tcp、udp、icmp等等)、tcp/udp目標埠、icmp訊息型別等。

第二代動態包過濾型別防火牆

這類防火牆採用動態設定包過濾規則的方法，避免了靜態包過濾所具有的問題。這種技術後來發展成為包狀態監測(statefulinspection)技術。採用這種技術的防火牆對通過其建立的每乙個連線都進行跟蹤，並且根據需要可動態地在過濾規則中增加或更新條目。

包過濾方式的優點是不用改動客戶機和主機上的應用程式，因為它工作在網路層和傳輸層，與應用層無關。但其弱點也是明顯的：過濾判別的依據只是網路層和傳輸層的有限資訊，因而各種安全要求不可能充分滿足；在許多過濾器中，過濾規則的數目是有限制的，且隨著規則數目的增加，效能會受到很大地影響；由於缺少上下文關聯資訊，不能有效地過濾如udp、rpc（遠端過程呼叫）一類的協議；另外，大多數過濾器中缺少審計和報警機制，它只能依據包頭資訊，而不能對使用者身份進行驗證，很容易受到「位址欺騙型」***。對安全管理人員素質要求高，建立安全規則時，必須對協議本身及其在不同應用程式中的作用有較深入的理解。因此，過濾器通常是和應用閘道器配合使用，共同組成防火牆系統。

5.按防火牆效能分為

百兆級防火牆和千兆級防火牆兩類。

因為防火牆通常位於網路邊界，所以不可能只是十兆級的。這主要是指防火的通道頻寬(bandwidth)，或者說是吞吐率。當然通道頻寬越寬，效能越高，這樣的防火牆因包過濾或應用**所產生的延時也越小，對整個網路通訊效能的影響也就越小。

防火牆裝置型別

防火牆防火牆安全

waf 防火牆限制 WAF防火牆裝置指標及引數說明

防火牆系列（一）何為防火牆

防火牆裝置型別

防火牆 防火牆安全

waf 防火牆限制 WAF防火牆裝置指標及引數說明

防火牆系列（一） 何為防火牆

相關推薦

防火牆防火牆安全

防火牆系列（一）何為防火牆