网络基础 防火墙的分类

2024年5月25日发(作者：)

网络基础 防火墙的分类

防火墙是一个位于计算机和它所连接的网络之间的硬件或软件，目前，市场上的防火墙

产品非常多，划分的标准也不同。主要可以从技术、结构、网络位置和性能等几个方面来分

类。

1．从性能档次上分

在实际的应用中，用户通常是根据具体应用的安全和性能需求而选择不同性能档次的防

火墙产品的。从性能档次方面来讲，防火墙大体可以分为以下几类：

 个人防火墙

个人防火墙是最常见的，通常为个人用户所选择，可以为个人计算机提供简单的防火墙

功能。

虽然个人防火墙只是为了保护单一个人计算机而设计的，但是如果内部网络的其它计算

机是通过安装个人防火墙的计算机与Internet相连接，则它也可以起到保护内部网络的作用。

但是，个人防火墙的性能有限，并会造成安装它的个人计算机的性能下降。这种保护机制通

常不如专用防火墙解决方案有效，因为它们通常只限于阻止IP、端口地址和一些比较简单

的网络攻击，安全策略配置不是很灵活。

个人防火墙的优点主要在于价格很低甚至是免费的（微软已将个人防火墙系统集成到

Windows XP／Server 2003版本中）且配置简单（个人防火墙产品通常可以使用直接的配置

选项获得基本可使用的配置），各品牌的杀毒软件中也提供防火墙这一功能模块，如金山网

镖、瑞星个人防火墙等。正是由于这些所以比较适合个人使用，特别适合使用便携计算机的

移动用户。

个人防火墙的缺点也比较明显，主要有集中管理比较困难（需要在每个客户端进行配置，

增加了管理开销）、仅具有基本控制（配置趋向于仅为静态数据包筛选和基于权限的应用程

序阻止的组合）及性能限制（个人防火墙是为了保护单一个人计算机而设计的。在充当小型

网络的路由器的个人计算机上使用它们将导致性能下降）。并且由于其有限的性能和功能，

在企业中，甚至小型附属办事处中不应考虑使用。

 路由器防火墙

路由器防火墙可以在细分为Internet连接设计的低端设备和高端传统路由器。低端路由

器提供了阻止和允许特定的IP地址和端口号的基本防火墙功能，以及使用NAT来隐藏内部

IP地址。它们经常提供防火墙功能作为阻止来自Internet入侵的标准、最佳选择。

高端路由器可以配置为通过阻挡明显的入侵（如Ping）以及使用访问控制列表（ACL）

实现其他IP地址和端口限制，来限制访问。在高端路由器中，防火墙功能与硬件防火墙设

备的类似，但成本更低而且吞吐量也更低。

路由器防火墙的优点包括低成本解决方案（绝大多数路由器产品支持NAT和ACL功能）、

可以整合配置（进行路由器正常工作所需的配置后，路由器防火墙配置就完成了）及降低了

投资（管理员对路由器防火墙配置和管理很熟悉，不需要重新进行培训；并且不安装其他硬

件，网络布线已经简化，而这也简化了刚络管理，降低了投资。）

。

路由器防火墙的缺点包括功能有限（低端路由器只能提供基本的防火墙功能，高端路由

器虽提供较高级别的防火墙功能，但是可能需要相当多、而且复杂的配置。），仅具有基本控

制（配置趋向于仅为静态数据包筛选和基于权限的应用程序阻止的组合），且影响性能（使

用路由器作为防火墙会降低路由器的性能，减慢路由速度）。

 低端硬件防火墙

硬件防火墙市场中的低端产品是需要一点或不需要配置的即插即用设备，就像普通的桌

面交换机一样。这些低档设备经常集成了交换机和VPN功能。低端硬件防火墙适合小型公

司和较大企业中内部使用。它们一般提供静态筛选功能和基本的远程管理功能。

低端硬件防火墙的优点在于成本低及配置简单（几乎不需要进行配置，即插即用）。

也正是这类防火墙的优点决定了它的缺点。低端硬件防火墙只提供基本的防火墙功能，

无法以并行的方式运行以进行冗余，所以处理高吞吐量连接有限，可能会导致出现瓶颈。

 高端硬件防火墙

在高端硬件防火墙市场中，有适合企业或服务提供商的高性能、高适应性产品。这些产

品提供最好的保护，而不会降低网络的性能。这些高端的硬件防火墙可以通过添加第二个作

为运行的备份防火墙，以获得可用性的提高。

高端硬件防火墙可以提供较高级别的入侵防护，同时对性能造成的影响最低。并且，将

高端硬件防火墙连接在一起，可以实现最佳的可用性和负载平衡。

另外，防火墙的硬件和软件均可以升级，以满足更高的防掮要求。其中，硬件升级可能

包括附加的以太网端口，而软件升级可能包括新入侵方法的检测。最后，高端硬件防火墙比

低端硬件防火墙提供了更佳的远程管理功能等。

 高端服务器防火墙

高端服务器防火墙将防火墙功能添加到高端服务器中，在标准软件和软件系统上提供可

靠快速的保护。此方法的好处是使用熟悉的硬件或软件，可以减少库存项目，简化培训和管

理，提供可靠性和扩展性。

许多高端硬件防火墙产品是在运行行业标准操作系统和行业标准硬件平台上实现的，因

此在技术上和性能上与服务器防火墙有一点差异。但是，因为操作系统仍然是可见的，所以

服务器防火墙功能可以进行升级并且通过特殊技术使其具有更高的可用性和更高性能。

服务器防火墙适合在特殊的硬件或软件平台上，因为防火墙使用相同的平台可以使管理

任务更简单，并且缓存功能还非常有效。

服务器防火墙的优点包括高性能（在一个性能合适的服务器上运行时，这些服务器可以

提供较高级别的性能）和可用性、适应性和可扩展性好（由于这种防火墙运行在标准个人计

算机硬件上）等两点。

但是，服务器防火墙对硬件要求较高，即高端中央处理单元（CPU）、内存和网络接口。

并且，服务器防火墙在服务器操作系统上运行，可能对该操作系统的其他软件带来安全隐患。

2．从结构上分

从防火墙结构上来讲大体可以分为单一主机防火墙、路由器集成式防火墙和分布式防火

墙三种。

 单一防火墙

单一主机防火墙是基于主机的最传统的防火墙，独立于其它网络设备，位于网络边界。

这种防火墙其实与一台计算机结构差不多，硬盘是用来存储防火墙所用的基本程序，如包过

滤程序、代理服务器程序及日志记录等，用来对通过它的数据包进行过滤。但它和平常的计

算机最大的区别就在于它具备非常高的稳定性、实用性及系统的吞吐性能。

随着防火墙技术的发展及应用需求的提高，原来作为单一主机的防火墙现在已发生了许

多变化。最明显的变化就是现在许多中、高档的路由器中已集成了防火墙功能，还有的防火

墙已不再是一个独立的硬件实体，而是由多个软、硬件组成的系统，这种防火墙，俗称“分

布式防火墙”。

 路由集成防火墙

路由集成防火墙，也即一台具有安全策略的路由器。就是在路由器上通过配置访问控制

列表（ACL）等安全策略来对数据包进行有效的过滤，从而达到防火墙的功能。

 分布式防火墙

分布式防火墙不仅位于网络边界，而且也渗透于网络中的每一台主机，对整个内部网络

的主机实施保护。在网络服务器中，通常会安装一个用于防火墙系统管理软件，在服务器及

各主机上安装有集成网卡功能的PCI防火墙卡，这样一块防火墙卡同时兼有网卡和防火墙

的双重功能。因此一个防火墙系统就可以彻底保护内部网络。各主机把任何其它主机发送的

通信连接都视为“不可信”的，都需要严格过滤。而不是传统边界防火墙那样，仅对外部网

络发出的通信请求“不信任”。