硬件防火墻是什么

硬件防火墻是指把防火墻程序做到芯片里面，由硬件執行這些功能，能減少 CPU 的負擔，使路由更穩定。硬件防火墻是保障內部網絡安全的一道重要屏障。它的安全和穩定，直接關系到整個內部網絡安全。

把軟件防火墻嵌入在硬件中，一般的軟件安全廠商所提供的硬件防火墻便是在硬件服務器廠商定制硬件，然后再把 linux 系統與自己的軟件系統嵌入。（Symantec 的 SGS 便是 DELL+Symantec 的軟件防火墻）這樣做的好處是 linux 相對 Windows 的 server 相對安全。這樣做的理由是由于 ISA 必須裝在 Windows 操作系統下，微軟的操作系統相對不安全，本身安全存在隱患的系統上部署安全策略相當于處在亞安全狀態，是不可靠的。在兼容性方面也是硬件防火墻更勝一籌，其實軟件防火墻與硬件防火墻的主要區別就在于硬件。

在電腦運算領域中，防火墻（英文：Firewall）是一項協助確保信息安全的設備，會依照特定的規則，允許或是限制傳輸的數據通過。防火墻可能是一臺專屬的硬件或是架設在一般硬件上的一套軟件。

概述

硬件防火墻是指把防火墻程序做到芯片里面，由硬件執行這些功能，能減少 CPU 的負擔，使路由更穩定。

硬件防火墻是保障內部網絡安全的一道重要屏障。它的安全和穩定，直接關系到整個內部網絡的安全。因此，日常例行的檢查對于保證硬件防火墻的安全是非常重要的。

原理

至于價格高，原因在于，軟件防火墻只有包過濾的功能，硬件防火墻中可能還有除軟件防火墻以外的其他功能，例如 CF（內容過濾）IDS（入侵偵測）IPS（入侵防護）以及 VPN 等等的功能。

也就是說硬件防火墻是指把防火墻程序做到芯片里面，由硬件執行這些功能，能減少 CPU 的負擔，使路由更穩定。

硬件防火墻是保障內部網絡安全的一道重要屏障。它的安全和穩定，直接關系到整個內部網絡的安全。因此，日常例行的檢查對于保證硬件防火墻的安全是非常重要的。

系統中存在的很多隱患和故障在暴發前都會出現這樣或那樣的苗頭，例行檢查的任務就是要發現這些安全隱患，并盡可能將問題定位，方便問題的解決。

（1）包過濾防火墻

包過濾防火墻一般在路由器上實現，用以過濾用戶定義的內容，如 IP 地址。包過濾防火墻的工作原理是：系統在網絡層檢查數據包，與應用層無關。這樣系統就具有很好的傳輸性能，可擴展能力強。但是，包過濾防火墻的安全性有一定的缺陷，因為系統對應用層信息無感知，也就是說，防火墻不理解通信的內容，所以可能被黑客所攻破。

圖 1：包過濾防火墻工作原理圖

（2）應用***防火墻

應用***防火墻檢查所有應用層的信息包，并將檢查的內容信息放入決策過程，從而提高網絡的安全性。然而，應用***防火墻是通過打破客戶機/服務器模式實現的。每個客戶機/服務器通信需要兩個連接：一個是從客戶端到防火墻，另一個是從防火墻到服務器。另外，每個代理需要一個不同的應用進程，或一個后臺運行的服務程序，對每個新的應用必須添加針對此應用的服務程序，否則不能使用該服務。所以，應用***防火墻具有可伸縮性差的缺點。（圖 2）

圖 2：應用***防火墻工作原理圖

（3）狀態檢測防火墻

狀態檢測防火墻基本保持了簡單包過濾防火墻的優點，性能比較好，同時對應用是透明的，在此基礎上，對于安全性有了大幅提升。這種防火墻摒棄了簡單包過濾防火墻僅僅考察進出網絡的數據包，不關心數據包狀態的缺點，在防火墻的核心部分建立狀態連接表，維護了連接，將進出網絡的數據當成一個個的事件來處理?？梢赃@樣說，狀態檢測包過濾防火墻規范了網絡層和傳輸層行為，而應用代理型防火墻則是規范了特定的應用協議上的行為。（圖 3）

圖 3：狀態檢測防火墻工作原理圖

（4）復合型防火墻

復合型防火墻是指綜合了狀態檢測與透明代理的新一代的防火墻，進一步基于 ASIC 架構，把防病毒、內容過濾整合到防火墻里，其中還包括 VPN、IDS 功能，多單元融為一體，是一種新突破。常規的防火墻并不能防止隱蔽在網絡流量里的攻擊，在網絡界面對應用層掃描，把防病毒、內容過濾與防火墻結合起來，這體現了網絡與信息安全的新思路。它在網絡邊界實施 OSI 第七層的內容掃描，實現了實時在網絡邊緣部署病毒防護、內容過濾等應用層服務措施。（圖 4）

3、四類防火墻的對比

包過濾防火墻：包過濾防火墻不檢查數據區，包過濾防火墻不建立連接狀態表，前后報文無關，應用層控制很弱。

應用***防火墻：不檢查 IP、TCP 報頭，不建立連接狀態表，網絡層保護比較弱。

狀態檢測防火墻：不檢查數據區，建立連接狀態表，前后報文相關，應用層控制很弱。

復合型防火墻：可以檢查整個數據包內容，根據需要建立連接狀態表，網絡層保護強，應用層控制細，會話控制較弱。

4、防火墻術語

***：在兩個設備之間提供轉發服務的系統。***是互聯網應用程序在兩臺主機之間處理流量的防火墻。這個術語是非常常見的。

DMZ 非軍事化區：為了配置管理方便，內部網中需要向外提供服務的服務器往往放在一個單獨的網段，這個網段便是非軍事化區。防火墻一般配備三塊網卡，在配置時一般分別分別連接內部網，internet 和 DMZ。

吞吐量：網絡中的數據是由一個個數據包組成，防火墻對每個數據包的處理要耗費資源。吞吐量是指在不丟包的情況下單位時間內通過防火墻的數據包數量。這是測量防火墻性能的重要指標。

最大連接數：和吞吐量一樣，數字越大越好。但是最大連接數更貼近實際網絡情況，網絡中大多數連接是指所建立的一個虛擬通道。防火墻對每個連接的處理也好耗費資源，因此最大連接數成為考驗防火墻這方面能力的指標。

數據包轉發率：是指在所有安全規則配置正確的情況下，防火墻對數據流量的處理速度。

SSL：SSL（Secure Sockets Layer）是由 Netscape 公司開發的一套 Internet 數據安全協議，當前版本為 3.0。它已被廣泛地用于 Web 瀏覽器與服務器之間的身份認證和加密數據傳輸。SSL 協議位于 TCP/IP 協議與各種應用層協議之間，為數據通訊提供安全支持。

網絡地址轉換：網絡地址轉換（NAT）是一種將一個 IP 地址域映射到另一個 IP 地址域技術，從而為終端主機提供透明路由。NAT 包括靜態網絡地址轉換、動態網絡地址轉換、網絡地址及端口轉換、動態網絡地址及端口轉換、端口映射等。NAT 常用于私有地址域與公用地址域的轉換以解決 IP 地址匱乏問題。在防火墻上實現 NAT 后，可以隱藏受保護網絡的內部拓撲結構，在一定程度上提高網絡的安全性。如果反向 NAT 提供動態網絡地址及端口轉換功能，還可以實現負載均衡等功能。

堡壘主機：一種被強化的可以防御進攻的計算機，被暴露于因特網之上，作為進入內部網絡的一個檢查點，以達到把整個網絡的安全問題集中在某個主機上解決，從而省時省力，不用考慮其它主機的安全的目的。

基本功能

第一要素：防火墻的基本功能防火墻系統可以說是網絡的第一道防線，因此一個企業在決定使用防火墻保護內部網絡的安全時，它首先需要了解一個防火墻系統應具備的基本功能，這是用戶選擇防火墻產品的依據和前提。

第二要素：企業的特殊要求企業安全政策中往往有些特殊需求不是每一個防火墻都會提供的，這方面常會成為選擇防火墻的考慮因素之一。

內部內容

配置文件

不管你在安裝硬件防火墻的時候考慮得有多么的全面和嚴密，一旦硬件防火墻投入到實際使用環境中，情況卻隨時都在發生改變。硬件防火墻的規則總會不斷地變化和調整著，配置參數也會時常有所改變。作為網絡安全管理人員，最好能夠編寫一套修改防火墻配置和規則的安全策略，并嚴格實施。所涉及的硬件防火墻配置，最好能詳細到類似哪些流量被允許，哪些服務要用到代理這樣的細節。

在安全策略中，要寫明修改硬件防火墻配置的步驟，如哪些授權需要修改、誰能進行這樣的修改、什么時候才能進行修改、如何記錄這些修改等。安全策略還應該寫明責任的劃分，如某人具體做修改，另一人負責記錄，第三個人來檢查和測試修改后的設置是否正確。詳盡的安全策略應該保證硬件防火墻配置的修改工作程序化，并能盡量避免因修改配置所造成的錯誤和安全漏洞。

區別比較

成本

硬件防火墻是軟硬件一體的，用戶購買后不需要再投入其他費用。一般硬件防火墻的報價在 1 萬到 2 萬之間。

軟件防火墻有三方面的成本開銷：軟件的成本、安裝軟件的設備成本以及設備上操作系統的成本。Windows Server 2003 價格在 4400-6000 之間。

備注：綜合以上的成本，要配置一套軟件防火墻按最小的網絡要求，其成本在 1.0 萬左右。