@Niki
3年前 提问
1个回答

防火墙的种类有哪些

delay
3年前

如果从防火墙的软、硬件形式来分的话,防火墙可以分为软件防火墙和硬件防火墙以及芯片级防火墙。

  • 软件防火墙

运行在特定的计算机上,需要客户预先安装好的计算机操作系统的支持。

一般来说这台计算机就是整个网络的网关,俗称个人防火墙。

软件防火墙像其他软件产品一样需要先在计算机上安装并做好配置才可以使用。防火墙厂商中做网络版软件防火墙最出名的莫过于Checkpoint。使用这类防火墙,需要网关对所工作的操作系统平台比较熟悉。

  • 硬件防火墙

硬件防火墙是指“所谓的硬件防火墙”。针对于芯片级防火墙来说加上了“所谓”二字。此处的硬件防火墙与芯片级防火墙的最大的差别在于是否基于专用的硬件平台。

目前市场上大多数防火墙都是这种所谓的硬件防火墙,他们都基于PC架构,就是说,他们和普通的家庭用的PC没有太大的区别。在这些PC架构计算机上运行一些经过裁剪和简化的操作系统,最常用的老版本的Unix、Linux和FreeBCD系统。

值得注意的是,由于此类防火墙采用的是别人的内核,因此还是会受到OS(操作系统)本身的安全性影响。传统硬件 防火墙一般至少具备三个端口,分别接内网、外网和DMZ区(非军事化区),现在一些新的硬件防火墙往往扩展了端口,常见的四端防火墙将第四个端口做为配置口、管理端口。很多防火墙还可以进一步扩展端口数目。

  • 芯片级防火墙

芯片级防火墙基于专门的硬件平台,没有操作系统。专有的ASIC芯片促使它们比其他种类的防火墙速度更快,处理能力更强,性能更高。

做这类防火墙最出名的厂商有NetScreen、FortiNet、Cisco等。这类防火墙由于是专用OS(操作系统),因此防火墙本身的漏洞比较少,不过价格相对比较高昂。

按照防火墙实现技术的不同可以将防火墙为包过滤防火墙、状态/动态检测防火墙、应用程序代理防火墙。

  • 包过滤防火墙

这是第一代防火墙,又称为网络层防火墙,在每一个 数据包传送到源主机时都会在网络层进行过滤,对于不合法的数据访问,防火墙会选择阻拦以及丢弃。这种防火墙的连接可以通过一个网卡即张网卡由内网的IP地址,又有公网的IP地址和两个网卡一个网卡 上有私有网络的IP地址,另一个网卡有外 部网络的IP地址。

  • 状态/动态检测防火墙

状态/动态检测防火墙,可以跟踪通过防火墙的网络连接和包,这样防火墙就可以使用组附加的标准,以确定该数据包是分许或者拒绝通信。它是在使用了基本包过海防火墙的通信上应用些技术来做到这点的。

  • 应用程序代理防火墙

应用程序代理防火墙又称为应用层防火墙,工作于OSI的应用层上。应用程序代理防火墙实际上并不允许在它连接的网络之间直接通信。相反,它是接受来自内部网络特定用户应用程序的通信,然后建立于公共网络服务器单独的连接。