计算机网络与信息安全：防火墙的分类

2023-10-18 理论教育版权反馈

【摘要】：（一）按防火墙软硬件形式分类如果从软硬件形式来分，防火墙可以分为软件防火墙、硬件防火墙和芯片级防火墙。之所以加上“所谓”二字，是针对芯片级防火墙来说的。目前市场上大多数防火墙都是这种所谓的硬件防火墙，它们都基于PC架构。值得注意的是，由于此类防火墙采用的依然是别人的内核，因此会受到OS本身的安全性影响。应用代理型防火墙工作在OSI的最高层，即应用层。

（一）按防火墙软硬件形式分类

如果从软硬件形式来分，防火墙可以分为软件防火墙、硬件防火墙和芯片级防火墙。

1.软件防火墙

软件防火墙运行于特定的机器上，它需要客户预先安装好的计算机操作系统的支持，一般来说这台计算机就是整个网络的网关，俗称“个人防火墙”。软件防火墙就像其他的软件产品一样，需要先在计算机上安装并做好配置才可以使用。防火墙厂商中做网络版软件防火墙最出名的莫过于Checkpoint。使用这类防火墙，需要网管对所工作的操作系统平台比较熟悉。

2.硬件防火墙

这里所说的硬件防火墙是指所谓的硬件防火墙。之所以加上“所谓”二字，是针对芯片级防火墙来说的。它们最大的差别在于是否基于专用的硬件平台。目前市场上大多数防火墙都是这种所谓的硬件防火墙，它们都基于PC架构。也就是说，它们和普通家庭用的PC没有太大区别。在这些PC架构计算机上运行一些经过裁剪和简化的操作系统，最常用的有旧版本的UNIX、Linux和FreeBSD系统。值得注意的是，由于此类防火墙采用的依然是别人的内核，因此会受到OS（操作系统）本身的安全性影响。

3.芯片级防火墙

芯片级防火墙基于专门的硬件平台，没有操作系统。专有的ASIC芯片促使它们比其他种类的防火墙速度更快，处理能力更强，性能更高。做这类防火墙最出名的厂商有NetScreen、FortiNet和Cisco等。这类防火墙由于是专用OS（操作系统），因此防火墙本身的漏洞比较少，不过价格相对比较昂贵。

（二）按防火墙技术分类

防火墙技术总体上可分为“包过滤型”和“应用代理型”两大类。前者以以色列的Checkpoint防火墙和美国Cisco公司的PIX防火墙为代表，后者以美国NAI公司的Gauntlet防火墙为代表。(www.chuimin.cn)

1.包过滤型防火墙

包过滤（Packet Filtering）型防火墙工作在OSI网络参考模型的网络层和传输层，它根据数据包头源地址、目的地址、端口号和协议类型等标志确定是否允许通过。只有满足过滤条件的数据包才被转发到相应的目的地，其余数据包则被从数据流中丢弃。

包过滤方式是一种通用、廉价和有效的安全手段。之所以通用，是因为它不是针对各个具体的网络服务采取的特殊处理方式，而是适用于所有网络服务；之所以廉价，是因为大多数路由器都提供数据包过滤功能，所以这类防火墙多数是由路由器集成的；之所以有效，是因为它能满足绝大多数安全要求。

在整个防火墙技术的发展过程中，包过滤技术出现了两种不同版本，称为“第一代静态包过滤”防火墙和“第二代动态包过滤”防火墙。

2.应用代理型防火墙

由于包过滤技术无法提供完善的数据保护措施，而且对一些特殊的报文攻击，仅仅使用过滤的方法并不能消除危害（如SYN攻击、ICMP洪水等），因此人们需要一种更全面的防火墙保护技术，在这样的需求背景下，采用“应用代理（Application Proxy）”技术的防火墙诞生了。

应用代理型防火墙工作在OSI的最高层，即应用层。它完全“阻隔”了网络通信流，通过对每种应用服务编制专门的代理程序，实现监视和控制应用层通信流的作用。

在代理型防火墙技术的发展过程中，它也经历了两个不同的版本：第一代应用网关代理型防火墙和第二代自适应代理型防火墙。

计算机网络与信息安全：防火墙的分类

相关推荐