1 从软、硬件形式上分
如果从防火墙的软、硬件形式来分的话,防火墙可以分为软件防火墙和硬件防火墙以及
芯片级防火墙。
(1)软件防火墙。
转自:奈微建站网(www.nev.cn)
软件防火墙运行于特定的计算机上,它需要客户预先安装好的计算机操作系统的支持,
一般来说这台计算机就是整个网络的网关。俗称“个人防火墙”。软件防火墙就像其它的软
件产品一样需要先在计算机上安装并做好配置才可以使用。防火墙厂商中做网络版软件防火
墙最出名的莫过于Checkpoint。使用这类防火墙,需要网管对所工作的操作系统平台比较熟
悉。
(2)硬件防火墙。
这里说的硬件防火墙是指“所谓的硬件防火墙”。之所以加上“所谓”二字是针对芯片
级防火墙说的了。它们最大的差别在于是否基于专用的硬件平台。目前市场上大多数防火墙
都是这种所谓的硬件防火墙,他们都基于PC架构,就是说,它们和普通的家庭用的PC没有太
大区别。在这些PC架构计算机上运行一些经过裁剪和简化的操作系统,最常用的有老版本的
Unix、Linux和FreeBSD系统。 值得注意的是,由于此类防火墙采用的依然是别人的内核,因
此依然会受到OS(操作系统)本身的安全性影响。
(3)芯片级防火墙。
芯片级防火墙基于专门的硬件平台,没有操作系统。专有的ASIC芯片促使它们比其他种
类的防火墙速度更快,处理能力更强,性能更高。做这类防火墙最出名的厂商有NetScreen、
FortiNet、Cisco等。这类防火墙由于是专用OS(操作系统),因此防火墙本身的漏洞比较少
,不过价格相对比较高昂。
2 从防火墙技术分
防火墙技术虽然出现了许多,但总体来讲可分为“包过滤型”和“应用代理型”两大类
。前者以以色列的Checkpoint防火墙和美国Cisco公司的PIX防火墙为代表,后者以美国NAI公
司的Gauntlet防火墙为代表。
(1)包过滤(Packet filtering)型。
包过滤方式是一种通用、廉价和有效的安全手段。之所以通用,是因为它不是针对各个
具体的网络服务采取特殊的处理方式,适用于所有网络服务;之所以廉价,是因为大多数路
由器都提供数据包过滤功能,所以这类防火墙多数是由路由器集成的;之所以有效,是因为
它能很大程度上满足了绝大多数企业安全要求。
在整个防火墙技术的发展过程中,包过滤技术出现了两种不同版本,称为“第一代静态
包过滤”和“第二代动态包过滤”。转自:奈微建站网(www.nev.cn)
包过滤方式的优点是不用改动客户机和主机上的应用程序,因为它工作在网络层和传输
层,与应用层无关。但其弱点也是明显的:过滤判别的依据只是网络层和传输层的有限信息
,因而各种安全要求不可能充分满足;在许多过滤器中,过滤规则的数目是有限制的,且随
着规则数目的增加,性能会受到很大地影响;由于缺少上下文关联信息,不能有效地过滤如
UDP、RPC(远程过程调用)一类的协议;另外,大多数过滤器中缺少审计和报警机制,它只
能依据包头信息,而不能对用户身份进行验证,很容易受到“地址欺骗型”攻击。对安全管
理人员素质要求高,建立安全规则时,必须对协议本身及其在不同应用程序中的作用有较深
入的理解。因此,过滤器通常是和应用网关配合使用,共同组成防火墙系统。