【eNet硅谷动力专稿】软件防火墙还是硬件防火墙?防火墙的选择要看你的商业需求。
一些市场上的功能很强大的防火墙软件只是用来在普通的计算机上运行----如果你保护的是一个巨大的网络,这就需要一台专门的服务器。还有一些防火墙软件设计是用来在私人硬件上运行,同时你不得不买相应的软件,通过捆绑组成一个安全综合体。一般说来,硬件防火墙越容易安装和操作其成本就会越贵。但是不能保证硬件防火墙的效果就一定比软件防火墙的效果好。软件防火墙更加灵活,并且更容易升级它所运行的软件。
网络级的防火墙
这是第一代在网络级别上工作的防火墙,一般是根据来源文件和目的文件的IP地址,信息的端口来检测信息包和过滤通信。其他一些早期的安全软件也同样根据网络协议,域名和其他一些要素过滤信息包。
网络级别的防火墙很快,在今天你仍然可以在许多网络设施上找到他们的身影,特别是在路由器上。尽管如此,这种防火墙不支持基于复杂规则的模式。它们不能理解HTML和XML语言,但是他们能够破译SSL加密技术的信息包来检查他们的内容。因此,他们不能验证用户的输入或者是侦察到以URL请求为形式的经过恶意修正的参数。这样就会使你的网络陷于很多致命的网络威胁。
回路层防火墙
这种设施代表着第2种防火墙技术,动态监测信息包确保访问是合法的。信息流根据指定的规则被过滤,并且有可能只限认可的计算机。回路层级别的防火墙把网络与外部隐藏起来,这样可以有效的防止非法侵入者的访问。但是他们并不过滤单个信息包。
应用层级的防火墙
最近,应用层级别的防火墙能够通过他们的过滤器更加深入的对应用数据进行分析。通过综合的考虑客户机的请求和请求回应的上下之间的关系,这些防火墙尝试着加强正确的请求行为,阻止恶意的行为,从而帮助机构确保敏感信息和系统的安全。他们也能记录用户的使用记录。应用层级别的过滤同样也能防止垃圾邮件和病毒,也能根据内容阻止不受欢迎的网站,而不仅仅是依靠IP地址。
那看起来好象是过于完美不值得相信,确实是这样的。深入的信息包检测的副面影响就是:防火墙越是深入检测网络数据流,时间花费的越长。并且对几的网络的性能的影响也会持续更长的时间。这就是为什么 高端的网络安全设备包含许多RAM来加速信息包的处理的原因。当然你的为这额外的筹码付出更多的钱。
整体的多层级级别的防火墙
SML(整体的多层级级别的防火墙)的零售商声称他们的产品整合了其他三种防火墙的优点,他们在网络级别上过滤信息包,在应用层级别上辨别和处理数据,并且因为他们不使用代理服务器,所以他们能够使系统有更好的表现尽管对信息包进行了深入的分析。从不好的方面来说,这些防火墙不便宜,并且很难配置和运行。
【责任编辑 张帅】