企业防火墙的种类有哪些？是什么，大概用在哪方面.如题 谢谢了

不同环境的网络，对于防火墙的要求各不一样。比如说IDS功能、功能，对于一些小型的公司来说就不需要这些功能。再比如说流量和性能、处理能力之间的关系，究竟多大规模的网络，多大的流量需要多大的性能和多强的处理能力才算是合适呢那么就需要选购者对于防火墙的选型方面仔细考虑了。 首先大概说一下防火墙的分类。就防火墙的组成结构而言，可分为以下三种： 第一种：软件防火墙 这里指的是网络版的软件防火墙而不是个人防火墙。个人防火墙在网上有很多可以免费下载的，不需要花钱买。软件防火墙运行于特定的计算机上，它需要客户预先安装好的计算机 *** 作系统的支持，一般来说这台计算机就是整个网络的网关。软件防火墙就象其它的软件产品一样需要先在计算机上安装并做好配置才可以使用。防火墙厂商中做网络版软件防火墙最出名的莫过于Checkpoint。 第二种：硬件防火墙 这里说的硬件防火墙是指所谓的硬件防火墙。之所以加上"所谓"二字是针对芯片级防火墙说的了。它们最大的差别在于是否基于专用的硬件平台。目前市场上大多数防火墙都是这种所谓的硬件防火墙，他们都基于PC架构，就是说，它们和普通的家庭用的PC没有太大区别。在这些PC架构计算机上运行一些经过裁剪和简化的 *** 作系统，最常用的有老版本的Unix、Linux和FreeBSD系统。 第三种：芯片级防火墙 它们基于专门的硬件平台，没有 *** 作系统。专有的ASIC芯片促使它们比其他种类的防火墙速度更快，处理能力更强，性能更高。做这类防火墙最出名的厂商莫过于NetScreen其他的品牌还有FortiNet,算是后起之秀了。 对防火墙的分类有了初步的了解之后，选购者比较关心的就是下面所说的――这三种防火墙各自的优缺点以及这几种防火墙对于不同的网络环境的应用有何不同。弄清楚这些才能对防火墙本身有个比较好的了解，对于选购也是及其有帮助的。 在防火墙的应用上，除了防火墙的基本功能之外，还根据企业用户的需要添加了许多其他的扩展功能。 通常有NAT、DNS、、IDS等。由于软件防火墙和硬件防火墙是运行于一定 *** 作系统上的特定软件，所以一些防火墙所需要实现的功能就可以像大家普遍使用的软件一样，分成许多个模块。一些防火墙的厂商也是这样做的，他们将一些扩展的功能划分出来，如果需要使用则另行购买安装。例如IDS功能，有些公司已经购买了专业的IDS产品，那么防火墙上单加了一个IDS的功能则显得有些多余。那么就可以不再购买防火墙中IDS的部分。 芯片级防火墙的核心部分就是ASIC芯片，所有的功能都集成做在这一块小小的芯片上，可以选择这些功能是否被启用。由于有专用硬件的支持，在性能和处理速度上高出前两种防火墙很多，在拥有全部功能后处理速度还是比较令人满意的。 大多数人在选购防火墙的时候会着重于这个防火墙相对于其他防火墙都多出什么功能，性能高多少之类的问题。但对于防火墙来说，自身的安全性决定着全网的安全性。 由于软件防火墙和硬件防火墙的结构是软件运行于一定的 *** 作系统之上，就决定了它的功能是可以随着客户的实际需要而做相应调整的，这一点比较灵活。当然了，在性能上来说，多添加一个扩展功能就会对防火墙处理数据的性能产生影响，添加的扩展功能越多，防火墙的性能就越下降。 由于前两种防火墙运行于 *** 作系统之后，所以它的安全性很大程度上决定于 *** 作系统自身的安全性。无论是UNIX、Linux、还是FreeBSD系统，它们都会有或多或少的漏洞，一旦被人取得了控制权，整个内网的安全性也就无从谈起了，黑客可以随意修改防火墙上的策略和访问权限，进入内网进行任意破坏。由于芯片级防火墙不存在这个问题，自身有很好的安全保护，所以较其他类型的防火墙安全性高一些。 芯片级防火墙专有的ASIC芯片，促使它们比其他种类的防火墙速度更快，处理能力更强。专用硬件和软件强大的结合提供了线速处理深层次信息包检查、坚固的加密、复杂内容和行为扫描功能的优化。不会在网络流量的处理上出现瓶颈。 防毒对于一个企业来说也是必不可少的。芯片级防火墙的后起之秀Fortinet就可以在网关处结合FortiContent技术为各种网络数据交易和企业网络进行高级别的病毒安全防护,保护内部网络的安全。大部分防火墙都可以与防病毒软件搭配实现扫毒功能，而扫毒功能通常是由其他的server来实现处理的。如此互动，与在防火墙在进行流量处理的同时就完成的扫毒功能相比自然是差了许多。 在小型且不需要其他特殊功能的网络来说，硬件防火墙无非是比较好的选择。由于不需要扩展功能，或者扩展功能用的比较少，另行购买的模块就少，在价格上和使用方面就比芯片级要合算。

防火墙分为硬防火墙和软防火墙。
硬防火墙即硬件防火墙（>防火墙的基本类型
根据防火墙所采用的技术不同，可以将它分为三种基本类型：包过滤型、代理型和全状态检测型。

(1) 包过滤型
包过滤型产品是防火墙的初级产品，其技术依据是网络中的分包传输技术。网络上的数据都是以"包"为单位进行传输的，数据被分割成为一定大小的数据包，每一个数据包中都会包含一些特定信息，如数据的源地址、目标地址、TC P／UDP源端口和目标端口等。防火墙通过读取数据包中的地址地信息来判断这些"包"是否来自可信任的安全站点，一旦发现来自危险站点的数据包，防火墙便会将这些数据拒之门外。系统管理员也可以根据实际情况灵活制订判断规则。
包过滤技术的优点是简单实用，实现成本较低，在应比环境比较简单的情况下，能够以较小的代价在一定程度上保证系统的安全。
但包过滤技术的缺陷也是明显的。包过滤技术是一种完全基于网络层的安全技术，只能根据数据包的来源、目标和端口等网络信息进行判断，无法识别基于应用层的恶意侵入，如恶意的Java小程序以及电子邮件中附带的病毒。有经验的黑客很容易伪造IP地址，骗过包过滤型防火墙。

(2) 代理型
代理型防火墙也可以被称为代理服务器，它的安全性要高于包过滤型产品，并已经开始向应用发展。代理服务器位于客户机与服务器之间，完全阻挡了二者间的数据交流。从客户机看，代理服务器相当于一台真正的服务器；而从服务器来看，代理服务器又是一台真正的客户机。当客户机需要使用服务器上的数据时，首先将数据请求发给代理服务器，代理服务器再根据这一请求向服务器索取数据，然后再由代理服务器将数据传输给客户机。由于外部系统与内部服务器之间没有直接的数据通道，外部的恶意侵害也就很难伤害到企业内部网系统。
代理型防火墙的优点是安全性较高，可以针对应用层进行侦测和扫描，对付基于应用层的侵入和病毒都十分有效。其缺点是对系统的整体性能有较大的影响，而且代理服务器必须针对客户机可能产生的所有应用层型逐一进行设置，大大增加了系统管理的复杂性。

(3) 全状态检测型
全状态检测型防火墙是新一代的产品，这一技术实际已经超越了最初的防火墙定义。全状态检测型防火墙能够对各层的数据进行主动的、实时的监测，在对这些数据加以分析的基础上，全状态检测型防火墙能够有效地判断出各层中的非法侵入。同时，这种检测型防火墙产品一般还带有分布式探测器，这些探测器安置在各种应用服务器和其他网络的节点之中，不仅能够检测来自网络外部的攻击，同时对来自内部的恶意破坏也有极强的防范作用。据权威机构统计，在针对网络系统的攻击中，有相当比例的攻击来自网络内部。因此，全状态检测型防火墙不仅超越了传统防火墙的定义，而且在安全性也超越了前两代产品。

一、防火墙的作用是什么？ 1包过滤 具备包过滤的就是防火墙？对，没错！根据对防火墙的定义，凡是能有效阻止网络非法连接的方式，都算防火墙。早期的防火墙一般就是利用设置的条件，监测通过的包的特征来决定放行或者阻止的，包过滤是很重要的一种特性。虽然防火墙技术发展到现在有了很多新的理念提出，但是包过滤依然是非常重要的一环，如同四层交换机首要的仍是要具备包的快速转发这样一个交换机的基本功能一样。通过包过滤，防火墙可以实现阻挡攻击，禁止外部/内部访问某些站点，限制每个ip的流量和连接数。2包的透明转发 事实上，由于防火墙一般架设在提供某些服务的服务器前。如果用示意图来表示就是 Server—FireWall—Guest 。用户对服务器的访问的请求与服务器反馈给用户的信息，都需要经过防火墙的转发,因此，很多防火墙具备网关的能力。3阻挡外部攻击 如果用户发送的信息是防火墙设置所不允许的，防火墙会立即将其阻断，避免其进入防火墙之后的服务器中。4记录攻击 如果有必要，其实防火墙是完全可以将攻击行为都记录下来的，但是由于出于效率上的考虑，目前一般记录攻击的事情都交给IDS来完成了，我们在后面会提到。以上是所有防火墙都具备的基本特性，虽然很简单，但防火墙技术就是在此基础上逐步发展起来的。二、防火墙有哪些缺点和不足？ 1防火墙可以阻断攻击，但不能消灭攻击源。“各扫自家门前雪，不管他人瓦上霜”，就是目前网络安全的现状。互联网上病毒、木马、恶意试探等等造成的攻击行为络绎不绝。设置得当的防火墙能够阻挡他们，但是无法清除攻击源。即使防火墙进行了良好的设置，使得攻击无法穿透防火墙，但各种攻击仍然会源源不断地向防火墙发出尝试。例如接主干网10M网络带宽的某站点，其日常流量中平均有512K左右是攻击行为。那么，即使成功设置了防火墙后，这512K的攻击流量依然不会有丝毫减少。2防火墙不能抵抗最新的未设置策略的攻击漏洞就如杀毒软件与病毒一样，总是先出现病毒，杀毒软件经过分析出特征码后加入到病毒库内才能查杀。防火墙的各种策略，也是在该攻击方式经过专家分析后给出其特征进而设置的。如果世界上新发现某个主机漏洞的cracker的把第一个攻击对象选中了您的网络，那么防火墙也没有办法帮到您的。3防火墙的并发连接数限制容易导致拥塞或者溢出由于要判断、处理流经防火墙的每一个包，因此防火墙在某些流量大、并发请求多的情况下，很容易导致拥塞，成为整个网络的瓶颈影响性能。而当防火墙溢出的时候，整个防线就如同虚设，原本被禁止的连接也能从容通过了。4防火墙对服务器合法开放的端口的攻击大多无法阻止某些情况下，攻击者利用服务器提供的服务进行缺陷攻击。例如利用开放了3389端口取得没打过sp补丁的win2k的超级权限、利用asp程序进行脚本攻击等。由于其行为在防火墙一级看来是“合理”和“合法”的，因此就被简单地放行了。5防火墙对待内部主动发起连接的攻击一般无法阻止“外紧内松”是一般局域网络的特点。或许一道严密防守的防火墙内部的网络是一片混乱也有可能。通过社会工程学发送带木马的邮件、带木马的URL等方式，然后由中木马的机器主动对攻击者连接，将铁壁一样的防火墙瞬间破坏掉。另外，防火墙内部各主机间的攻击行为，防火墙也只有如旁观者一样冷视而爱莫能助。6．防火墙本身也会出现问题和受到攻击防火墙也是一个os，也有着其硬件系统和软件，因此依然有着漏洞和bug。所以其本身也可能受到攻击和出现软/硬件方面的故障。7．防火墙不处理病毒不管是funlove病毒也好，还是CIH也好。在内部网络用户下载外网的带毒文件的时候，防火墙是不为所动的（这里的防火墙不是指单机/企业级的杀毒软件中的实时监控功能，虽然它们不少都叫“病毒防火墙”）。看到这里，或许您原本心目中的防火墙已经被我拉下了神台。是的，防火墙是网络安全的重要一环，但不代表设置了防火墙就能一定保证网络的安全。“真正的安全是一种意识，而非技术!”请牢记这句话。不管怎么样，防火墙仍然有其积极的一面。在构建任何一个网络的防御工事时，除了物理上的隔离和目前新近提出的网闸概念外，首要的选择绝对是防火墙。那么，怎么选择需要的防火墙呢？防火墙的分类介绍： 首先大概说一下防火墙的分类。就防火墙（本文的防火墙都指商业用途的网络版防火墙，非个人使用的那种）的组成结构而言，可分为以下三种：第一种：软件防火墙软件防火墙运行于特定的计算机上，它需要客户预先安装好的计算机 *** 作系统的支持，一般来说这台计算机就是整个网络的网关。软件防火墙就象其它的软件产品一样需要先在计算机上安装并做好配置才可以使用。防火墙厂商中做网络版软件防火墙最出名的莫过于Checkpoint。使用这类防火墙，需要网管对所工作的 *** 作系统平台比较熟悉。第二种：硬件防火墙这里说的硬件防火墙是指所谓的硬件防火墙。之所以加上"所谓"二字是针对芯片级防火墙说的了。它们最大的差别在于是否基于专用的硬件平台。目前市场上大多数防火墙都是这种所谓的硬件防火墙，他们都基于PC架构，就是说，它们和普通的家庭用的PC没有太大区别。在这些PC架构计算机上运行一些经过裁剪和简化的 *** 作系统，最常用的有老版本的Unix、Linux和FreeBSD系统。 值得注意的是，由于此类防火墙采用的依然是别人的内核，因此依然会受到os本身的安全性影响

防火墙
一、防火墙能够作到些什么？
1包过滤
具备包过滤的就是防火墙？对，没错！根据对防火墙的定义，凡是能有效阻止网络非法连接的方式，都算防火墙。早期的防火墙一般就是利用设置的条件，监测通过的包的特征来决定放行或者阻止的，包过滤是很重要的一种特性。虽然防火墙技术发展到现在有了很多新的理念提出，但是包过滤依然是非常重要的一环，如同四层交换机首要的仍是要具备包的快速转发这样一个交换机的基本功能一样。通过包过滤，防火墙可以实现阻挡攻击，禁止外部/内部访问某些站点，限制每个ip的流量和连接数。
2包的透明转发
事实上，由于防火墙一般架设在提供某些服务的服务器前。如果用示意图来表示就是 Server—FireWall—Guest 。用户对服务器的访问的请求与服务器反馈给用户的信息，都需要经过防火墙的转发,因此，很多防火墙具备网关的能力。
3阻挡外部攻击
如果用户发送的信息是防火墙设置所不允许的，防火墙会立即将其阻断，避免其进入防火墙之后的服务器中。
4记录攻击
如果有必要，其实防火墙是完全可以将攻击行为都记录下来的，但是由于出于效率上的考虑，目前一般记录攻击的事情都交给IDS来完成了，我们在后面会提到。
以上是所有防火墙都具备的基本特性，虽然很简单，但防火墙技术就是在此基础上逐步发展起来的。
二、防火墙有哪些缺点和不足？
1防火墙可以阻断攻击，但不能消灭攻击源。
“各扫自家门前雪，不管他人瓦上霜”，就是目前网络安全的现状。互联网上病毒、木马、恶意试探等等造成的攻击行为络绎不绝。设置得当的防火墙能够阻挡他们，但是无法清除攻击源。即使防火墙进行了良好的设置，使得攻击无法穿透防火墙，但各种攻击仍然会源源不断地向防火墙发出尝试。例如接主干网10M网络带宽的某站点，其日常流量中平均有512K左右是攻击行为。那么，即使成功设置了防火墙后，这512K的攻击流量依然不会有丝毫减少。
2防火墙不能抵抗最新的未设置策略的攻击漏洞
就如杀毒软件与病毒一样，总是先出现病毒，杀毒软件经过分析出特征码后加入到病毒库内才能查杀。防火墙的各种策略，也是在该攻击方式经过专家分析后给出其特征进而设置的。如果世界上新发现某个主机漏洞的cracker的把第一个攻击对象选中了您的网络，那么防火墙也没有办法帮到您的。
3防火墙的并发连接数限制容易导致拥塞或者溢出
由于要判断、处理流经防火墙的每一个包，因此防火墙在某些流量大、并发请求多的情况下，很容易导致拥塞，成为整个网络的瓶颈影响性能。而当防火墙溢出的时候，整个防线就如同虚设，原本被禁止的连接也能从容通过了。
4防火墙对服务器合法开放的端口的攻击大多无法阻止
某些情况下，攻击者利用服务器提供的服务进行缺陷攻击。例如利用开放了3389端口取得没打过sp补丁的win2k的超级权限、利用asp程序进行脚本攻击等。由于其行为在防火墙一级看来是“合理”和“合法”的，因此就被简单地放行了。
5防火墙对待内部主动发起连接的攻击一般无法阻止
“外紧内松”是一般局域网络的特点。或许一道严密防守的防火墙内部的网络是一片混乱也有可能。通过社会工程学发送带木马的邮件、带木马的URL等方式，然后由中木马的机器主动对攻击者连接，将铁壁一样的防火墙瞬间破坏掉。另外，防火墙内部各主机间的攻击行为，防火墙也只有如旁观者一样冷视而爱莫能助。
6．防火墙本身也会出现问题和受到攻击
防火墙也是一个os，也有着其硬件系统和软件，因此依然有着漏洞和bug。所以其本身也可能受到攻击和出现软/硬件方面的故障。
7．防火墙不处理病毒
不管是funlove病毒也好，还是CIH也好。在内部网络用户下载外网的带毒文件的时候，防火墙是不为所动的（这里的防火墙不是指单机/企业级的杀毒软件中的实时监控功能，虽然它们不少都叫“病毒防火墙”）。
看到这里，或许您原本心目中的防火墙已经被我拉下了神台。是的，防火墙是网络安全的重要一环，但不代表设置了防火墙就能一定保证网络的安全。“真正的安全是一种意识，而非技术!”请牢记这句话。
不管怎么样，防火墙仍然有其积极的一面。在构建任何一个网络的防御工事时，除了物理上的隔离和目前新近提出的网闸概念外，首要的选择绝对是防火墙。那么，怎么选择需要的防火墙呢？
防火墙的分类
首先大概说一下防火墙的分类。就防火墙（本文的防火墙都指商业用途的网络版防火墙，非个人使用的那种）的组成结构而言，可分为以下三种：
第一种：软件防火墙
软件防火墙运行于特定的计算机上，它需要客户预先安装好的计算机 *** 作系统的支持，一般来说这台计算机就是整个网络的网关。软件防火墙就象其它的软件产品一样需要先在计算机上安装并做好配置才可以使用。防火墙厂商中做网络版软件防火墙最出名的莫过于Checkpoint。使用这类防火墙，需要网管对所工作的 *** 作系统平台比较熟悉。
第二种：硬件防火墙
这里说的硬件防火墙是指所谓的硬件防火墙。之所以加上"所谓"二字是针对芯片级防火墙说的了。它们最大的差别在于是否基于专用的硬件平台。目前市场上大多数防火墙都是这种所谓的硬件防火墙，他们都基于PC架构，就是说，它们和普通的家庭用的PC没有太大区别。在这些PC架构计算机上运行一些经过裁剪和简化的 *** 作系统，最常用的有老版本的Unix、Linux和FreeBSD系统。 值得注意的是，由于此类防火墙采用的依然是别人的内核，因此依然会受到os本身的安全性影响。国内的许多防火墙产品就属于此类，因为采用的是经过裁减内核和定制组件的平台，因此国内防火墙的某些销售人员常常吹嘘其产品是“专用的os”等等，其实是一个概念误导，下面我们提到的第三种防火墙才是真正的os专用。
第三种：芯片级防火墙
它们基于专门的硬件平台，没有 *** 作系统。专有的ASIC芯片促使它们比其他种类的防火墙速度更快，处理能力更强，性能更高。做这类防火墙最出名的厂商莫过于NetScreen其他的品牌还有FortiNet,算是后起之秀了。这类防火墙由于是专用OS,因此防火墙本身的漏洞比较少，不过价格相对比较高昂，所以一般只有在“确实需要”的情况下才考虑。
在这里，特别纠正几个不正确的观念：
1在性能上，芯片级防火墙>硬件防火墙>软件防火墙。
在价格上看来，的确倒是如此的关系。但是性能上却未必。防火墙的“好”，是看其支持的并发数、最大流量等等性能，而不是用软件硬件来区分的。事实上除了芯片级防火墙外，软件防火墙与硬件防火墙在硬件上基本是完全一样的。目前国内的防火墙厂商由于大多采用硬件防火墙而不是软件防火墙，原因1是考虑到用户网络管理员的素质等原因，还有就是基于我国大多数民众对“看得见的硬件值钱，看不到的软件不值钱”这样一种错误观点的迎合。不少硬件防火墙厂商大肆诋毁软件防火墙性能，不外是为了让自己那加上了外壳的普通pc＋一个被修改后的内核＋一套防火墙软件能够卖出一个好价钱来而已。而为什么不作芯片级防火墙呢？坦白说，国内没有公司有技术实力。而且在中国市场上来看，某些国内的所谓硬件防火墙的硬件质量连diy的兼容机都比不上。看看国内XX的硬件防火墙那拙劣的硬盘和网卡，使用过的人都能猜到是哪家，我就不点名了。真正看防火墙，应该看其稳定性和性能，而不是用软、硬来区分的。至少，如果笔者自己选购，我会选择购买CheckPoint而非某些所谓的硬件防火墙的。
2在效果上，芯片防火墙比其他两种防火墙好
这同样也是一种有失公允的观点。事实上芯片防火墙由于硬件的独立，的确在OS本身出漏洞的机会上比较少，但是由于其固化，导致在面对新兴的一些攻击方式时，无法及时应对；而另外两种防火墙，则可以简单地通过升级os的内核来获取系统新特性，通过灵活地策略设置来满足不断变化的要求，不过其OS出现漏洞的概率相对高一些。
3唯技术指标论
请以“防火墙买来是使用的”为第一前提进行购买。防火墙本身的质量如何是一回事，是否习惯使用又是另一回事。如果对一款产品的界面不熟悉，策略设置方式不理解，那么即使用世界最顶级的防火墙也没有多大作用。就如小说中武林中人无不向往的“倚天剑”、“屠龙刀”被我拿到，肯定也敌不过乔峰赤手的少林长拳是一般道理。防火墙技术发展至今，市场已经很成熟了，各类产品的存在，自然有其生存于市场的理由。如何把产品用好，远比盲目地比较各类产品好。

---