防火墙可以是一种硬件、固件或者软件，例如专用防火墙设备、就是硬件形式的防火墙，包过滤路由器是嵌有防火墙固件的路由器，而代理服务器等软件就是软件形式的防火墙。

　　二、使用防火墙的优越性

　　防火墙作为屏障，可以时刻抗击来自各种线路的攻击，阻止非法用户侵入内部网，限定局域网访问WEB站点和Internet服务权限；时刻监视网络安全，受到攻击时产生报警；对通过的信息记录在册、使我们对黑客的攻击能“有案可查”；防火墙一般有路由器功能，采用的NAT（网络地址转换）技术可使整个局域网对外只占用一个IP地址，节约了IP地址资源；防火墙还可以记录整个局域网的上网流量，据此查出带宽瓶颈、记录上网连接的费用情况。

　　三、 防火墙的种类

　　防火墙从诞生到现在，已经历了四个发展阶段：基于路由器的防火墙、用户化的防火墙工具套、建立在通用操作系统上的防火墙、具有安全操作系统的防火墙。目前常见的防火墙属于具有安全操作系统的防火墙，例如NETEYE、NETSCREEN、TALENTIT等。

　　如果从结构上来分，防火墙有两种：即代理主机结构和路由器+过滤器结构，后一种结构如下所示：内部网络<----->过滤器(Filter)<---->路由器(Router)<---->Internet

　　如果从原理上来分，防火墙则可以分成4种类型：特殊设计的硬件防火墙、数据包过滤型、电路层网关和应用级网关。安全性能高的防火墙系统都是组合运用多种类型防火墙，构筑多道防火墙“防御工事”。

　　1、特殊设计的硬件防火墙

　　这种防火墙基于硬件、性能最强，是防火墙中的“极品”，一般采用专门芯片。它采用的技术称为“状态检查”：与包过滤类似、首先在网络层拦截数据包，然后检查数据包，把该数据包与良性数据包已知状态进行比较，放过合格的数据包。典型产品有Cisco公司的Pix Firewall、美国NetScreen-100硬件防火墙等。

　　这种防火墙速度极快，大大快于其他类型防火墙，常用于对速度和安全性要求高的场合，例如保护和隔离局域网内某服务器。它安全性能最好，采用举世无双的安全算法，能对黑客完全隐藏IP地址，让你连攻击的目标都找不到！而且还能支持所有的Internet服务，有记录、核对功能，配置方便（一般几分钟完成），不要求日常管理。不过因为性能超群，其价格一般较贵。

　　2、电路层网关

　　电路层网关是一种仅依赖于TCP连接、简单进行中继的硬件设备，并不对通过的信息进行任何审查、过滤或协议管理，其主要作用是隐藏内部要保护网络的IP地址等信息，一般被安装在代理服务器与内部网主机之间，使代理服务器增强为混合网关。它对进入网络的信息进行应用层安全检查或代理服务，而让内部网透明访问Internet，如果你要求内部不能泄密、就不能安装它。

　　3、包过滤型防火墙（固件防火墙）

　　包过滤型防火墙（如下图2）是嵌有防火墙固件的路由器，可以对数据包进行过滤。它在OSI的3、4层按事先定好的过滤条件对数据包中信息（源地址、目的地址、所用端口等）进行检查，让合格的数据通过，过滤分为与服务相关与无关两种方式。

　　与服务相关的过滤能据特定服务控制数据的流动。例如Telnet服务器在TCP的23号端口监听远端连接，如果要阻塞Telnet服务，只需把包过滤路由器设置成丢弃所有TCP端口号=23的数据包。与服务无关的过滤可以抵御源IP地址欺骗、源路由、极小数据段式攻击，这几种攻击都很难用基本的包头信息来识别，因为它们都与服务无关。

　　包过滤型防火墙可以实现网络层安全，对用户和应用透明。通过它的信息都无需先进行用户名、口令的登录，由于它对流量的影响较小，在使用时你不会感到它的存在。它配置简单方便、价格低廉，一般用于局域网的第一道防线。

　　4、应用级网关（即代理服务器/软件防火墙）

　　应用层网关（下图2），又称“代理服务器”，其上运行代理服务器软件，是一种软件防火墙，可以定义比包过滤防火墙更严格的安全策略。

　　

　　与包过滤路由器不同，代理服务器允许信息内外流动、但不允许直接交换数据包。代理服务器在提供代理服务前一般都要求附加认证、且每种代理在用户访问前一般都要授权，通过配置代理来限制外界对内部网的访问。如果网管没有为某种应用安装代理程序，则该项服务就不会支持且不能通过防火墙系统转发，在代理服务器上安装有限的代理服务，可以减少攻击。

　　代理服务器提供的审计、记录功能是发现和终止黑客攻击的有力武器；在代理服务器上任何代理发生问题、或出现脆弱性，只需简单的卸出、而不会影响其它代理的工作；代理服务除读取初始化配置文件外、一般不进行磁盘操作、这使得黑客很难在代理服务器上安装特洛伊马等危险程序。

[1] [2] [3] 下一页