您是否正在寻找合适的防火墙设置来保护您的企业免受潜在威胁？了解防火墙的工作原理有助于您决定最佳解决方案。本文解释了防火墙的类型，让您做出明智的选择。

防火墙是监控网络流量的安全设备。它通过根据一组既定规则过滤传入和传出流量来保护内部网络。设置防火墙是在系统和?恶意攻击之间添加安全层的最简单方法。

防火墙位于系统的硬件或软件级别，以保护其免受恶意流量的影响。根据设置，它可以保护单台机器或整个计算机网络。设备根据预定义的规则检查传入和传出流量。通过Internet进行通信是通过从发送者向接收者请求和传输数据来进行的。由于数据不能作为一个整体发送，它被分解成可管理的数据包，这些数据包?构成了最初传输的实体。防火墙的作用是检查进出主机的数据包。

防火墙检查什么？每个数据包由一个?报头?（控制信息）和?有效载荷?（实际数据）组成。标头提供有关发送者和接收者的信息。在数据包可以通过定义的端口进入内部网络之前，它必须通过防火墙。这种传输取决于它携带的信息以及它如何与预定义的规则相对应。

例如，防火墙可以有一个规则来排除来自指定IP地址的流量。如果它接收到标头中带有该IP地址的数据包，防火墙将拒绝访问。同样，防火墙可以拒绝除已定义的受信任来源之外的任何人的访问。有多种方法可以配置此安全设备。它保护手头系统的程度取决于防火墙的类型。

尽管它们都用于防止未经授权的访问，但防火墙的操作方法和整体结构可以是多种多样的。根据其结构，防火墙可分为三种类型——软件防火墙、硬件防火墙或两者兼而有之。此列表中指定的其余防火墙类型是可以设置为软件或硬件的防火墙技术。

主机设备上安装了软件防火墙。因此，这种类型的防火墙也称为主机防火墙。由于它连接到特定设备，因此必须利用其资源才能工作。因此，它不可避免地会占用一些系统的RAM和CPU。如果有多台设备，则需要在每台设备上安装软件。由于它需要与主机兼容，因此需要为每个主机单独配置。因此，主要缺点是管理和管理每个设备的防火墙所需的时间和知识。另一方面，软件防火墙的优势在于它们可以在过滤传入和传出流量的同时区分程序。因此，他们可以拒绝访问一个程序，同时允许访问另一个程序。

顾名思义，硬件防火墙是一种安全设备，代表放置在内部和外部网络（互联网）之间的独立硬件。这种类型也称为设备防火墙。与软件防火墙不同，硬件防火墙有它的资源，不会消耗主机设备的任何CPU或RAM。它是一种物理设备，用作进出内部网络的流量的网关。它们被在同一网络中运行多台计算机的中型和大型组织使用。在这种情况下使用硬件防火墙比在每台设备上安装单独的软件更实用。配置和管理硬件防火墙需要知识和技能，因此请确保有一个熟练的团队来承担此责任。

当谈到基于其操作方法的防火墙类型时，最基本的类型是包过滤防火墙。它用作连接到路由器或交换机的内联安全检查点。顾名思义，它通过根据传入的数据包携带的信息过滤传入的数据包来监控网络流量。

如上所述，每个数据包由一个报头和它传输的数据组成。这种类型的防火墙根据标头信息决定是允许还是拒绝访问数据包。为此，它会检查协议、源IP地址、目标IP、源端口和目标端口。根据数字如何匹配访问控制列表（定义需要/不需要的流量的规则），数据包被传递或丢弃。

如果数据包不符合所有要求的规则，则不允许它到达系统。包过滤防火墙是一种不需要大量资源的快速解决方案。这并不是最安全的。尽管它会检查标头信息，但它不会检查数据（有效负载）本身。因为恶意软件也可以在这部分数据包中找到，所以包过滤防火墙并不是增强系统安全性的最佳选择。

包过滤防火墙

–快速高效地过滤标头。–不占用大量资源。–低成本。

–无负载检查。–易受IP欺骗。–无法过滤应用层协议。–无用户身份验证。

–不是很安全，因为他们不检查数据包有效负载。

–一种用于保护内部网络中设备的经济高效的解决方案。–一种在不同部门之间隔离内部流量的方法。

电路级网关是一种防火墙，工作在OSI模型的会话层，观察TCP（传输控制协议）连接和会话。它们的主要功能是确保已建立的连接是安全的。在大多数情况下，电路级防火墙内置于某种类型的软件或已经存在的防火墙中。就像口袋过滤防火墙一样，它们不检查实际数据，而是检查有关交易的信息。此外，电路级网关实用、易于设置，并且不需要单独的代理服务器。

电路级网关

–资源和成本效益。–提供数据隐藏并防止地址暴露。–检查TCP握手。

–无内容过滤。–无应用层安全性。–需要修改软件。

–中等保护级别（高于数据包过滤，但不完全有效，因为没有内容过滤）。

–它们不应用作独立的解决方案。–它们通常与应用层网关一起使用。

状态检查防火墙通过监视TCP3次握手来跟踪连接状态。这允许它跟踪整个连接——从开始到结束——只允许预期的返回流量入站。当启动连接并请求数据时，状态检查会建立一个数据库（状态表）并存储连接信息。在状态表中，它记录了每个连接的源IP、源端口、目标IP和目标端口。使用状态检查方法，它动态创建防火墙规则以允许预期的流量。这种类型的防火墙用作附加安全性。与无状态过滤器相比，它执行更多检查并且更安全。与无状态/数据包过滤不同，有状态防火墙检查跨多个数据包传输的实际数据，而不仅仅是标头。因此，它们还需要更多的系统资源。

状态检查防火墙

–没有成本效益，因为它们需要更多资源。–不支持身份验证。–易受DDoS攻击。–由于资源要求高，可能会降低性能。

–提供更高级的安全性，因为它检查整个数据包，同时阻止利用协议漏洞的防火墙。–在利用无状态协议时效率不高。

–考虑在包过滤和应用代理之间需要平衡的情况下的标准网络保护。

代理防火墙充当通过Internet通信的内部和外部系统之间的中间设备。它通过转发来自原始客户端的请求并将其伪装成自己的来保护网络。代理意味着?充当替代品?，因此，这就是它所扮演的角色。它代替了发送请求的客户端。当客户端发送访问网页的请求时，该消息被代理服务器交叉。代理将消息转发到Web服务器，伪装成客户端。这样做会隐藏客户的身份和地理位置，保护它免受任何限制和潜在的攻击。然后，Web服务器响应并向代理提供请求的信息，然后将其传递给客户端。

代理防火墙

–通过防止与其他网络联系来保护系统。–确保用户匿名。–解锁地理位置限制。

–可能会降低性能。–需要额外配置以确保整体加密。–不兼容所有网络协议。

–如果配置得当，可以提供良好的网络保护。

–用于Web应用程序以保护服务器免受恶意用户的侵害。–用户利用它来确保网络匿名性和绕过在线限制。

下一代防火墙是一种结合了其他防火墙的多项功能的安全设备。它结合了数据包、有状态和深度数据包检测。简单地说，NGFW会检查数据包的实际负载，而不是只关注标头信息。与传统防火墙不同，下一代防火墙检查整个数据事务，包括TCP握手、表面层和深度数据包检查。使用NGFW足以抵御恶意软件攻击、外部威胁和入侵。这些设备非常灵活，它们提供的功能没有明确的定义。因此，请务必探索每个特定选项提供的内容。

下一代防火墙

–集成深度检测、防病毒、垃圾邮件过滤和应用程序控制。–自动升级。–监控从第2层到第7层的网络流量。

–与其他解决方案相比成本高昂。–可能需要额外配置才能与现有安全管理集成。?

–适用于需要PCI或HIPAA合规性的企业。–适用于需要一揽子交易安全设备的企业。

云防火墙或防火墙即服务(Faas)是用于网络保护的云解决方案。与其他云解决方案一样，它由第三方供应商在Internet上维护和运行。客户经常使用云防火墙作为代理服务器，但配置可以根据需求而变化。它们的主要优势是可扩展性。它们独立于物理资源，允许根据流量负载扩展防火墙容量。企业使用此解决方案来保护内部网络或其他云基础设施(Iaas/Paas)。

云防火墙

–可用性。–提供更高带宽和新站点保护的可扩展性。–无需硬件。–在管理和维护设备方面具有成本效益。

–价格范围广泛，具体取决于所提供的服务。–失去对安全资产的控制的风险。–如果迁移到新的云提供商，可能会遇到兼容性问题。

–在高可用性和让专业人员负责设置方面提供良好的保护。?

–适用于没有员工安全团队来维护和管理现场安全设备的大型企业的解决方案。

哪种防火墙架构适合您的业务？

在决定选择哪个防火墙时，不需要明确。使用一种以上的防火墙类型可提供多层保护。