计算机网络 防火墙的类型

计算机网络防火墙的类型

目前，市场上的防火墙产品种类繁多，根据不同的划分原则，能够将防火墙分成不同的类型。下面我们将根据不同的划分标准对常见的防火墙产品进行介绍。

1．从软、硬件形式分

从防火墙的软、硬件形式进行划分的话，可以将防火墙分为软件防火墙、硬件防火墙和芯片级防火墙三种类型。

●软件防火墙

软件防火墙就像其他的软件产品一样，需要安装在计算机上并配置完成后才可以使用。一般来说，软件防火墙都安装在整个网络的网关计算机上。在软件防火墙中，适合普通用户安装的软件防火墙又称为“个人防火墙”，如图6-20所示。

图6-20 个人防火墙

●硬件防火墙

这种硬件防火墙构建在普通计算机上，通过在裁剪和简化的操作系统（常用的有UNIX、Linux和FreeBSD等）中运行防火墙软件实现安全保卫功能的防火墙产品。由于这类防火墙的核心依然是通用操作系统，因此会受到操作系统本身的安全性影响。

●芯片级防火墙

芯片级防火墙基于专门的硬件平台，采用专用的ASIC芯片，特点是处理能力强、性能优越。由于这类防火墙使用专用的操作系统，因此防火墙本身的漏洞比较少，但价格相对较为昂贵。如图6-21所示，即为一款芯片级防火墙。

图6-21 芯片级防火墙

2．从实用技术分

根据不同防火墙采用的安全保护技术，总体来讲防火墙分为包过滤型防火墙和应用代理型防火墙两大类。

●包过滤型

包过滤型防火墙工作在OSI参考模型的网络层和传输层，根据数据包包头信息中的源/

目的地址、端口号和协议类型等内容决定是否允许数据包通过。只有满足过滤条件的数据包才会被转发到相应的目的地址，其余数据包则会被防火墙丢弃。

包过滤型防火墙的典型产品形式为带有包过滤功能的路由器，此外，几乎所有的软件防火墙都是基于包过滤技术的防火墙产品。

●应用代理型

与包过滤型防火墙不同，应用代理型防火墙工作于OSI参考模型的应用层。应用代理型防火墙通过为每种应用服务编制专门的代理程序及安全策略，实现监视并控制应用层通信流的作用。

应用代理防火墙的突出特点是其安全性，由于它工作于OSI参考模型的最高层，所以它可以根据不同的安全需求，对网络中任何一层的数据通信进行筛选保护。而它的最大缺点是速度相对较慢，当在短时间内有大量数据需要通过防火墙时，应用代理防火墙很容易就会成为网络间的瓶颈。

3．从应用部署位置分

按照防火墙应用部署位置的不同，防火墙分为边界防火墙、个人防火墙和混合防火墙三大类。

●边界防火墙

这种防火墙位于内部网络与外部网络之间，是最常见的一种防火墙，其主要作用是隔离内、外部网络之间的直接访问，以保护内部网络。这类防火墙大多属于硬件防火墙，其性能较好，价格也较贵。

●个人防火墙

这是一种软件防火墙产品，通过在用户计算机上安装防火墙软件来实现对单一计算机的保护。个人防火墙的主要用于普通用户，它的特点是价格便宜，但性能也较差。

●混合防火墙

混合防火墙即分布式防火墙，它是一套完整的防火墙系统，由若干软、硬件组成。混合防火墙分布于内、外网络边界和内部各个主机之间，既对内、外部网络之间的通信进行过滤，又对网络内部各主机间的通信进行过滤。这是一种最新型的防火墙产品，性能最好，价格比较昂贵。