硬件防火墙与软件防火墙的对比分析

  对于防火墙的认识，我们已经讲过许多的相关内容了，但防火墙的知识还有很多是需要我们去学习的，多学一点，我们对防火墙也就熟悉多一点。在这里，我们来从硬件防火墙与软件防火墙的概念等方面进行对比分析。

　　硬件防火墙

　　硬件防火墙采用了较安全操作系统，具有3至10个网络接口。标准配置为3个网络接口，可用于控制却出内部网和外部网及访问行为、检测攻击行为、对常用攻击行为做出反应，并对通信进行审计等。硬件防火墙是通过硬件和软件的组合来达到隔离内外部网络的目的。

　　硬件防火墙的安全机制有:

　　·多端口结构:

　　·透明连接方式:

　　·多级过滤技术:

　　·网络地址转换(NAT)技术:

　　·安全服务器网络SSN;

　　·用户鉴别:

　　·透明代理:

　　• IP和MAC地址绑定:

　　·安全套接层SSL;

　　·日志与审计:

　　·流量管理:

　　·双机热备:

　　·支持与IDS联动:

　　·SSH远程管理:

　　·支持SNMP。

　　硬件防火墙很重要，因为它们提供了第一道防线，可以抵御来自外界的几种常见类型的攻击。另外，它们一般几乎不用什么配置就能起到很好的效果，可以保护本地网络上的每台机器。

　　硬件防火墙采用专用的硬件设备，然后集成生产厂商的专用防火墙软件。从功能上看，硬件防火墙内建安全软件，使用专属或强化的操作系统，管理方便，更换容易，软硬件搭配较固定。硬件防火墙效率高，解决了防火墙效率、性能之间的矛盾，可以达到线性。

　　软件防火墙

  我们以Windows下常用的瑞星个人防火墙为例，说明软件防火墙的使用和配置。打开防火墙主程序，在菜单中依次选择"设置"、"详细设置飞在弹出的"详细设置"对话框中进行系统设置。其中规则设置包括:黑名单、自名单、端口开关、可信区、IP规则和模块规则。如下图所示。

　　软件防火墙是通过纯软件的的方式实现隔离内外部网络的目的。软件防火墙一般基于某个操作系统平台开发，直接在计算机上进行软件的安装和配置。由于客户平台的多样性，软件防火墙需支持多操作系统，如Unix、Linux、SCO-Unix、Windows等，代码庞大、安装成本高、售后支持成本高、效率低。

　　由于软件防火墙直接在计算机上运行，它势必能够了解关于网络流量的更多情况，而不是只了解使用哪个端口、流量去向哪里;它还知道哪个程序试图访问互联网，该程序是合法程序还是恶意程序(软件防火墙会查询定期更新的数据库，来确定这一点)。

　　根据这些信息，软件防火墙可以允许或禁止程序收发数据的功能。如果防火墙对于该程序的性质不太确定，就会提示用户进一步确认，之后才允许流量通过。简而言之，软件防火墙能够更深入地检查恶意流量，及时拦截，以免它离开你的计算机。

　　硬件防火墙与软件防火墙的比较

　　1.稳定性和安全性比较

　　稳定性能的优劣主要来自于防火墙运行平台即操作系统上。

　　硬件防火墙一般使用经过内核编译后的Linux，凭借Linux本身的高可靠性和稳定性保证了防火墙整体的稳定性，Linux永远都不会崩溃，其稳定性是由于它没有像其他操作系统一样内核庞大且漏洞百出。系统的稳定性主要取决于系统设计的结构。计算机硬件的结构自从1981设计开始就没有作特别大的改动，而连续向后兼容性使那些编程风格极差的应用软件勉强移植到Windows的最新版本，这种将就的软件开发模式极大地阻碍了系统稳定性的发展。最令人注目的Linux开放源代码的开发模式，它保证了任何系统的漏洞都能被及时发现和修正。Linux采取了许多安全技术措施，包括对读、写进行权限控制、带保护的子系统、审计跟踪、核心授权等，这为网络多用户环境中的用户提供了必要的安全保障。

　　软件防火墙一般要安装在windows平台上，实现简单，但同时由于windows本身的漏洞和不稳定性带来了软件防火墙的安全性和稳定性的问题。虽然Microsoft也在努力的弥补这些问题，Windows 2003 server本身的漏洞就比前期的Windows NT少了很多，但与Linux比起来还是漏洞倍出。在病毒侵害方面，从linux发展到如今，Linux几乎不感染病毒。而作为Windows 平台下的病毒我们就不必多说了，只要是使用过电脑的人都有感受。像近几个月以来在内网中广泛传播的ARP欺骗病毒，造成了内网不稳定、网络时断时序、经常掉线，无法开展正常的工作，使得很多的网络管理人员束手无策。

　　2.防火墙工作原理上的比较

　　软件防火墙一般可以是包过滤机制。包过滤过滤规则简单，只能检查到第三层网络层，只对源或目的IP做检查，防火墙的能力远不及状态检测防火墙，连最基本的黑客攻击手法IP伪装都无法解决，并且要对所经过的所有数据包做检查，所以速度比较慢。

　　硬件防火墙主要采用第四代状态检测机制。状态检测是在通信发起连接时就检查规则是否允许建立连接，然后在缓存的状态检测表中添加一条记录，以后就不必去检查规则了只要查看状态监测表就OK了，速度上有了很大的提升。因其工作的层次有了提高，其防黑功能比包过滤强了很多，状态检测防火墙跟踪的不仅是包中包含的信息。为了跟踪包的状态，防火墙还记录有用的信息以帮助识别包，例如已有的网络连接、数据的传出请求等。

　　3.吞吐量和包转发率比较

　　吞吐量和报文转发率是关系防火墙应用的主要指标，硬件防火墙的硬件设备是经专业厂商定制的，在定制之初就充分考虑了吞吐量的问题，在这一点上远远胜于软件防火墙，因为软件防火墙的硬件是用户自己选择的很多情况下都没有考虑吞吐量的问题，况且windows系统本身就很耗费硬件资源，其吞吐量和处理大数据流的能力远不及硬件防火墙，这一点是不言而喻的。吞吐量太小的话，防火墙就是网络的瓶颈，会带来网络速度慢、上网带宽不够等等问题。

　　硬件防火墙对比软件防火墙的优势可以概括为：

　　1、性能优势。防火墙的性能对防火墙来说是至关重要的。它决定了每秒钟通过防火墙的数据流量。单位是Bps，从几十M到几百M不等，还有千兆防火墙甚至达到几G的防火墙。而软件防火墙则不可能达到如此高的速率。

　　2、CPU占用率的优势。硬件防火墙的CPU占用率当然是0了，而软件防火墙就不同了，如果处于节约成本的考虑将防火墙软件安装在提供服务的主机上，当数据流量较大时，CPU占用率将是主机的杀手，将拖跨主机。

　　3、售后支持。硬件防火墙厂家会对防火墙产品有跟踪的服务支持，而软件防火墙的用户能得到这种机会的相对较少，而且厂家也不会在软件防火墙上下太大的功夫和研发经费。

　　其实，硬件防火墙和软件防火墙各有各的优缺点，可以将这两者结合起来使用，这样可以执行互为补充的功能，可以提供比单独使用更有力的保护，当然，并不一定说就要结合起来用，这得取决于你的选择。