如果分為軟件和硬件形式,防火墻可以分為軟件防火墻、硬件防火墻和芯片級防火墻。
第壹種:軟件防火墻
軟件防火墻運行在特定的計算機上,需要客戶預裝的計算機操作系統的支持。壹般來說,這臺電腦是整個網絡的網關。俗稱“個人防火墻”。軟件防火墻和其他軟件產品壹樣,需要在電腦上安裝配置後才能使用。在防火墻廠商中,Checkpoint是做在線軟件防火墻最有名的壹家。使用這種防火墻要求網絡管理員熟悉他們工作的操作系統平臺。
第二種:硬件防火墻
這裏所說的硬件防火墻是指“所謂的硬件防火墻”。之所以加“所謂”二字,是針對芯片級防火墻的。兩者最大的區別在於是否基於專用的硬件平臺。目前市面上大部分防火墻都是所謂的硬件防火墻,基於PC架構,也就是和普通家用PC區別不大。在這些基於PC的計算機上運行壹些精簡的操作系統,最常用的是舊版的Unix、Linux和FreeBSD系統。值得註意的是,由於這種防火墻仍然使用別人的內核,所以仍然會受到OS本身安全性的影響。
傳統的硬件防火墻壹般應該至少有三個端口,分別連接到內網、外網和DMZ區域(非軍事區)。現在壹些新的硬件防火墻往往會對端口進行擴展,常見的四端口防火墻壹般使用第四個端口作為配置端口和管理端口。許多防火墻可以進壹步擴展端口的數量。
第三種:芯片級防火墻
芯片級防火墻基於特殊的硬件平臺,沒有操作系統。專有的ASIC芯片使它們比其他種類的防火墻更快、更強大、性能更高。這類防火墻最著名的廠商有NetScreen、FortiNet、Cisco等。因為這種防火墻是專用的OS(操作系統),防火墻本身漏洞較少,但是價格相對較高。
雖然防火墻技術很多,但總的來說可以分為“包過濾”和“應用代理”兩大類。前者以以色列的Checkpoint防火墻和思科的PIX防火墻為代表,後者以美國NAI的Gauntlet防火墻為代表。
(1).包過濾類型。
包過濾防火墻工作在OSI網絡參考模型的網絡層和傳輸層,它根據包頭的源地址、目的地址、端口號和協議類型來決定是否允許通過。只有滿足過濾條件的數據包才會被轉發到相應的目的地,其余的數據包會從數據流中丟棄。