防火墙是硬件还是软件设备

防火墙既是硬件设备，也是软件设备，它是由软件和硬件设备组合而成的。防火墙是通过有机结合各类用于安全管理与筛选的软件和硬件设备，帮助计算机网络于其内、外网之间构建一道相对隔绝的保护屏障，以保护用户资料与信息安全性的一种技术。

本教程操作环境：windows7系统、Dell G3电脑。

什么是防火墙？

防火墙，指由软件和硬件设备组合而成、在内部网和外部网之间、局域网与外网之间的保护屏障。就像架起了一面墙，它能使网络之间建立起一个安全网关，从而保护内部网免受非法用户的侵入。

防火墙技术是通过有机结合各类用于安全管理与筛选的软件和硬件设备，帮助计算机网络于其内、外网之间构建一道相对隔绝的保护屏障，以保护用户资料与信息安全性的一种技术。

防火墙技术的功能主要在于及时发现并处理计算机网络运行时可能存在的安全风险、数据传输等问题，其中处理措施包括隔离与保护，同时可对计算机网络安全当中的各项操作实施记录与检测，以确保计算机网络运行的安全性，保障用户资料与信息的完整性，为用户提供更好、更安全的计算机网络使用体验。

熟悉互联网的朋友一定对防火墙不陌生，不管是电脑自带的防火墙还是，还是一般的软件防火墙，或者硬件防火墙，多多少少都有些了解。在这个时代，计算机病毒已是常态，如何阻止外部黑客访问你的系统和敏感数据？最简单的方法是通过防火墙。

硬件防火墙和软件防火墙有什么区别？

硬件防火墙，把“软件防火墙”嵌入在硬件中，把“防火墙程序”加入到芯片里面，由硬件执行这些功能，从而减少计算机或服务器的CPU负担。一般的“软件安全厂商”所提供的“硬件防火墙”，就是在“硬件服务器厂商”定制硬件，然后再把“Linux系统”与自己的软件系统结合嵌入。

软件防火墙，一般基于某个操作系统平台开发，直接在计算机上进行软件的安装和配置。由于客户之间操作系统的多样性，软件防火墙需要支持多种操作系统，如“Unix、Linux、SCO-Unix、Windows”等。

硬件防火墙，是通过硬件和软件的组合来达到隔离内外部网络的目的；而软件防火墙，是通过纯软件的的方式，实现隔离内外部网络的目的。

一、稳定性

稳定性能的优劣，主要来自于防火墙的运行平台，即“操作系统”上。

硬件防火墙，一般使用经过内核编译后的Linux系统，凭借Linux系统本身的高可靠性和稳定性，保证了防火墙整体的稳定性。

Linux系统永远都不会崩溃，它的稳定性是由于没有像其他操作系统一样，内核庞大且漏洞百出。系统的稳定性主要取决于系统设计的结构。计算机硬件的结构，自从1981年设计开始就没有做特别大的改动，而连续向后兼容性，使那些编程风格极差的应用软件勉强移植到Windows的最新版本，这种“将就的软件开发模式”极大地阻碍了系统稳定性的发展。

而令人关注的Linux开放源代码的开发模式，它保证了任何系统的漏洞，都能被及时发现和修正。Linux系统采取了许多安全技术措施，包括“对读、写进行权限控制”、“带保护的子系统”、“审计跟踪”、“核心授权”等，这为网络多用户环境中的用户，提供了必要的安全保障。

软件防火墙，一般要安装在windows平台上，实现简单，但同时由于windows操作系统本身的漏洞和不稳定性，也带来了软件防火墙的安全性和稳定性的问题。虽然Microsoft（微软）也在努力的弥补这些问题，但与Linux操作系统比起来，还是漏洞倍出。

在病毒侵害方面，从linux系统发展到至今，几乎没有感染过病毒。而基于Windows操作系统漏洞产生的病毒，我们就不必多说了，只要是长期使用过PC（个人电脑）的人，都有大致的感受。

二、主要指标

“吞吐量”和“报文转发率”，是关系防火墙应用的主要指标。

吞吐量：网络中的数据，是由一个个数据包组成，防火墙对每个数据包的处理要耗费资源。吞吐量是指在不丢包的情况下，单位时间内通过防火墙的数据包数量。这是测量防火墙性能的重要指标。

硬件防火墙的硬件设备，是经专业厂商定制的，在定制之初就充分考虑了“吞吐量”的问题，在这一点上远远胜于软件防火墙，因为软件防火墙的硬件，是用户在购买电脑时自己选择和配置的，很多情况下都没有考虑“吞吐量”的问题，况且windows系统本身就很耗费硬件资源，其吞吐量和处理大数据流的能力，远不及硬件防火墙。

吞吐量太小的话，防火墙就成为网络的瓶颈，会带来“网络速度慢、上网带宽不够”等问题。

三、工作原理

软件防火墙，一般是“包过滤机制”，过滤规则简单，只能检查到第三层“网络层”，只对源或目的IP做检查，防火墙的能力远不及硬件防火墙，连最基本的黑客攻击手法：“IP伪装”，都无法解决，并且要对所经过的所有数据包做检查，所以速度比较慢。

硬件防火墙，主要采用第四代“状态检测机制”，“状态检测”是在通信发起连接时，就检查规则是否允许建立连接，然后在缓存的状态检测表中添加一条记录，以后就不必去检查规则了，只要查看状态检测表就OK了，速度上有了很大的提升。

因为工作的层次有了提高，所以硬件防火墙的防黑客功能，比软件防火墙，强了很多。硬件防火墙的“状态检测机制”，跟踪的不仅是“数据包”中包含的信息，为了跟踪“数据包”的状态，防火墙还记录有用的信息以帮助识别“数据包”，例如“已有的网络连接、数据的传出请求”等。

例如，如果传入的数据包，包含了视频数据流，而防火墙可能已经记录了有关信息，并进行匹配，数据包就可以被允许通过。。

硬件防火墙和软件防火墙，在实现的机制上，有很大的不同，因此，也带来了软硬件防火墙在防黑能力上的很大差异。

四、内网控制

软件防火墙，由于本身的工作原理，造成了它不具备内网具体化的控制管理。比如：“不能禁止QQ、不能很好地防止病毒侵入、不能针对具体的IP和MAC做上网控制”等，其主要的功能在于对外。

硬件防火墙，在基于“状态检测”的机制上，安全厂商又可以根据市场的不同需求，开发“应用层”过滤规则，来满足对内网的控制，从而能在高层进行过滤，做到了软件防火墙不能做到的很多事情。尤其是流行的ARP病毒，硬件防火墙针对其入侵的原理，做了相应的策略，彻底解除了ARP病毒的危害。

防火墙，已经不仅仅局限于对外的防止黑客攻击，更多的企业内部网络，诸如“上网速度慢、时断时续、邮件收发不正常”等问题。

分析其主要原因，还是在于内网用户的使用问题，例如：很多的用户，上班时间使用BT下载、浏览一些不正规的网站，这样都会引起内网诸多的不安全性，比如：病毒，很多病毒传播都是使用者的不良行为而造成的。所以说内网用户的控制和管理，是很有必要的。

防火墙的核心技术

防火墙总体上分为包过滤、应用级网关和代理服务器等几大类型。包含如下几种核心技术：

1、包过滤技术

包过滤技术是一种简单、有效的安全控制技术，它工作在网络层，通过在网络间相互连接的设备上加载允许、禁止来自某些特定的源地址、目的地址、TCP端口号等规则，对通过设备的数据包进行检查，限制数据包进出内部网络。

包过滤的最大优点是对用户透明，传输性能高。但由于安全控制层次在网络层、传输层，安全控制的力度也只限于源地址、目的地址和端口号，因而只能进行较为初步的安全控制，对于恶意的拥塞攻击、内存覆盖攻击或病毒等高层次的攻击手段，则无能为力。

2、应用代理技术

应用代理防火墙工作在OSI的第七层，它通过检查所有应用层的信息包，并将检查的内容信息放入决策过程，从而提高网络的安全性。

应用网关防火墙是通过打破客户机／服务器模式实现的。每个客户机／服务器通信需要两个连接：一个是从客户端到防火墙，另一个是从防火墙到服务器。另外，每个代理需要一个不同的应用进程，或一个后台运行的服务程序，对每个新的应用必须添加针对此应用的服务程序，否则不能使用该服务。所以，应用网关防火墙具有可伸缩性差的缺点。

3、状态检测技术

状态检测防火墙工作在OSI的第二至四层，采用状态检测包过滤的技术，是传统包过滤功能扩展而来。状态检测防火墙在网络层有一个检查引擎截获数据包并抽取出与应用层状态有关的信息，并以此为依据决定对该连接是接受还是拒绝。这种技术提供了高度安全的解决方案，同时具有较好的适应性和扩展性。状态检测防火墙一般也包括一些代理级的服务，它们提供附加的对特定应用程序数据内容的支持。

状态检测防火墙基本保持了简单包过滤防火墙的优点，性能比较好，同时对应用是透明的，在此基础上，对于安全性有了大幅提升。这种防火墙摒弃了简单包过滤防火墙仅仅考察进出网络的数据包，不关心数据包状态的缺点，在防火墙的核心部分建立状态连接表，维护了连接，将进出网络的数据当成一个个的事件来处理。主要特点是由于缺乏对应用层协议的深度检测功能，无法彻底的识别数据包中大量的垃圾邮件、广告以及木马程序等等。

4、完全内容检测技术

完全内容检测技术防火墙综合状态检测与应用代理技术，并在此基础上进一步基于多层检测架构，把防病毒、内容过滤、应用识别等功能整合到防火墙里，其中还包括IPS功能，多单元融为一体，在网络界面对应用层扫描，把防病毒、内容过滤与防火墙结合起来，这体现了网络与信息安全的新思路，(因此也被称为“下一代防火墙技术”)。它在网络边界实施OSI第七层的内容扫描，实现了实时在网络边缘布署病毒防护、内容过滤等应用层服务措施。完全内容检测技术防火墙可以检查整个数据包内容，根据需要建立连接状态表，网络层保护强，应用层控制细等优点，但由于功能集成度高，对产品硬件的要求比较高。

更多相关知识，请访问常见问题栏目！

以上是防火墙是硬件还是软件设备的详细内容。更多信息请关注PHP中文网其他相关文章！