你知道什么是硬件防火墻嗎?下面將由學習啦小編帶大家來解答這個疑問吧，希望對大家有所收獲!

　　硬件防火墻的概述

　　硬件防火墻是指把防火墻程序做到芯片里面，由硬件執(zhí)行這些功能，能減少CPU的負擔，使路由更穩(wěn)定。

　　硬件防火墻是保障內部網絡安全的一道重要屏障。它的安全和穩(wěn)定，直接關系到整個內部網絡的安全。因此，日常例行的檢查對于保證硬件防火墻的安全是非常重要的。

　　硬件防火墻的原理

　　至于價格高，原因在于，軟件防火墻只有包過濾的功能，硬件防火墻中可能還有除軟件防火墻以外的其他功能，例如CF(內容過濾)IDS(入侵偵測)IPS(入侵防護)以及等等的功能。

　　也就是說硬件防火墻是指把防火墻程序做到芯片里面，由硬件執(zhí)行這些功能，能減少CPU的負擔，使路由更穩(wěn)定。

　　硬件防火墻是保障內部網絡安全的一道重要屏障。它的安全和穩(wěn)定，直接關系到整個內部網絡的安全。因此，日常例行的檢查對于保證硬件防火墻的安全是非常重要的。

　　系統(tǒng)中存在的很多隱患和故障在暴發(fā)前都會出現(xiàn)這樣或那樣的苗頭，例行檢查的任務就是要發(fā)現(xiàn)這些安全隱患，并盡可能將問題定位，方便問題的解決。

　　(1)包過濾防火墻

　　包過濾防火墻一般在路由器上實現(xiàn)，用以過濾用戶定義的內容，如IP地址。包過濾防火墻的工作原理是：系統(tǒng)在網絡層檢查數(shù)據(jù)包，與應用層無關。這樣系統(tǒng)就具有很好的傳輸性能，可擴展能力強。但是，包過濾防火墻的安全性有一定的缺陷，因為系統(tǒng)對應用層信息無感知，也就是說，防火墻不理解通信的內容，所以可能被黑客所攻破。

　　(2)應用網關防火墻

　　應用網關防火墻檢查所有應用層的信息包，并將檢查的內容信息放入決策過程，從而提高網絡的安全性。然而，應用網關防火墻是通過打破客戶機/服務器模式實現(xiàn)的。每個客戶機/服務器通信需要兩個連接：一個是從客戶端到防火墻，另一個是從防火墻到服務器。另外，每個代理需要一個不同的應用進程，或一個后臺運行的服務程序，對每個新的應用必須添加針對此應用的服務程序，否則不能使用該服務。所以，應用網關防火墻具有可伸縮性差的缺點。(圖2)

　　(3)狀態(tài)檢測防火墻

　　狀態(tài)檢測防火墻基本保持了簡單包過濾防火墻的優(yōu)點，性能比較好，同時對應用是透明的，在此基礎上，對于安全性有了大幅提升。這種防火墻摒棄了簡單包過濾防火墻僅僅考察進出網絡的數(shù)據(jù)包，不關心數(shù)據(jù)包狀態(tài)的缺點，在防火墻的核心部分建立狀態(tài)連接表，維護了連接，將進出網絡的數(shù)據(jù)當成一個個的事件來處理?？梢赃@樣說，狀態(tài)檢測包過濾防火墻規(guī)范了網絡層和傳輸層行為，而應用代理型防火墻則是規(guī)范了特定的應用協(xié)議上的行為。(圖3)

　　(4)復合型防火墻

　　復合型防火墻是指綜合了狀態(tài)檢測與透明代理的新一代的防火墻，進一步基于ASIC架構，把防病毒、內容過濾整合到防火墻里，其中還包括、IDS功能，多單元融為一體，是一種新突破。常規(guī)的防火墻并不能防止隱蔽在網絡流量里的攻擊，在網絡界面對應用層掃描，把防病毒、內容過濾與防火墻結合起來，這體現(xiàn)了網絡與信息安全的新思路。它在網絡邊界實施OSI第七層的內容掃描，實現(xiàn)了實時在網絡邊緣部署病毒防護、內容過濾等應用層服務措施。(圖4)

　　3、四類防火墻的對比

　　包過濾防火墻：包過濾防火墻不檢查數(shù)據(jù)區(qū)，包過濾防火墻不建立連接狀態(tài)表，前后報文無關，應用層控制很弱。

　　應用網關防火墻：不檢查IP、TCP報頭，不建立連接狀態(tài)表，網絡層保護比較弱。

　　狀態(tài)檢測防火墻：不檢查數(shù)據(jù)區(qū)，建立連接狀態(tài)表，前后報文相關，應用層控制很弱。

　　復合型防火墻：可以檢查整個數(shù)據(jù)包內容，根據(jù)需要建立連接狀態(tài)表，網絡層保護強，應用層控制細，會話控制較弱。

　　4、防火墻術語

　　網關：在兩個設備之間提供轉發(fā)服務的系統(tǒng)。網關是互聯(lián)網應用程序在兩臺主機之間處理流量的防火墻。這個術語是非常常見的。

　　DMZ非軍事化區(qū)：為了配置管理方便，內部網中需要向外提供服務的服務器往往放在一個單獨的網段，這個網段便是非軍事化區(qū)。防火墻一般配備三塊網卡，在配置時一般分別分別連接內部網，internet和DMZ。

　　吞吐量：網絡中的數(shù)據(jù)是由一個個數(shù)據(jù)包組成，防火墻對每個數(shù)據(jù)包的處理要耗費資源。吞吐量是指在不丟包的情況下單位時間內通過防火墻的數(shù)據(jù)包數(shù)量。這是測量防火墻性能的重要指標。

　　最大連接數(shù)：和吞吐量一樣，數(shù)字越大越好。但是最大連接數(shù)更貼近實際網絡情況，網絡中大多數(shù)連接是指所建立的一個虛擬通道。防火墻對每個連接的處理也好耗費資源，因此最大連接數(shù)成為考驗防火墻這方面能力的指標。

　　數(shù)據(jù)包轉發(fā)率：是指在所有安全規(guī)則配置正確的情況下，防火墻對數(shù)據(jù)流量的處理速度。

　　SSL：SSL(Secure Sockets Layer)是由Netscape公司開發(fā)的一套Internet數(shù)據(jù)安全協(xié)議，當前版本為3.0。它已被廣泛地用于Web瀏覽器與服務器之間的身份認證和加密數(shù)據(jù)傳輸。SSL協(xié)議位于TCP/IP協(xié)議與各種應用層協(xié)議之間，為數(shù)據(jù)通訊提供安全支持。

　　網絡地址轉換：網絡地址轉換(NAT)是一種將一個IP地址域映射到另一個IP地址域技術，從而為終端主機提供透明路由。NAT包括靜態(tài)網絡地址轉換、動態(tài)網絡地址轉換、網絡地址及端口轉換、動態(tài)網絡地址及端口轉換、端口映射等。NAT常用于私有地址域與公用地址域的轉換以解決IP地址匱乏問題。在防火墻上實現(xiàn)NAT后，可以隱藏受保護網絡的內部拓撲結構，在一定程度上提高網絡的安全性。如果反向NAT提供動態(tài)網絡地址及端口轉換功能，還可以實現(xiàn)負載均衡等功能。

　　堡壘主機：一種被強化的可以防御進攻的計算機，被暴露于因特網之上，作為進入內部網絡的一個檢查點，以達到把整個網絡的安全問題集中在某個主機上解決，從而省時省力，不用考慮其它主機的安全的目的。