局域网安全卫士：速通防火墙试用（图）

一 、硬件防火墙介绍 

    防火墙的英文名为“FireWall”，它是目前一种最重要的网络防护设备，它是隔离在本地网络与外界网络之间的一道防御系统，它可以使企业内部网络与Internet之间或者与其他外部网络互相隔离、限制网络互访用来保护内部网络。

    防火墙作为网络安全体系的基础和核心控制设备，它贯穿于受控网络通信主干线，对通过受控干线的任何通信行为进行安全处理，如控制、审计、报警、反应等，同时也承担着繁重的通信任务。由于其自身处于网络系统中的敏感位置，还要面对各种安全威胁，因此，选用一个安全、稳定和可靠的防火墙产品，其重要性不言而喻。

（点击看大图）

    从防火墙的软、硬件形式来分的话，防火墙可以分为软件防火墙和硬件防火墙。软件防火墙提供较高的使用弹性和扩充性。企业可以将软件防火墙安装在服务器上，而无需改变现有网络布局，同时可以根据目前安全的需求来选择合适的软件防火墙，而硬件防火墙强调的是高效能与安装容易，硬件防火墙采用厂商自己的系统，相对漏洞较少，比较安全。

    从技术角度来划分的话，防火墙总体来讲可分为“包过滤型”和“应用代理型”两大类。前者以以色列的Checkpoint防火墙和Cisco公司的PIX防火墙为代表，后者以美国NAI公司的Gauntlet防火墙为代表。包过滤方式的优点是不用改动客户机和主机上的应用程序，因为它工作在网络层和传输层，与应用层无关。但其弱点也是明显的：过滤判别的依据只是网络层和传输层的有限信息，因而各种安全要求不可能充分满足；在许多过滤器中，过滤规则的数目是有限制的，且随着规则数目的增加，性能会受到很大地影响；由于缺少上下文关联信息，不能有效地过滤如UDP、RPC一类的协议；另外，大多数过滤器中缺少审计和报警机制，它只能依据包头信息，而不能对用户身份进行验证，很容易受到“地址欺骗型”攻击。对安全管理人员素质要求高，建立安全规则时，必须对协议本身及其在不同应用程序中的作用有较深入的理解。

    因此，过滤器通常是和应用网关配合使用，共同组成防火墙系统。而代理类型防火墙的最突出的优点就是安全。由于它工作于最高层，所以它可以对网络中任何一层数据通信进行筛选保护，而不是像包过滤那样，只是对网络层的数据进行过滤。有优点就有缺点，任何事物都一样。代理防火墙的最大缺点就是速度相对比较慢，当用户对内外部网络网关的吞吐量要求比较高时，代理防火墙就会成为内外部网络之间的瓶颈。那因为防火墙需要为不同的网络服务建立专门的代理服务，在自己的代理程序为内、外部网络用户建立连接时需要时间，所以给系统性能带来了一些负面影响，但通常不会很明显。

    从结构上分，防火墙主要有：单一主机防火墙、路由器集成式防火墙和分布式防火墙三种。单一主机防火墙其实与一台计算机结构差不多，同样包括CPU、内存、硬盘等基本组件，当然主板更是不能少了，且主板上也有南、北桥芯片。它与一般计算机最主要的区别就是一般防火墙都集成了两个以上的以太网卡，因为它需要连接一个以上的内、外部网络。其中的硬盘就是用来存储防火墙所用的基本程序，如包过滤程序和代理服务器程序等，有的防火墙还把日志记录也记录在此硬盘上。

    虽然如此，但我们不能说它就与我们平常的PC机一样，因为它的工作性质，决定了它要具备非常高的稳定性、实用性，具备非常高的系统吞吐性能。正因如此，看似与PC机差不多的配置，价格甚远。