企业防火墙该如何选择

1、在 IT 安全领域，防火墙是一个重要的角色，通常被部署在企业网络和外部 互联网中间，来保护企业网中的计算机、应用程序和其它资源免遭外部攻击。 然而由于很多人对防火墙接触的很少，加上防火墙种类繁多，常常让一些新手 朋友在选择购买防火墙的时候感到困惑，本文笔者将和大家一起简单了解一下 在购买防火墙需要明确的一些概念，以及不同类型防火墙的主要优点和缺点。一、防火墙概念及选购要素尽管防火墙有很多种分类，我们还是可以给它下一个广泛的定义：一系列相关的安全程序被安装在一个网络入口服务器（或专用设备 ）上，两者共同筑起一道安全 “墙”，共同保护内网资源免遭外网人员攻击。尽管所有防火墙都运行软件，防火墙市场本

2、身还是被人们划分为两大阵 营：硬件防火墙和软件防火墙。硬件防火墙是专门的安全设备，上面预装着安 全软件，其操作系统一般是专用操作系统。另一方面，软件防火墙通常可以被 安装在任何可用的服务器上，服务器的操作系统一般是通用的网络操作系统， 诸如 Windows 或 Linux 等。企业在选择防火墙产品的时候，没有一套完全正确的规则可参考，因为每 个企业的实际网络环境不一样，而且每个企业对防火墙功能要求也不同，因此 企业通常要立足于需要和自己公司的实际情况来选择合适的防火墙。不过在选 购防火墙的时候，还是有一些要考虑的共同问题，如以下问题。防火墙的体系架构（硬件还是软件）;防火墙要求的并发会话（se

3、ssion数量是多少，并发会话数是防火墙能够同 时处理的点对点会话连接的最大数目，它反映防火墙对多个连接的访问控制能 力和连接状态跟踪能力。这个参数的大小可以直接影响到防火墙所能支持的最 大信息点数 ;外部访问的类型和范围要求；需要的VPN虚拟专用网）协议的数量和类型；要求保护的并发VPN的数 量；喜欢的管理用户界面（命令行、图形或基于网页），以及是否需要高可用性功 能。防火墙的价格相差很大，用户保护家庭或小企业网络的简单防火墙价格比 较低，而用于专门保护企业资源的行业级别的硬件防火墙价格则非常高。没有两个企业的网络是完全相同的，因此厂商提供了许多不同类型的防火 墙实现 （包括基于硬件和软件的

4、 ），来满足特定客户需要。最基本的实现可以被划 分为包过滤、电路层和应用层三类。二、包过滤防火墙单纯的包过滤防火墙除了过滤数据包之外什么操作也不做。包过滤防火墙 根据预先定义好的规则来决定接受或拒绝 IP 数据包。通过包过滤，该防火墙仔 细的检查每一个数据包的协议和地址信息 ；数据包的内容不检查。多个复杂规则的组合也是可行的。如果允许 Web 连接，但只针对特定的 服务器，目的端口和目的地址二者必须与规则相匹配，才可以让该包通过。主要优势：包过滤防火墙相对比较简单，成本较低，部署简单快速。现在单纯的硬件包过滤防火墙已经比较少，不过多数防火墙中都具有包过 滤功能。而一般家用和小企业用的软件防火墙

5、多数属于此类防火墙， Windows 早期内置的防火墙就属于包过滤防火墙。另外，对于使用Lin ux操作系统的朋友来说，也可以配置其自带防火墙实现包过滤功能。三、链路级防火墙这类防火墙不是简单的接受或拒绝数据包，它还根据一系列预定义规则来 决定一个连接是否合法。如果一切通过验证，防火墙会打开一个会话，并允许 指定源地址的数据通过防火墙进入网络内部。这个通信只被允许在限定时间内 进行。图2、链路级防火墙另外，这个防火墙还可以根据以下对象来执行连接验证，例如源IP 地址或源端口，目的IP地址或目的端口，使用的协议，用户ID,密码和时间等等，多 数情况下要根据几种条件的组合来进行验证。我们可以看出，

6、包级别的过滤在 这种防火墙中也可能发生。主要优点：链路级防火墙通常比应用层防火墙更快，因为它们执行更少的操作；通过禁用特定互联网源地址与内部计算机的连接,链路级防火墙可以帮助保护整个网 络；通过与网络地址解析联合使用，你可以使用链路级防火墙来阻止外部用户 访问内部网络IP地址。主要缺点：运行在传输层，因此必须要对传输函数编程进行比较大的修改。这可能影 响到网络的性能和运行。链路级防火墙需要安装人员和维护人员具有一定的专业知识。四、应用级防火墙在这种防火墙实现方式中,防火墙的角色是一个应用程序代理,与远端系统实现所有数据交换。这种防火墙背后的设计思想是让所有服务器藏在防火墙后面,对远端系统不可见

7、。一个应用层防火墙可以根据特定规则来接受或拒绝 通信。举个例子来说,这种防火墙可以允许某些命令被传送到一个服务器上, 而拒绝其它命令。这个技术还可以被用来限制访问特定的文件类型,同样也可 以为授权和未授权用户提供不同级别的访问级别。图3、应用级防火墙对于那些喜欢对网络流量进行详细监控和记录日志的用户来说,可能会比较喜欢应用层防火墙,因为使用应用防火墙实现这些功能非常简单,而且不会 进一步影响性能。IT管理员可以设定一个应用层防火墙来实现在预定义事件发 生的时候触发报警器和发出提示。应用程序网关一般被部署在一台单独的联网 计算机上,人们通常称之为代理服务器。除了上述三种类型的防火墙外，还有一种状态检查多级防火墙，这类防火 墙通常由厂商作为 “最佳品牌 ”解决方案来提供，目的是将前面几种防火墙的优 点组合起来。状态防火墙可以执行网络包过滤，同时还可以识别和处理应用层 的数据。这类防火墙通常可以提供超强网络保护，但是价格可能比较昂贵。另外值得注意的是，多数防火墙厂商提供了一系列