企业防火墙该如何选择

在IT安全领域，防火墙是一个重要的角色，通常被部署在企业网络和外部互联网中间，来保护企业网中的计算机、应用程序和其它资源免遭外部攻击。然而由于很多人对防火墙接触的很少，加上防火墙种类繁多，常常让一些新手朋友在选择购买防火墙的时候感到困惑，本文笔者将和大家一起简单了解一下在购买防火墙需要明确的一些概念，以及不同类型防火墙的主要优点和缺点。

一、防火墙概念及选购要素

尽管防火墙有很多种分类，我们还是可以给它下一个广泛的定义：一系列相关的安全程序被安装在一个网络入口服务器(或专用设备)上，两者共同筑起一道安全“墙”，共同保护内网资源免遭外网人员攻击。

尽管所有防火墙都运行软件，防火墙市场本身还是被人们划分为两大阵营：硬件防火墙和软件防火墙。硬件防火墙是专门的安全设备，上面预装着安全软件，其操作系统一般是专用操作系统。另一方面，软件防火墙通常可以被安装在任何可用的服务器上，服务器的操作系统一般是通用的网络操作系统，诸如Windows或Linux等。

企业在选择防火墙产品的时候，没有一套完全正确的规则可参考，因为每个企业的实际网络环境不一样，而且每个企业对防火墙功能要求也不同，因此企业通常要立足于需要和自己公司的实际情况来选择合适的防火墙。不过在选购防火墙的时候，还是有一些要考虑的共同问题，如以下问题。

·防火墙的体系架构(硬件还是软件);

·防火墙要求的并发会话(session)数量是多少，并发会话数是防火墙能够同时处理的点对点会话连接的最大数目，它反映防火墙对多个连接的访问控制能力和连接状态跟踪能力。这个参数的大小可以直接影响到防火墙所能支持的最大信息点数;

·外部访问的类型和范围要求;

·需要的VPN(虚拟专用网)协议的数量和类型;要求保护的并发VPN的数量; ·喜欢的管理用户界面(命令行、图形或基于网页)，以及是否需要高可用性功能。

防火墙的价格相差很大，用户保护家庭或小企业网络的简单防火墙价格比较低，而用于专门保护企业资源的行业级别的硬件防火墙价格则非常高。

没有两个企业的网络是完全相同的，因此厂商提供了许多不同类型的防火墙实现(包括基于硬件和软件的)，来满足特定客户需要。最基本的实现可以被划分为包过滤、电路层和应用层三类。

二、包过滤防火墙

单纯的包过滤防火墙除了过滤数据包之外什么操作也不做。包过滤防火墙根据预先定义好的规则来决定接受或拒绝IP数据包。通过包过滤，该防火墙仔细的检查每一个数据包的协议和地址信息;数据包的内容不检查。

包过滤防火墙检查每一个传入包，查看包中可用的基本信息(源地址和目的地址、端口号、协议等)。然后，将这些信息与设立的规则相比较。举个例子来说，如果你设定了规则阻挡外网用户对内网计算机或设备使用telnet，而包的目的端口是23的话，那么该包就会被丢弃。

图1、包过滤防火墙

多个复杂规则的组合也是可行的。如果允许Web连接，但只针对特定的服务器，目的端口和目的地址二者必须与规则相匹配，才可以让该包通过。 主要优势：

包过滤防火墙相对比较简单，成本较低，部署简单快速。

现在单纯的硬件包过滤防火墙已经比较少，不过多数防火墙中都具有包过滤功能。而一般家用和小企业用的软件防火墙多数属于此类防火墙，Windows早期内置的防火墙就属于包过滤防火墙。另外，对于使用Linux操作系统的朋友来说，也可以配置其自带防火墙实现包过滤功能。

三、链路级防火墙

这类防火墙不是简单的.接受或拒绝数据包，它还根据一系列预定义规则来决定一个连接是否合法。如果一切通过验证，防火墙会打开一个会话，并允许指定源地址的数据通过防火墙进入网络内部。这个通信只被允许在限定时间内进行。

图2、链路级防火墙

另外，这个防火墙还可以根据以下对象来执行连接验证，例如源IP地址或源端口，目的IP地址或目的端口，使用的协议，用户ID，密码和时间等等，多数情况下要根据几种条件的组合来进行验证。我们可以看出，包级别的过滤在这种防火墙中也可能发生。

主要优点：

·链路级防火墙通常比应用层防火墙更快，因为它们执行更少的操作;

·通过禁用特定互联网源地址与内部计算机的连接，链路级防火墙可以帮助保护整个网络;

·通过与网络地址解析联合使用，你可以使用链路级防火墙来阻止外部用户访问内部网络IP地址。

主要缺点：

·运行在传输层，因此必须要对传输函数编程进行比较大的修改。这可能影响到网络的性能和运行。

《企业防火墙该如何选择》全文内容当前网页未完全显示，剩余内容请访问下一页查看。