防火墻主要分為三種類型，如軟件防火墻、硬件防火墻或兩者兼有，這取決于它們的結(jié)構(gòu)。每種類型的防火墻都有不同的功能，但目的相同。然而，最好的做法是同時擁有兩者以實現(xiàn)最大可能的保護。

實現(xiàn)防火墻技術(shù)的九個類型，哪種防火墻架構(gòu)最好？-南華中天

硬件防火墻是連接在計算機網(wǎng)絡(luò)和網(wǎng)關(guān)之間的物理設(shè)備。例如 - 寬帶路由器。硬件防火墻有時也稱為設(shè)備防火墻。另一方面，軟件防火墻是安裝在計算機上的簡單程序，它通過端口號和其他已安裝的軟件工作。這種類型的防火墻也稱為主機防火墻。

此外，還有許多其他類型的防火墻，具體取決于它們的功能和它們提供的安全級別。以下是可以作為軟件或硬件實現(xiàn)的防火墻技術(shù)類型：

包過濾防火墻
電路級網(wǎng)關(guān)
應(yīng)用級網(wǎng)關(guān)（代理防火墻）
狀態(tài)多層檢測 (SMLI) 防火墻
下一代防火墻 (NGFW)
以威脅為中心的 NGFW
網(wǎng)絡(luò)地址轉(zhuǎn)換 (NAT) 防火墻
云防火墻
統(tǒng)一威脅管理 (UTM) 防火墻

1、包過濾防火墻

包過濾防火墻是最基本的防火墻類型。它就像一個管理程序，監(jiān)控網(wǎng)絡(luò)流量并根據(jù)配置的安全規(guī)則過濾傳入的數(shù)據(jù)包。如果數(shù)據(jù)包與已建立的規(guī)則集不匹配，這些防火墻旨在阻止網(wǎng)絡(luò)流量IP協(xié)議、IP 地址和端口號。

雖然包過濾防火墻可以被認為是一種不需要太多資源的快速解決方案，但它們也有一些限制。因為這些類型的防火墻不能阻止基于 Web 的攻擊，所以它們不是最安全的。

實現(xiàn)防火墻技術(shù)的九個類型，哪種防火墻架構(gòu)最好？-南華中天

2、電路級網(wǎng)關(guān)

電路級網(wǎng)關(guān)是另一種簡化的防火墻類型，可以輕松配置為允許或阻止流量，而不會消耗大量計算資源。這些類型的防火墻通常通過驗證TCP（傳輸控制協(xié)議）連接和會話在 OSI 模型的會話級別運行。電路級網(wǎng)關(guān)旨在確保已建立的會話受到保護。

通常，電路級防火墻被實施為安全軟件或預(yù)先存在的防火墻。與包過濾防火墻一樣，這些防火墻不檢查實際數(shù)據(jù)，盡管它們檢查有關(guān)事務(wù)的信息。因此，如果數(shù)據(jù)包含惡意軟件，但遵循正確的TCP連接，它將通過網(wǎng)關(guān)。這就是為什么認為電路級網(wǎng)關(guān)不夠安全以保護我們的系統(tǒng)的原因。

3、應(yīng)用級網(wǎng)關(guān)（代理防火墻）

代理防火墻在應(yīng)用層作為中間設(shè)備運行，以過濾兩個終端系統(tǒng)（例如，網(wǎng)絡(luò)和流量系統(tǒng)）之間的傳入流量。這就是為什么這些防火墻被稱為“應(yīng)用級網(wǎng)關(guān)”的原因。

與基本防火墻不同，這些防火墻從偽裝成 Web 服務(wù)器上的原始客戶端的客戶端傳輸請求。這可以保護客戶的身份和其他可疑信息，從而保護網(wǎng)絡(luò)免受潛在攻擊。建立連接后，代理防火墻會檢查來自源的數(shù)據(jù)包。如果傳入數(shù)據(jù)包的內(nèi)容受到保護，代理防火墻會將其傳輸給客戶端。這種方法在客戶端和網(wǎng)絡(luò)上的許多不同來源之間創(chuàng)建了額外的安全層。

4、狀態(tài)多層檢測 (SMLI) 防火墻

狀態(tài)多層檢測防火墻包括數(shù)據(jù)包檢測技術(shù)和TCP握手驗證，使 SMLI 防火墻優(yōu)于數(shù)據(jù)包過濾防火墻或電路級網(wǎng)關(guān)。此外，這些類型的防火墻會跟蹤已建立連接的狀態(tài)。

簡單來說，當(dāng)用戶建立連接并請求數(shù)據(jù)時，SMLI 防火墻會創(chuàng)建一個數(shù)據(jù)庫（狀態(tài)表）。該數(shù)據(jù)庫用于存儲會話信息，例如源IP地址、端口號、目的IP地址、目的端口號等。狀態(tài)表中存儲每個會話的連接信息。這些防火墻使用狀態(tài)檢查技術(shù)創(chuàng)建安全規(guī)則以允許預(yù)期流量。

實現(xiàn)防火墻技術(shù)的九個類型，哪種防火墻架構(gòu)最好？-南華中天

在大多數(shù)情況下，SMLI 防火墻被實施為附加的安全級別。這些類型的防火墻實施更多檢查，并且被認為比無狀態(tài)防火墻更安全。這就是為什么狀態(tài)數(shù)據(jù)包檢查與許多其他防火墻一起實施以跟蹤所有內(nèi)部流量的統(tǒng)計信息的原因。這樣做會增加負載并對計算資源造成更大的壓力。與其他解決方案相比，這會導(dǎo)致數(shù)據(jù)包的傳輸速率更慢。

5、下一代防火墻 (NGFW)

許多最新發(fā)布的防火墻通常被定義為“下一代防火墻”。但是，對于下一代防火墻沒有具體的定義。這種類型的防火墻通常被定義為結(jié)合了其他防火墻的特性和功能的安全設(shè)備。這些防火墻包括深度包檢測（DPI）、表層包檢測和 TCP 握手測試等。

NGFW 包括比包過濾和狀態(tài)檢測防火墻更高級別的安全性。與傳統(tǒng)防火墻不同，NGFW 監(jiān)控數(shù)據(jù)的整個事務(wù)，包括包頭、包內(nèi)容和來源。NGFW 的設(shè)計方式使其可以防止更復(fù)雜和不斷演變的安全威脅，例如惡意軟件攻擊、外部威脅和高級入侵。

6、以威脅為中心的 NGFW

以威脅為中心的 NGFW 包含傳統(tǒng) NGFW 的所有功能。此外，它們還提供高級威脅檢測和補救。這些類型的防火墻能夠?qū)糇龀隹焖俜磻?yīng)。通過智能安全自動化，針對威脅的NGFW設(shè)置安全規(guī)則和策略，進一步提高整體防御系統(tǒng)的安全性。

此外，這些防火墻使用追溯安全系統(tǒng)來持續(xù)監(jiān)控可疑活動。即使在初步檢查之后，他們也會繼續(xù)分析每項活動的行為。由于此功能，以威脅為中心的 NGFW 極大地減少了從威脅檢測到清理所需的總時間。

7、網(wǎng)絡(luò)地址轉(zhuǎn)換 (NAT) 防火墻

網(wǎng)絡(luò)地址轉(zhuǎn)換或 NAT 防火墻主要用于訪問 Internet 流量并阻止所有不需要的連接。這些類型的防火墻通常會隱藏我們設(shè)備的 IP 地址，使其免受攻擊者的攻擊。

實現(xiàn)防火墻技術(shù)的九個類型，哪種防火墻架構(gòu)最好？-南華中天

當(dāng)使用多個設(shè)備連接到 Internet 時，NAT 防火墻會創(chuàng)建一個唯一的 IP 地址并隱藏各個設(shè)備的 IP 地址。因此，所有設(shè)備都使用一個 IP 地址。通過這樣做，NAT 防火墻可以保護獨立的網(wǎng)絡(luò)地址，防止攻擊者掃描網(wǎng)絡(luò)以訪問 IP 地址。這可以增強對可疑活動和攻擊的保護。

通常，NAT 防火墻的工作方式與代理防火墻類似。與代理防火墻一樣，NAT 防火墻也可以作為一組計算機和外部流量之間的中間設(shè)備。

8、云防火墻

每當(dāng)使用云解決方案設(shè)計防火墻時，它都被稱為云防火墻或FaaS（防火墻即服務(wù)）。云防火墻通常由第三方供應(yīng)商在 Internet 上維護和運行。這種類型的防火墻被認為類似于代理防火墻。原因是使用云防火墻作為代理服務(wù)器。但是，它們是根據(jù)要求配置的。

云防火墻最顯著的優(yōu)勢是可擴展性。由于云防火墻沒有物理資源，因此它們很容易根據(jù)組織的需求或流量負載進行擴展。如果需求增加，可以向云服務(wù)器添加額外的容量以過濾掉額外的流量負載。大多數(shù)組織使用云防火墻來保護其內(nèi)部網(wǎng)絡(luò)或整個云基礎(chǔ)設(shè)施。

9、統(tǒng)一威脅管理 (UTM) 防火墻

UTM 防火墻是一種特殊類型的設(shè)備，包括具有防病毒和入侵防御支持的狀態(tài)檢查防火墻的功能。此類防火墻旨在提供簡單性和易用性。這些防火墻還可以添加許多其他服務(wù)，例如云管理等。