防火牆是硬體還是軟體設備

防火牆既是硬體設備，也是軟體設備，它是由軟體和硬體設備組合而成的。防火牆是透過有機結合各類用於安全管理與篩選的軟體和硬體設備，幫助電腦網路於其內、外網之間建構一道相對隔絕的保護屏障，以保護用戶資料與資訊安全性的一種技術。

本教學操作環境：windows7系統、Dell G3電腦。

什麼是防火牆？

防火牆，指由軟體和硬體設備組合而成、在內部網路和外部網路之間、區域網路與外網路之間的保護屏障。 就像架起了一面牆，它能讓網路之間建立起一個安全網關，從而保護內部網路免受非法使用者的侵入。

防火牆技術是透過有機結合各類用於安全管理與篩選的軟體和硬體設備，幫助電腦網路於其內、外網之間建立相對隔絕的保護屏障，以保護使用者資料與資訊安全性的一種技術。

防火牆技術的功能主要在於及時發現並處理電腦網路運行時可能存在的安全風險、資料傳輸等問題，其中處理措施包括隔離與保護，同時可對電腦網路安全當中的各項操作實施記錄與偵測，以確保電腦網路運作的安全性，保障使用者資料與資訊的完整性，提供使用者更好、更安全的電腦網路使用體驗。

熟悉網路的朋友一定對防火牆不陌生，不管是電腦自備的防火牆還是，還是一般的軟體防火牆，或是硬體防火牆，多多少少都有些了解。在這個時代，電腦病毒已是常態，如何阻止外部駭客存取你的系統和敏感資料？最簡單的方法是透過防火牆。

硬體防火牆和軟體防火牆有什麼不同？

硬體防火牆，把「軟體防火牆」嵌入在硬體中，把「防火牆程式」加入到晶片裡面，由硬體執行這些功能，從而減少電腦或伺服器的CPU負擔。一般的「軟體安全廠商」所提供的「硬體防火牆”，就是在「硬體伺服器廠商」客製化硬件，然後再把「Linux系統」與自己的軟體系統結合嵌入。

軟體防火牆，一般是基於某個作業系統平台開發，直接在電腦上進行軟體的安裝與設定。由於客戶之間的作業系統多樣性，軟體防火牆需要支援多種作業系統，如「Unix、Linux、SCO-Unix、Windows」等。

硬體防火牆，是透過硬體和軟體的組合來達到隔離內部外部網路的目的；而軟體防火牆，是透過純軟體的的方式，實現隔離內部外部網路的目的。

一、穩定性

穩定性能的優劣，主要來自於防火牆的運作平台，也就是「作業系統」上。

硬體防火牆，一般使用經過核心編譯後的Linux系統，憑藉Linux系統本身的高可靠性和穩定性，保證了防火牆整體的穩定性。

Linux系統永遠都不會崩潰，它的穩定性是由於沒有像其他作業系統一樣，核心龐大且漏洞百出。系統的穩定性主要取決於系統設計的結構。電腦硬體的結構，自從1981年設計開始就沒有做特別大的改動，而連續向後兼容性，使那些編程風格極差的應用軟體勉強移植到Windows的最新版本，這種「將就的軟體開發模式」極大地阻礙了系統穩定性的發展。

而令人關注的Linux開放原始碼的開發模式，它保證了任何系統的漏洞，都能被及時發現和修正。 Linux系統採取了許多安全技術措施，包括「對讀取、寫入進行權限控制」、「帶保護的子系統」、「審計追蹤」、「核心授權」等，這為網路多用戶環境中的用戶，提供了必要的安全保障。

軟體防火牆，一般要安裝在windows平台上，實現簡單，但同時由於windows作業系統本身的漏洞和不穩定性，也帶來了軟體防火牆的安全性和穩定性的問題。雖然Microsoft（微軟）也在努力的彌補這些問題，但與Linux作業系統比起來，還是漏洞倍出。

在病毒侵害方面，從linux系統發展到至今，幾乎沒有感染過病毒。而基於Windows作業系統漏洞產生的病毒，我們就不必多說了，只要是長期使用過PC（個人電腦）的人，都有大致的感受。

二、主要指標

“吞吐量”和“封包轉送率”，是關係防火牆應用的主要指標。

吞吐量：網路中的數據，由一個個資料包組成，防火牆對每個資料包的處理要耗費資源。吞吐量是指在不丟包的情況下，單位時間內通過防火牆的資料包數量。這是測量防火牆性能的重要指標。

硬體防火牆的硬體設備，是由專業廠商定制的，在定制之初就充分考慮了「吞吐量」的問題，在這一點上遠遠勝於軟體防火牆，因為軟體防火牆的硬件，是用戶在購買電腦時自己選擇和配置的，很多情況下都沒有考慮「吞吐量」的問題，況且windows系統本身就很耗費硬體資源，其吞吐量和處理大數據流的能力，遠不及硬體防火牆。

吞吐量太小的話，防火牆就變成網路的瓶頸，會帶來「網路速度慢、上網頻寬不夠」等問題。

三、工作原理

軟體防火牆，一般是“包過濾機制”，過濾規則簡單，只能檢查到第三層“網路層”，只對來源或目的IP做檢查，防火牆的能力遠不及硬體防火牆，連最基本的駭客攻擊手法：“IP偽裝”，都無法解決，要對所經過的所有資料包做檢查，所以速度比較慢。

硬體防火牆，主要採用第四代“狀態檢測機制”，“狀態檢測”是在通訊發起連接時，就檢查規則是否允許建立連接，然後在快取的狀態檢測表中添加一條記錄，以後就不必去檢查規則了，只要查看狀態檢測表就OK了，速度上有了很大的提升。

因為工作的層次有了提高，所以硬體防火牆的防駭客功能，比軟體防火牆，強了許多。硬體防火牆的“狀態檢測機制”，追蹤的不僅是“資料包”中包含的信息，為了追蹤“資料包”的狀態，防火牆還記錄有用的信息以幫助識別“資料包”，例如“現有的網路連線、資料的傳出請求」等。

例如，如果傳入的資料包，包含了視訊資料流，而防火牆可能已經記錄了有關信息，並進行匹配，資料包就可以被允許通過。 。

硬體防火牆和軟體防火牆，在實現的機制上，有很大的不同，因此，也帶來了軟硬體防火牆在防黑能力上的很大差異。

四、內部網路控制

軟體防火牆，由於本身的工作原理，造成了它不具備內網具體化的控制管理。例如：「不能禁止QQ、不能很好地防止病毒侵入、不能針對特定的IP和MAC做上網控制」等，其主要的功能在於對外。

硬體防火牆，在基於「狀態偵測」的機制上，安全廠商又可以根據市場的不同需求，開發「應用層」過濾規則，來滿足對內網的控制，從而能在高層進行過濾，做到了軟體防火牆不能做到的很多事情。尤其是流行的ARP病毒，硬體防火牆針對入侵的原理，做了相應的策略，徹底解除了ARP病毒的危害。

防火牆，已經不僅限於對外的防止駭客攻擊，更多的企業內部網絡，諸如「上網速度慢、時斷時續、郵件收發不正常」等問題。

分析其主要原因，還是在於內網用戶的使用問題，例如：很多的用戶，上班時間使用BT下載、瀏覽一些不正規的網站，這樣都會引起內網諸多的不安全性，例如：病毒，很多病毒傳播都是使用者的不良行為而造成的。所以說內網用戶的控制和管理，是很必要的。

防火牆的核心技術

#防火牆整體上分為套件過濾、應用級網關和代理伺服器等幾大類型。包含以下幾種核心技術：

1、套件過濾技術

套件過濾技術是一種簡單、有效的安全控制技術，它運作在網路層，透過在網路間相互連接的裝置上載入允許、禁止來自某些特定的來源位址、目的位址、TCP連接埠號碼等規則，對透過裝置的封包進行檢查，限制封包進出內部網路。

套件過濾的最大優點是對使用者透明，傳輸效能高。但由於安全控制層次在網路層、傳輸層，安全控制的力道也只限於來源位址、目的位址和連接埠號，因而只能進行較為初步的安全控制，對於惡意的擁塞攻擊、記憶體覆蓋攻擊或病毒等高層次的攻擊手段，則無能為力。

2、應用程式代理技術

應用程式代理防火牆工作在OSI的第七層，它透過檢查所有應用層的資訊包，並將檢查的內容訊息放入決策過程，從而提高網路的安全性。

應用網關防火牆是透過打破客戶機/伺服器模式來實現的。每個客戶機/伺服器通訊需要兩個連線：一個是從客戶端到防火牆，另一個是從防火牆到伺服器。另外，每個代理需要一個不同的應用進程，或一個後台運行的服務程序，對每個新的應用必須添加針對此應用的服務程序，否則不能使用該服務。所以，應用網關防火牆具有可伸縮性差的缺點。

3、狀態偵測技術

狀態偵測防火牆工作在OSI的第二至四層，採用狀態偵測套件過濾的技術，是傳統套件過濾功能擴展而來。狀態偵測防火牆在網路層有一個檢查引擎截獲資料包並抽取與應用程式層狀態有關的信息，並以此為依據決定對該連線是接受還是拒絕。這種技術提供了高度安全的解決方案，同時具有較好的適應性和擴展性。狀態檢測防火牆一般也包括一些代理級的服務，它們提供附加的對特定應用程式資料內容的支援。

狀態偵測防火牆基本上保持了簡單套件過濾防火牆的優點，效能比較好，同時對應用是透明的，在此基礎上，對於安全性有了大幅提升。這種防火牆摒棄了簡單包過濾防火牆僅僅考察進出網路的資料包，不關心資料包狀態的缺點，在防火牆的核心部分建立狀態連接表，維護了連接，將進出網路的資料當成一個個的事件來處理。主要特點是由於缺乏對應用程式層協定的深度檢測功能，無法徹底的識別資料包中大量的垃圾郵件、廣告以及木馬程式等等。

4、完全內容偵測技術

完全內容偵測技術防火牆綜合狀態偵測與應用程式代理技術，並在此基礎上進一步基於多層偵測架構，把防毒、內容過濾、應用程式辨識等功能整合到防火牆裡，其中還包括IPS功能，多單元融為一體，在網路介面對應用程式層掃描，把防毒、內容過濾與防火牆結合起來，這體現了網絡與資訊安全的新思路，(因此也被稱為「下一代防火牆技術」)。它在網路邊界實施OSI第七層的內容掃描，實現了即時在網路邊緣佈署病毒防護、內容過濾等應用層服務措施。完全內容偵測技術防火牆可以檢查整個封包內容，依需求建立連線狀態表，網路層保護強，應用層控制細等優點，但由於功能整合度高，產品硬體的要求比較高。

更多相關知識，請造訪常見問題欄位！

以上是防火牆是硬體還是軟體設備的詳細內容。更多資訊請關注PHP中文網其他相關文章！