硬件防火墻和軟件防火墻的區(qū)別
硬件防火墻和軟件防火墻的區(qū)別
硬件防火墻和軟件防火墻不同,那么它們有什么區(qū)別呢?學(xué)習(xí)啦小編在這里介紹硬件防火墻和軟件防火墻的區(qū)別。
成本
硬件防火墻是軟硬件一體的,用戶購(gòu)買(mǎi)后不需要再投入其他費(fèi)用。一般硬件防火墻的報(bào)價(jià)在1萬(wàn)到2萬(wàn)之間。
軟件防火墻有三方面的成本開(kāi)銷(xiāo):軟件的成本、安裝軟件的設(shè)備成本以及設(shè)備上操作系統(tǒng)的成本。Windows Server 2003價(jià)格在4400-6000之間。
備注:綜合以上的成本,要配置一套軟件防火墻按最小的網(wǎng)絡(luò)要求,其成本在1.0萬(wàn)左右。
穩(wěn)定性
穩(wěn)定性能的優(yōu)劣主要來(lái)自于防火墻運(yùn)行平臺(tái)即操作系統(tǒng)上。
硬件防火墻一般使用經(jīng)過(guò)內(nèi)核編譯后的Linux,憑借Linux本身的高可靠性和穩(wěn)定性保證了防火墻整體的穩(wěn)定性,Linux永遠(yuǎn)都不會(huì)崩潰,其穩(wěn)定性是由于它沒(méi)有像其他操作系統(tǒng)一樣內(nèi)核龐大且漏洞百出。系統(tǒng)的穩(wěn)定性主要取決于系統(tǒng)設(shè)計(jì)的結(jié)構(gòu)。計(jì)算機(jī)硬件的結(jié)構(gòu)自從1981設(shè)計(jì)開(kāi)始就沒(méi)有作特別大的改動(dòng),而連續(xù)向后兼容性使那些編程風(fēng)格極差的應(yīng)用軟件勉強(qiáng)移植到Windows的最新版本,這種將就的軟件開(kāi)發(fā)模式極大地阻礙了系統(tǒng)穩(wěn)定性的發(fā)展。最令人注目的Linux開(kāi)放源代碼的開(kāi)發(fā)模式,它保證了任何系統(tǒng)的漏洞都能被及時(shí)發(fā)現(xiàn)和修正。Linux采取了許多安全技術(shù)措施,包括對(duì)讀、寫(xiě)進(jìn)行權(quán)限控制、帶保護(hù)的子系統(tǒng)、審計(jì)跟蹤、核心授權(quán)等,這為網(wǎng)絡(luò)多用戶環(huán)境中的用戶提供了必要的安全保障。
軟件防火墻一般要安裝在windows平臺(tái)上,實(shí)現(xiàn)簡(jiǎn)單,但同時(shí)由于windows本身的漏洞和不穩(wěn)定性帶來(lái)了軟件防火墻的安全性和穩(wěn)定性的問(wèn)題。雖然Microsoft也在努力的彌補(bǔ)這些問(wèn)題,Windows 2003 server本身的漏洞就比前期的Windows NT少了很多,但與Linux比起來(lái)還是漏洞倍出。在病毒侵害方面,從linux發(fā)展到如今,Linux幾乎不感染病毒。而作為Windows 平臺(tái)下的病毒我們就不必多說(shuō)了,只要是使用過(guò)電腦的人都有感受。像近幾個(gè)月以來(lái)在內(nèi)網(wǎng)中廣泛傳播的ARP欺騙病毒,造成了內(nèi)網(wǎng)不穩(wěn)定、網(wǎng)絡(luò)時(shí)斷時(shí)序、經(jīng)常掉線,無(wú)法開(kāi)展正常的工作,使得很多的網(wǎng)絡(luò)管理人員束手無(wú)策。
主要指標(biāo)
吞吐量和報(bào)文轉(zhuǎn)發(fā)率是關(guān)系防火墻應(yīng)用的主要指標(biāo),硬件防火墻的硬件設(shè)備是經(jīng)專業(yè)廠商定制的,在定制之初就充分考慮了吞吐量的問(wèn)題,在這一點(diǎn)上遠(yuǎn)遠(yuǎn)勝于軟件防火墻,因?yàn)檐浖阑饓Φ挠布怯脩糇约哼x擇的很多情況下都沒(méi)有考慮吞吐量的問(wèn)題,況且windows系統(tǒng)本身就很耗費(fèi)硬件資源,其吞吐量和處理大數(shù)據(jù)流的能力遠(yuǎn)不及硬件防火墻,這一點(diǎn)是不言而喻的。吞吐量太小的話,防火墻就是網(wǎng)絡(luò)的瓶頸,會(huì)帶來(lái)網(wǎng)絡(luò)速度慢、上網(wǎng)帶寬不夠等等問(wèn)題。
工作原理
軟件防火墻一般可以是包過(guò)濾機(jī)制。包過(guò)濾過(guò)濾規(guī)則簡(jiǎn)單,只能檢查到第三層網(wǎng)絡(luò)層,只對(duì)源或目的IP做檢查,防火墻的能力遠(yuǎn)不及狀態(tài)檢測(cè)防火墻,連最基本的黑客攻擊手法IP偽裝都無(wú)法解決,并且要對(duì)所經(jīng)過(guò)的所有數(shù)據(jù)包做檢查,所以速度比較慢。硬件防火墻主要采用第四代狀態(tài)檢測(cè)機(jī)制。狀態(tài)檢測(cè)是在通信發(fā)起連接時(shí)就檢查規(guī)則是否允許建立連接,然后在緩存的狀態(tài)檢測(cè)表中添加一條記錄,以后就不必去檢查規(guī)則了只要查看狀態(tài)監(jiān)測(cè)表就OK了,速度上有了很大的提升。因其工作的層次有了提高,其防黑功能比包過(guò)濾強(qiáng)了很多,狀態(tài)檢測(cè)防火墻跟蹤的不僅是包中包含的信息。為了跟蹤包的狀態(tài),防火墻還記錄有用的信息以幫助識(shí)別包,例如已有的網(wǎng)絡(luò)連接、數(shù)據(jù)的傳出請(qǐng)求等。
例如,如果傳入的包包含視頻數(shù)據(jù)流,而防火墻可能已經(jīng)記錄了有關(guān)信息,防火墻進(jìn)行匹配,包就可以被允許通過(guò)。。
硬件防火墻比軟件防火墻在實(shí)現(xiàn)的機(jī)制上有很大的不同,也帶來(lái)了軟硬件防火墻在防黑能力上很大差異。
內(nèi)網(wǎng)控制
軟件防火墻由于本身的工作原理造成了它不具備內(nèi)網(wǎng)具體化的控制管理,比如,不能控制BT、不能禁止QQ、不能很好的防止病毒侵入、不能針對(duì)具體的IP和MAC做上網(wǎng)控制等,其主要的功能在于對(duì)外。
硬件防火墻在基于狀態(tài)檢測(cè)的機(jī)制上,安全廠商又可以根據(jù)市場(chǎng)的不同需求開(kāi)發(fā)應(yīng)用層過(guò)濾規(guī)則,來(lái)滿足對(duì)內(nèi)網(wǎng)的控制,能夠在高層進(jìn)行過(guò)濾,做到了軟件防火墻不能做到的很多事。尤其是流行的ARP病毒,硬件防火墻針對(duì)其入侵的原理,做了相應(yīng)的策略,徹底解除了ARP病毒的危害。
網(wǎng)絡(luò)安全(防火墻)已經(jīng)不僅僅局限于對(duì)外的防止黑客攻擊上,更多的企業(yè)內(nèi)部網(wǎng)絡(luò)經(jīng)常存在諸如上網(wǎng)速度慢、時(shí)斷時(shí)序、郵件收發(fā)不正常等問(wèn)題。我們分析其主要的原因,在于內(nèi)網(wǎng)用戶的使用問(wèn)題,很多的用戶上班時(shí)間使用BT下載、瀏覽一些不正規(guī)的網(wǎng)站,這樣都會(huì)引起內(nèi)網(wǎng)的諸多問(wèn)題,比如病毒,很多病毒傳播都是使用者不良行為而造成的。所以說(shuō)內(nèi)網(wǎng)用戶的控制和管理是非常必要的。