防火墙的优点,缺点,功能

一、防火墙的优点：
1、防火墙能强化安全策略。
2、防火墙能有效地记录Internet上的活动，作为访问的唯一点，防火墙能在被保护的网络和外部网络之间进行记录。
3、防火墙限制暴露用户点，能够防止影响一个网段的问题通过整个网络传播。
4、防火墙是一个安全策略的检查站，使可疑的访问被拒绝于门外。
二、缺点：
1、防火墙可以阻断攻击，但不能消灭攻击源。
2、防火墙不能抵抗最新的未设置策略的攻击漏洞。
3、防火墙的并发连接数限制容易导致拥塞或者溢出。
4、防火墙对服务器合法开放的端口的攻击大多无法阻止。
5、防火墙对待内部主动发起连接的攻击一般无法阻止。
6、防火墙本身也会出现问题和受到攻击，依然有着漏洞和Bug。
7、防火墙不处理病毒。
三、功能：
1、防火墙最基本的功能就是控制在计算机网络中，不同信任程度区域间传送的数据流。
2、防火墙具有很好的保护作用：入侵者必须首先穿越防火墙的安全防线，才能接触目标计算机；可以将防火墙配置成许多不同保护级别；高级别的保护可能会禁止一些服务，如视频流等。
Internet防火墙可以防止Internet上的危险(病毒、资源盗用)传播到网络内部
3、能强化安全策略：通过以防火墙为中心的安全方案配置，能将所有安全软件（如口令、加密、身份认证、审计等）配置在防火墙上。
4、能有效记录Internet上的活动。
5、可限制暴露用户点，防止内部信息的外泄：通过利用防火墙对内部网络的划分，可实现内部网重点网段的隔离，从而限制了局部重点或敏感网络安全问题对全局网络造成的影响。
6、它是安全策略的检查点。

防火墙的选择对远程终端连接到中心系统获取必要资源或完成重要任务的影响也非常大。当选择基于硬件的防火墙时，应当考虑以下十个方面的因素，以确保企业实现投资、安全性和生产力的最大化。 1、必须可以提供值得信赖的安全 在市面上，UTM的种类非常多。根据商业模式的不同，一些网络安全设备可以提供大量的功能和全面的服务，但是需要公司承担高昂的价格，而另一些则只包含了基本的服务，但采购的成本也很低。 因此，选择的时间一定要确保平台是公认和值得信赖的。Barracuda、思科、SonicWALL公司和WatchGuard都属于拥有市场份额的着名品牌，它们获得的市场份额就是可以提供值得信赖安全的很好的理由。无论你选择什么品牌的防火墙，都应该确保其通过国际计算机安全协会(ICSA)的认证，符合数据包检测的行业标准。 2、具有良好的易用性 在安全方面，全球跨国企业需要多级控制管理，但即使是这些需要大量保护的企业也不应该将设备配置方式限定在命令行模式下。很多防火墙都可以在提供高度安全性的同时，提供友好的图形界面以方便管理。 这样做的优点有几个方面。图形用户界面有助于防止安装时间出现错误。在图形用户界面下，更容易地诊断和纠正故障。图形用户界面也更易于培训工作人员，并进行调整、升级和更新。 在选择基于硬件的防火墙时，考虑到易用性也会带来很大的好处。一个平台越容易进行管理，就越容易找到可以进行安装、维护和故障处理等工作的专业人士。 3、必须包含支持 防火墙存在的目的并不限于防止网络黑客的攻击和非法数据输出。一个好的防火墙还应该可以在为远程连接建立安全通道，并对其进行监测。在选择基于硬件的防火墙时，应该确保其支持同类设备的基于SSL-和IPSec-保护的连接(以保护点至点或站点到站点)，让员工可以实现安全连接。 4、功能选择要符合实际需求 在网络策略中，防火墙通常承担公司网络的互联网网关的角色。对于规模较小的办公室，可以让防火墙承担双重责任，即既作为安全设备又作为网络交换机。同时，对于规模较大的办公环境来说，防火墙属于更大结构的组成部分，这时，它承担的唯一责任就是对流量进行过滤。 确保防火墙可以对负载进行分配管理。这就意味着它需要配备必要的以太网端口并拥有适当的速度(如果有必要的话，应该选择10Mbps/100Mbps和/或1000Mbps)。但还有更多要注意的因素，确保你选择的防火墙拥有进行数据包检查的功能，并且可以提供安全服务网关和路由功能。 特别要注意的是制造商关于支持最大节点数目的建议。如果超过了路由器的能力，就可能会出现错误，数据传输就会由于缺乏许可或者超过支持范围而中断。 5、应该拥有可靠的技术支持 硬件出现问题是有可能的。更坏的情况可能是，仅仅因为是新设备并不意味着它一定可以正常工作。全天候的技术支持以及部署过程中的全面技术支持应当包含在和防火墙制造商签定的技术支持合同中。 在购买前，应该拨打制造商技术支持团队的电话，了解部署和配置方面的问题。根据答复的速度和内容等情况，可以确定在实地部署出现问题时你将获得服务的情况。 6、关注无线网络安全 即使在选择基于硬件的防火墙时，公司并不认为这是必须的情况下，也应该将无线网络功能包含进来。IT团队可以在部署的时间关闭无线网络功能。增加无线局域网功能会导致购买成本增加，但对于客户连接或方便地访问网络来说，这是必须的。安全的无线连接是很容易获得的(并不需要购买一台全新的路由器)。对于一家处于变化中的公司企业来说，无线局域网功能可能被证明是必要的。 7、可以提供网关安全服务 通过设置防火墙，很多公司成功地降低了病毒、间谍软件和垃圾邮件带来的大量威胁。在比较防火墙功能，确定运行费用的时间，为了减低成本，你可以选择在防火墙而不是传统的域控制器或其他服务器上部署这些服务。 8、能够进行内容过滤 现在很多IT部门都选择使用OpenDNS进行内容过滤，一些防火墙制造商也在设备中提供了网页过滤的选择。对于所有和业务有关的网络服务来说，都需要利用网关安全服务进行内容过滤。这样做的优点是可以实现功能集成在一台设备中。但缺点是，你需要支付相关的费用。 因此，在选择基于硬件的防火墙解决方案时，要考虑到公司的需求和预算情况，确定是否应该由防火墙管理内容过滤功能。如果答案是肯定的话，选择一个包含了可靠成熟内容过滤功能的防火墙。 9、可以提供专业的监测和报告 防火墙可以对关键网络任务进行管理。仅仅一个工作日，一台路由器就可以阻止成千上万的入侵企图、防范各种攻击，并记录失败的网络连接。但这些信息只有包含在易于获取的格式中时，才能为网络管理员提供有效的帮助。 对于防火墙来说，不仅需要对重要事件进行监控，而且应该将数据以兼容的格式保存起来。对于一个优秀的防火墙来说，应该至少可以利用电子邮件为重要事件提供警告。 10、了解是否具备故障转移功能 一些公司可能需要广域网故障转移功能，或者冗余的互联网连接进行自动故障检测和纠正。很多防火墙都不具备自动故障转移支持模式。如果该功能对贵公司来说是至关重要的话，请确认你选择的防火墙包含了无缝切换模式;即使是高端防火墙，在默认情况下，也不一定包括这样的功能。 此外，请确保选择的模式符合公司的使用情况。举例来说，如果一个单位拥有两个RJ-45广域以太网端口的话，在第2个端口运行无线网卡将没有什么好处。在这种情况下，USB接口的GSM卡或适配器才是比较适当的选择。

1工业防火墙与IT防火墙数据过滤能力要求不同，工业防火墙除了具有IT防火墙的通用协议过滤能力外，还应具有对工业控制协议的过滤能力；
2工业防火墙比IT防火墙具有更高的环境适应能力；
3工业防火墙比IT防火墙具有更高的可靠性、稳定性、实时性等要求。
同样的，工业防火墙也分为基础级和增强级，同时还根据工控系统层次我情况，分部署域间和部署现场控制层
工业防火墙厂商，多为工控信息安全专业厂商。此类工业防火墙架构合理，各项性能指标优异。功能方面适应工业控制系统工作场景， *** 作简便。在定价方面，因为脱离X86体系，成本较低，定价合理。

look n stop,世界第一的防火墙,使用内存只有600K,2个外国人私人开发,强!!!哈哈哈,比什么诺顿,咔吧的防火墙强多了
Look'n'Stop是一款体积虽小，功能却十分强大的网络防火墙软件，它以领先的技术在多项网络攻击的防护评分中持续保持第一名的王座，值得重视网络安全的使用者尝试。
知名的国外测试报告评比为最优的防火墙
不仅打败了Norton,Kaspersky,Outpost,yahooAlarm,Sygate这些知名软件
Look'n'Stop 是一款体积虽小，但是防护功能却十分强大的网络防火墙软件，不仅适用于一般使用者的个人计算机，就连网络服务器或是网络路由器等也都适合使用，而它的防护功能更获得专业的网络防火墙评测网站评比为第一名，因此绝对值得使用者们一试。
Look'n'Stop 可以为使用者挡下诸如 DDos、FireHole等常见骇客攻击类型的攻击，让使用者在网络上形同隐形，不被其它使用者以 Ping 指令发现，因此也就降低了被攻击的风险，此外由于订制的规则严谨，因此对使用者来说有绝佳的d性，任何地址、通讯端口、封包类型都可以进行规则设定，让使用者可以为自己订制出最合适的防火墙规则。
对于想要进行网络联机的软件，Look'n'Stop也会予以先行阻挡，等到使用者确认过后常进行下一步动作，这对于多层呼叫的程序而言也一样有效，使用者可以清楚由Look'n'Stop所提供的讯息知道是那个软件呼叫了目前的程序，让彼此之间的主从关系一目了然，免于被利用程序漏洞执行的木马程序连出网络，泄漏了个人隐私。
由于Look'n'Stop的规则订制有很大的d性，对于一般使用者来说也许会稍嫌繁复，但是若是将规则订制完毕后，相信使用者就能够成功避免绝大多数的网络攻击了。
下载网上都有的,去找找

黑客之所以能够攻击用户，都是利用了防火墙开放的端口，躲过防火墙的监测，直接针对目标应用程序。他们想出复杂的攻击方法，能够绕过传统防火墙。据统计，目前70%的攻击是发生在应用层，而不是网络层。对于这类攻击，传统防火墙的防护效果，并不太理想，存在着以下不足之处：
1、无法检测加密的Web流量
如果你正在部署一个门户网站，希望所有的网络层和应用层的漏洞都被屏蔽在应用程序之外。这个需求，对于传统的网络防火墙而言，是个大问题。
由于网络防火墙对于加密的SSL流中的数据是不可见的，防火墙无法迅速截获SSL数据流并对其解密，因此无法阻止应用程序的攻击，甚至有些网络防火墙，根本就不提供数据解密的功能。
2、普通应用程序加密后，也能轻易躲过防火墙的检测
网络防火墙无法看到的，不仅仅是SSL加密的数据。对于应用程序加密的数据，同样也不可见。在如今大多数网络防火墙中，依赖的是静态的特征库，与入侵监测系统(IDS，Intrusion Detect System)的原理类似。只有当应用层攻击行为的特征与防火墙中的数据库中已有的特征完全匹配时，防火墙才能识别和截获攻击数据。
但如今，采用常见的编码技术，就能够地将恶意代码和其他攻击命令隐藏起来，转换成某种形式，既能欺骗前端的网络安全系统，又能够在后台服务器中执行。这种加密后的攻击代码，只要与防火墙规则库中的规则不一样，就能够躲过网络防火墙，成功避开特征匹配。
3、对于Web应用程序，防范能力不足
网络防火墙于1990年发明，而商用的Web服务器，则在一年以后才面世。基于状态检测的防火墙，其设计原理，是基于网络层TCP和IP地址，来设置与加强状态访问控制列表(ACLs，Access Control Lists)。在这一方面，网络防火墙表现确实十分出色。
近年来，实际应用过程中，>1、路由器就带防火墙功能呢，它也算硬件吧。哈哈，列入地端硬件防火墙-几百元价格
2、2000-5000
商业入门级的了。
3、类似cisco这种，大概要6000多
4、pix516e，这类的要上万了。
区别在于就是越贵的物理盘越大而且也越能吃攻击，就是那种你带多少我吃多少，吃不下我挡在外面

是的，是防火墙。一般的大公司都需要安装的。
一、按照组成结构划分，服务器防火墙的种类可以分为硬件防火墙和软件防火墙。
硬件防火墙本质上是把软件防火墙嵌入在硬件中，硬件防火墙的硬件和软件都需要单独设计，使用专用网络芯片来处理数据包，同时，采用专门的 *** 作系统平台，从而避免通用 *** 作系统的安全漏洞导致内网安全受到威胁。也就是说硬件防火墙是把防火墙程序做到芯片里面，由硬件执行服务器的防护功能。因为内嵌结构，因此比其他种类的防火墙速度更快，处理能力更强，性能更高。
软件防火墙，顾名思义便是装在服务器平台上的软件产品，它通过在 *** 作系统底层工作来实现网络管理和防御功能的优化。软件防火墙运行于特定的计算机上，它需要客户预先安装好的计算机 *** 作系统的支持，一般来说这台计算机就是整个网络的网关。软件防火墙就像其它的软件产品一样需要先在计算机上安装并做好配置才可以使用。
硬件防火墙性能上优于软件防火墙，因为它有自己的专用处理器和内存，可以独立完成防范网络攻击的功能，不过价格会贵不少，更改设置也比较麻烦。而
软件防火墙是在作为网关的服务器上安装的，利用服务器的CPU和内存来实现防攻击的能力，在攻击严重的情况下可能大量占用服务器的资源，但是相对而言便宜得多，设置起来也很方便。
二、除了从结构上可以把服务器防火墙分为软件防火墙和硬件防火墙以外，还可以从技术上分为“包过滤型”、“应用代理型”和“状态监视”三类。一个防火墙的实现过程多么复杂，归根结底都是在这三种技术的基础上进行功能扩展的。
1 包过滤型
包过滤是最早使用的一种防火墙技术，它的第一代模型是静态包过滤，工作在OSI模型中的网络层上，之后发展出来的动态包过滤则是工作在OSI模型的传输层上。包过滤防火墙工作的地方就是各种基于TCP/IP协议的数据报文进出的通道，它把这网络层和传输层作为数据监控的对象，对每个数据包的头部、协议、地址、端口、类型等信息进行分析，并与预先设定好的防火墙过滤规则进行核对，一旦发现某个包的某个或多个部分与过滤规则匹配并且条件为“阻止”的时候，这个包就会被丢弃。
基于包过滤技术的防火墙的优点是对于小型的、不太复杂的站点，比较容易实现。但是其缺点是很显著的，首先面对大型的，复杂站点包过滤的规则表很快会变得很大而且复杂，规则很难测试。随着表的增大和复杂性的增加，规则结构出现漏洞的可能性也会增加。其次是这种防火墙依赖于一个单一的部件来保护系统。如果这个部件出现了问题，或者外部用户被允许访问内部主机，则它就可以访问内部网上的任何主机。
2 应用代理型
应用代理防火墙，实际上就是一台小型的带有数据检测过滤功能的透明代理服务器，但是它并不是单纯的在一个代理设备中嵌入包过滤技术，而是一种被称为应用协议分析的新技术。应用代理防火墙能够对各层的数据进行主动的，实时的监测，能够有效地判断出各层中的非法侵入。同时，这种防火墙一般还带有分布式探测器， 能够检测来自网络外部的攻击，同时对来自内部的恶意破坏也有极强的防范作用。
应用代理型防火墙基于代理技术，通过防火墙的每个连接都必须建立在为之创建的代理程序进程上，而代理进程自身是要消耗一定时间，于是数据在通过代理防火墙时就不可避免的发生数据迟滞现象，代理防火墙是以牺牲速度为代价换取了比包过滤防火墙更高的安全性能。
3 状态监视型
这种防火墙技术通过一种被称为“状态监视”的模块，在不影响网络安全正常工作的前提下采用抽取相关数据的方法对网络通信的各个层次实行监测，并根据各种过滤规则作出安全决策。状态监视可以对包内容进行分析，从而摆脱了传统防火墙仅局限于几个包头部信息的检测弱点，而且这种防火墙不必开放过多端口，进一步杜绝了可能因为开放端口过多而带来的安全隐患。
由于状态监视技术相当于结合了包过滤技术和应用代理技术，因此是最先进的，但是由于实现技术复杂，在实际应用中还不能做到真正的完全有效的数据安全检测，而且在一般的计算机硬件系统上很难设计出基于此技术的完善防御措施。
三、主流服务器软件防火墙推荐
在选择软件防火墙的时候，应该注意软件防火墙本身的安全性及高效性。同时，要考虑软件防火墙的配置及管理的便利性。一个好的软件防火墙产品必须符合用户的实际需要，比如良好的用户交互界面，既能支持命令行方式管理、又能支持GUI和集中式管理等。以下我们推荐几款比较知名的软件防火墙供大家参考：
1 卡巴斯基软件防火墙 Anti-Hacker
这是卡巴斯基公司出品的一款非常优秀的网络安全防火墙，它和著名的杀毒软件AVP是同一个公司的产品。所有网络资料存取的动作都会经由它对用户产生提示，存取动作是否放行都由用户决定，而且可以抵挡来自于内部网络或网际网络的黑客攻击。此软件的另一特色就是病毒库更新的及时。卡巴斯基公司的病毒数据库每天更新两次，用户可根据自己的需要任意预设软件的更新频率。此款产品唯一不足的是，其无论是杀毒还是监控，都会占用较大的系统资源。
2 诺顿防火墙企业版
诺顿防火墙企业版，适用于企业服务器、电子商务平台及***环境。此款可以提供安全故障转移和最长的正常运转时间等。这款软件防火墙采用经过验证的防火墙管理维护、监测和报告来提供细致周到的周边保护，其灵活的服务能够支持任意数目的防火墙，既可以支持单个防火墙，也可以支持企业的全球范围防火墙部署。同时，软件还提供了包括 Windows NT Domain、Radius、数字认证、LDAP、S/Key、Defender、SecureID 在内的一整套强大的用户身份验证方法，使管理员可以从用户环境中灵活地选择安全数据。
3 服务器安全狗
服务器安全狗是为IDC运营商、虚拟主机服务商、企业主机、服务器管理者等用户提供服务器安全防范的实用系统。是一款集DDOS防护、ARP防护、查看网络连接、网络流量、IP过滤为一体的服务器安全防护工具。具备实时的流量监测，服务器进程连接监测，及时发现异常连接进程监测机制。同时该防火墙还具备智能的DDOS攻击防护，能够抵御 CC攻击、UDP Flood、TCP Flood、SYN Flood、ARP等类型的服务器恶意攻击。该防火墙还提供详尽的日志追踪功能，方便查找攻击来源。
4 KFW傲盾服务器版
KFW傲盾防火墙系统是一套全面、创新、高安全性、高性能的网络安全系统。它根据系统管理者设定的安全规则（Security Rules）把守企业网络，提供强大的访问控制、状态检测、网络地址转换（Network Address Translation）、信息过滤、流量控制等功能。提供完善的安全性设置，通过高性能的网络核心进行访问控制。
5 McAfee Firewall Enterprise
McAfee Firewall Enterprise 的高级功能如应用程序监控、基于信誉的全球情报、自动化的威胁更新、加密流量检测、入侵防护、病毒防护以及内容过滤等，能够及时拦截攻击使其无法得逞。
6 冰盾专业抗DDOS防火墙软件
冰盾防火墙软件具备较好的兼容性、稳定性和增强的抗DDOS能力，适用于传奇服务器、奇迹服务器、网站服务器、游戏服务器、音乐服务器、**服务器、聊天服务器、论坛服务器、电子商务服务器等多种主机服务器。该防火墙软件能够智能识别各种DDOS攻击和黑客入侵行为。在防黑客入侵方面，软件可智能识别Port扫描、Unicode恶意编码、SQL注入攻击、Trojan木马上传、Exploit漏洞利用等2000多种黑客入侵行为。

---