计算机网络应用从性能档次上分
在实际的应用中,用户通常是根据具体应用的安全和性能需求而选择不同性能档次的防火墙产品的。从性能档次方面来讲,防火墙大体可以分为以下几类:
1.个人防火墙
个人防火墙是最常见的,通常为个人用户所选择,可以为个人计算机提供简单的防火墙功能。
虽然个人防火墙只是为了保护单一个人计算机而设计的,但是如果内部网络的其它计算机是通过安装个人防火墙的计算机与Internet相连接,则它也可以起到保护内部网络的作用。但是,个人防火墙的性能有限,并会造成安装它的个人计算机的性能下降。这种保护机制通常不如专用防火墙解决方案有效,因为它们通常只限于阻止IP、端口地址和一些比较简单的网络攻击,安全策略配置不是很灵活。
个人防火墙的优点主要在于价格很低甚至是免费的(微软已将个人防火墙系统集成到Windows XP/Server 2003版本中)且配置简单(个人防火墙产品通常可以使用直接的配置选项获得基本可使用的配置),各品牌的杀毒软件中也提供防火墙这一功能模块,如金山网镖、瑞星个人防火墙等。正是由于这些所以比较适合个人使用,特别适合使用便携计算机的移动用户。
个人防火墙的缺点也比较明显,主要有集中管理比较困难(需要在每个客户端进行配置,增加了管理开销)、仅具有基本控制(配置趋向于仅为静态数据包筛选和基于权限的应用程序阻止的组合)及性能限制(个人防火墙是为了保护单一个人计算机而设计的。在充当小型网络的路由器的个人计算机上使用它们将导致性能下降)。并且由于其有限的性能和功能,在企业中,甚至小型附属办事处中不应考虑使用。
2.路由器防火墙
路由器防火墙可以在细分为Internet连接设计的低端设备和高端传统路由器。
低端路由器提供了阻止和允许特定的IP地址和端口号的基本防火墙功能,以及使用NAT 来隐藏内部IP地址。它们经常提供防火墙功能作为阻止来自Internet入侵的标准、最佳选择。
高端路由器可以配置为通过阻挡明显的入侵(如Ping)以及使用访问控制列表(ACL)实现其他IP地址和端口限制,来限制访问。在高端路由器中,防火墙功能与硬件防火墙设备的类似,但成本更低而且吞吐量也更低。
路由器防火墙的优点包括低成本解决方案(绝大多数路由器产品支持NAT和ACL功能)、可以整合配置(进行路由器正常工作所需的配置后,路由器防火墙配置就完成了)及降低了投资(管理员对路由器防火墙配置和管理很熟悉,不需要重新进行培训;并且不安装其他硬件,网络布线已经简化,而这也简化了刚络管理,降低了投资。)。
路由器防火墙的缺点包括功能有限(低端路由器只能提供基本的防火墙功能,高端路由器虽提供较高级别的防火墙功能,但是可能需要相当多、而且复杂的配置。),仅具有基本控制(配置趋向于仅为静态数据包筛选和基于权限的应用程序阻止的组合。),且影响性能(使用路由器作为防火墙会降低路由器的性能,减慢路由速度。)。
3.低端硬件防火墙
硬件防火墙市场中的低端产品是需要一点或不需要配置的即插即用设备,就像普通的桌面交换机一样。这些低档设备经常集成了交换机和VPN功能。低端硬件防火墙适合小型公司和较大企业中内部使用。它们一般提供静态筛选功能和基本的远程管理功能。
低端硬件防火墙的优点在于成本低及配置简单(几乎不需要进行配置,即插即用)。