防火墻的分類及特點
對于市面上種類品牌繁多的防火墻，選購者們是不是會很頭疼呢？究竟是看重這個防火墻廠商的知名度還是它的功能？到底國內防火墻好還是國外防火墻更優秀？他們都各自有什么優勢呢？
不同環境的網絡，對于防火墻的要求各不一樣。比如說IDS功能、VPN功能，對于一些小型的公司來說就不需要這些功能。再比如說流量和性能、處理能力之間的關系，究竟多大規模的網絡，多大的流量需要多大的性能和多強的處理能力才算是合適呢？那么就需要選購者對于防火墻的選型方面仔細考慮了。
首先大概說一下防火墻的分類。就防火墻的組成結構而言，可分為以下三種：
第一種：軟件防火墻
這里指的是網絡版的軟件防火墻而不是個人防火墻。個人防火墻在網上有很多可以免費下載的，不需要花錢買。軟件防火墻運行于特定的計算機上，它需要客戶預先安裝好的計算機操作系統的支持，一般來說這臺計算機就是整個網絡的網關。軟件防火墻就象其它的軟件產品一樣需要先在計算機上安裝并做好配置才可以使用。防火墻廠商中做網絡版軟件防火墻最出名的莫過于Checkpoint。
第二種：硬件防火墻
這里說的硬件防火墻是指所謂的硬件防火墻。之所以加上"所謂"二字是針對芯片級防火墻說的了。它們最大的差別在于是否基于專用的硬件平臺。目前市場上大多數防火墻都是這種所謂的硬件防火墻，他們都基于PC架構，就是說，它們和普通的家庭用的PC沒有太大區別。在這些PC架構計算機上運行一些經過裁剪和簡化的操作系統，最常用的有老版本的Unix、Linux和FreeBSD系統。
第三種：芯片級防火墻
它們基于專門的硬件平臺，沒有操作系統。專有的ASIC芯片促使它們比其他種類的防火墻速度更快，處理能力更強，性能更高。做這類防火墻最出名的廠商莫過于NetScreen.其他的品牌還有FortiNet,算是后起之秀了。
對防火墻的分類有了初步的了解之后，選購者比較關心的就是下面所說的――這三種防火墻各自的優缺點以及這幾種防火墻對于不同的網絡環境的應用有何不同。弄清楚這些才能對防火墻本身有個比較好的了解，對于選購也是及其有幫助的。
在防火墻的應用上，除了防火墻的基本功能之外，還根據企業用戶的需要添加了許多其他的擴展功能。
通常有NAT、DNS、VPN、IDS等。由于軟件防火墻和硬件防火墻是運行于一定操作系統上的特定軟件，所以一些防火墻所需要實現的功能就可以像大家普遍使用的軟件一樣，分成許多個模塊。一些防火墻的廠商也是這樣做的，他們將一些擴展的功能劃分出來，如果需要使用則另行購買安裝。例如IDS功能，有些公司已經購買了專業的IDS產品，那么防火墻上單加了一個IDS的功能則顯得有些多余。那么就可以不再購買防火墻中IDS的部分。
芯片級防火墻的核心部分就是ASIC芯片，所有的功能都集成做在這一塊小小的芯片上，可以選擇這些功能是否被啟用。由于有專用硬件的支持，在性能和處理速度上高出前兩種防火墻很多，在擁有全部功能后處理速度還是比較令人滿意的。
大多數人在選購防火墻的時候會著重于這個防火墻相對于其他防火墻都多出什么功能，性能高多少之類的問題。但對于防火墻來說，自身的安全性決定著全網的安全性。
由于軟件防火墻和硬件防火墻的結構是軟件運行于一定的操作系統之上，就決定了它的功能是可以隨著客戶的實際需要而做相應調整的，這一點比較靈活。當然了，在性能上來說，多添加一個擴展功能就會對防火墻處理數據的性能產生影響，添加的擴展功能越多，防火墻的性能就越下降。
由于前兩種防火墻運行于操作系統之后，所以它的安全性很大程度上決定于操作系統自身的安全性。無論是UNIX、Linux、還是FreeBSD系統，它們都會有或多或少的漏洞，一旦被人取得了控制權，整個內網的安全性也就無從談起了，黑客可以隨意修改防火墻上的策略和訪問權限，進入內網進行任意破壞。由于芯片級防火墻不存在這個問題，自身有很好的安全保護，所以較其他類型的防火墻安全性高一些。
芯片級防火墻專有的ASIC芯片，促使它們比其他種類的防火墻速度更快，處理能力更強。專用硬件和軟件強大的結合提供了線速處理深層次信息包檢查、堅固的加密、復雜內容和行為掃描功能的優化。不會在網絡流量的處理上出現瓶頸。
防毒對于一個企業來說也是必不可少的。芯片級防火墻的后起之秀Fortinet就可以在網關處結合FortiContent技術為各種網絡數據交易和企業網絡進行高級別的病毒安全防護,保護內部網絡的安全。大部分防火墻都可以與防病毒軟件搭配實現掃毒功能，而掃毒功能通常是由其他的server來實現處理的。如此互動，與在防火墻在進行流量處理的同時就完成的掃毒功能相比自然是差了許多。
在小型且不需要其他特殊功能的網絡來說，硬件防火墻無非是比較好的選擇。由于不需要擴展功能，或者擴展功能用的比較少，另行購買的模塊就少，在價格上和使用方面就比芯片級要合算。
在了解了防火的種類以及它們各自的優缺點之后，在具體進行選購時，還應該就每臺防火墻的各項參數指示進行對比，從眾多的型號中選出真正適合自己企業的防火墻，這將是我們下一部分所要講述的內容。
防火墻選型中的關鍵――參數詳解
在防火墻的選型中離不開那些參數，而搞懂那些參數意味著選購者能買到一款稱心如意的防火墻。
并發會話數
并發會話連接數指的是防火墻或代理服務器對其業務信息流的處理能力，是防火墻能夠同時處理的點對點會話連接的最大數目，它反映防火墻對多個連接的訪問控制能力和連接狀態跟蹤能力。這個參數的大小可以直接影響到防火墻所能支持的最大信息點數。
大多數人也許不明白，普通會話數會有幾千到幾十萬不等，那么是不是內網中的機器數量跟會話數有直接聯系呢？想到這里，其實答案馬上就能出來了。舉例說明，一個并發會話數代表一臺機器打開的一個窗口或者一個頁面。那么內網中一臺機器同時開很多頁面，并且聊天工具或者網絡游戲同時進行著，那么這一臺機器占用的會話數就會有幾十到幾百不等。內網中同時在線的機器數量越多，需要的會話數就越多。所以，根據防火墻的型號不同，型號越大，并發會話數就會越多。
在一些防火墻中還有另外一個概念，那就是每秒新建會話數。假設在第一時間，已經占用了防火墻的全部會話數，在下一秒，就要等待防火墻處理完之前不需要的會話數才能讓需要的人繼續使用剩余的會話數。那么這個每秒新增會話數就很重要了。如果每秒新增會話數不夠的話，剩下的人就要等待有新的會話數出來。那么就會體現為上網速度很慢。了解了這一情況，選購者就不會承擔這個防火墻導致網速變慢的黑鍋了。
性能
防火墻的性能對于一個防火墻來說是至關重要的，它決定了每秒鐘可能通過防火墻的最大數據流量，以bps為單位。從幾十兆到幾百兆不等，千兆防火墻還會達到幾個G的性能。關于性能的比較，參看防火墻的彩頁介紹就可以比較的出來，比較明了。
工作模式
目前市面上的防火墻都會具備三種不同的工作模式，路由模式、NAT模式還有透明模式。
透明模式時，防火墻過濾通過防火墻的封包，而不會修改數據包包頭中的任何源或目的地信息。所有接口運行起來都像是同一網絡中的一部分。此時防火墻的作用更像是Layer 2(第2層)交換機或橋接器。在透明模式下，接口的IP地址被設置為0.0.0.0，防火墻對于用戶來說是可視或"透明"的。
處于"網絡地址轉換(NAT)"模式下時，防火墻的作用與Layer 3(第3層)交換機(或路由器)相似，將綁定到外網區段的IP封包包頭中的兩個組件進行轉換：其源IP地址和源端口號。防火墻用目的地區段接口的IP地址替換發送封包的主機的源IP地址。另外，它用另一個防火墻生成的任意端口號替換源端口號。
路由模式時，防火墻在不同區段間轉發信息流時不執行NAT；即，當信息流穿過防火墻時，IP封包包頭中的源地址和端口號保持不變。與NAT不同，不需要為了允許入站會話到達主機而建立路由模式接口的映射和虛擬IP地址。與透明模式不同，內網區段中的接口和外網區段中的接口在不同的子網中。
管理界面
管理一個防火墻的方法一般來說是兩種：圖形化界面(GUI)和命令行界面(CLI)。
圖形界面最常見的方式是通過web方式(包括http和https)和java等程序編寫的界面進行遠程管理；命令行界面一般是通過console口或者telnet/ssh進行遠程管理。
接口
防火墻的接口也分為以太網口(10M)、快速以太網口(10/100M)、千兆以太網口(光纖接口)三種類型。防火墻一般都預先設有具有內網口、外網口和DMZ區接口和默認規則，有的防火墻也預留了其它接口用于用戶自定義其它的獨立保護區域。防火墻上的RS232 Console口主要用于初始化防火墻時的進行基本的配置或用于系統維護。另外有的防火墻還有可能提供PCMCIA插槽、IDS鏡像口、高可用性接口(HA)等，這些是根據防火墻的功能來決定的。
策略設置
防火墻提供具有單個進入和退出點的網絡邊界。由于所有信息流都必須通過此點，因此可以篩選并引導所有通過執行策略組列表(區段間策略、內部區段策略和全局策略)產生的信息流。
策略能允許、拒絕、加密、認證、排定優先次序、調度以及監控嘗試從一個安全區段流到另一個安全區段的信息流。可以決定哪些用戶和信息能進入和離開，以及它們進入和離開的時間和地點。
簡單的說，防火墻應該具有靈活的策略設置，針對源和目的IP地址、網絡服務以及時間幾個方面實施不同的安全策略。
內容過濾
面對當前互聯網上的各種有害信息，有的防火墻還增加了URL阻斷、關鍵詞檢查、Java Apple、ActiveX和惡意腳本過濾等。
入侵檢測
黑客普通攻擊的實時檢測。實時防護來自IP Source Routing、IP Spoofing、SYN flood、ICMP flood、UDP flood、Address sweep、Tear drop attack、Winnuke attack、Port Scan Attack、Ping of Death、Land attack、拒絕服務和許多其他的攻擊。并且在檢測到有攻擊行為時能通過電子郵件或其它方式通知系統管理員。
用戶認證
完善的用戶認證機制，可以指定內部用戶必須經過認證，方可訪問不可信網絡。防火墻可以限定只有授權用戶可以通過防火墻進行一些有限制的活動，可以使用內建用戶數據庫、外部Raduis數據庫或IP/MAC綁定等多數認證方式。
對于內部網絡的安全又多了一層保障。
虛擬專用網VPN
在網絡之間或網絡與客戶端之間進行安全通訊。可以支持的最大VPN數目，支持的加密方式(手工密鑰、IKE、PKI、DES、3DES和AES加密等)，是否支持完全的正反向加密，是否有冗余的VPN網關。
一般異地辦公的網絡都會注意這點。尤其是加密方式。不過硬的加密方式會導致黑客竊取機密文件等。所以加密的方式越高級越好。
日志/監控
防火墻對受到的攻擊和通過防火墻的請求應具有完備的日志功能，包括安全日志、時間日志和傳輸日志。最好可以通過同步分析軟件同步到指定主機上，實現對日志的詳盡審計。
高可用性
提高可*性和負載分配。HA端口：專用于兩點間通訊連接。分兩種工作方式：一是兩臺防火墻同時工作，共同負擔網絡流量，在其中一臺防火墻中斷的同時，另外一臺自動接管所有任務，保證不會發生網絡中斷；另外一種是在同一時間只使用其中一臺防火墻，當其不能正常工作時，另外一臺防火墻立刻接管當前的防火墻，不會造成網絡中斷。
寫在最后
掌握了文章中提到的這些關鍵性要素對于選購防火墻的標準相信就可以有一個明確的概念了，也希望能通過本文幫助您選購到稱心的防火墻產品！