硬件防火墙

    二、硬件防火墙

    硬件防火墙从硬件本身大概分为三个类别：PC，NP以及ASIC。一般说来，通常意义上的硬件防火墙都是PC式的，它类似于一台PC机存在于网络安全体系中，不过其也免不了资源冗余方式带来的耗竭，而NP以及ASIC防火墙则更先进一些，专有的芯片能促使它们处理速度更快，处理能力更强，性能更高。这类防火墙由于是专用OS，因此防火墙本身的漏洞比较少，不过价格相对比较高。

    对于目前的千兆级防火墙，厂商通常都会采用NP或ASIC方式。从性能、功能、技术成熟度方面考虑，ASIC芯片较好，从进入门槛、研发成本和灵活性考虑则NP占优。除了高性能，就是应用层面的多功能，这些系列功能可以最大限度的解放管理员，让企业内外网连接更加顺畅。其实对于用户来说肯定希望防火墙有更多的功能，如果仅仅有更高的带宽就能吸引住用户，不如让那些“剩余”带宽转化为其它功能，用户可以更乐意接受。

    而从技术层面上来看，防火墙大体可分为包过滤型防火墙和代理型防火墙。

    包过滤型防火墙应该属于比较初级的产品，依据是网络中的分包传输技术。网络上的数据都是以包进行传输的，数据被分割成为一定大小的数据包，每一个数据包中都会包含一些特定信息，这些特定信息中很有可能包含威胁，防火墙的作用就是将可能造成网络威胁的数据包截下，控制入口数据流。防火墙通过读取数据包中的地址信息来判断包是否可信。

    当然这种弊端也是显而易见的：包过滤方式只能根据数据包的来源、目标和端口等网络信息进行判断，无法识别基于应用层的恶意侵入，如果黑客采取了IP欺骗的策略，对于包过滤型防火墙来说将带来很大的麻烦。

    代理型防火墙的安全性就要高于包过滤型产品了，因为它已经开始向应用层发展。代理服务器位于终端与服务器之间，这样就可以有效拦截二者间的数据交流。对于终端方来说，代理服务器相当于一台真正的服务器；而从服务器方向看，代理服务器更像是终端。当终端需要使用服务器上的数据时，首先将数据请求发给代理服务器，代理服务器再根据这一请求向服务器索取数据，然后再由代理服务器将数据传输给终端，也就是说在这个过程中经历了代理服务器的通道，由于外部系统与内部服务器之间没有直接的数据通道，恶意侵害也就很难伤害到企业内部网络系统了。

    防火墙在整个网络布局中的作用无需多言，不同类型的防火墙都有自身的优势，当然也有各自的缺憾。新型技术的产品势必会成为未来的主流，可是当下价格却高高在上，而平易近人的价格带来产品先天的性能瓶颈。这需要企业采购者做好预算，仔细权衡。