防火墙有哪些分类？不同防火墙有什么特点？

正规的数据中心中，防火墙是必不可少的，要了解防火墙我们先要知道什么是防火墙，以及它的工作原理。

class="ztext-empty-paragraph">

class="ztext-empty-paragraph">

什么是防火墙？
防火墙是监视网络流量的安全设备。它通过根据一组既定规则过滤传入和传出的流量来保护内部网络。设置防火墙是在系统和恶意攻击之间添加安全层的最简单方法。

防火墙如何工作？
防火墙放置在系统的硬件或软件级别，以保护其免受恶意流量的攻击。根据设置，它可以保护单台计算机或整个计算机网络。设备根据预定义规则检查传入和传出流量。
通过从发送方请求数据并将其传输到接收方来进行Internet上的通信。由于无法整体发送数据，因此将其分解为组成初始传输实体的可管理数据包。防火墙的作用是检查往返主机的数据包。

不同类型的防火墙具有不同的功能，我们专注于服务器租用/托管14年，接下来网盾小编来谈谈防火墙有哪些分类以及他们有哪些特点。

• 软件防火墙

软件防火墙是寄生于操作平台上的，软件防火墙是通过软件去实现隔离内部网与外部网之间的一种保护屏障。由于它连接到特定设备，因此必须利用其资源来工作。所以，它不可避免地要耗尽系统的某些RAM和CPU。并且如果有多个设备，则需要在每个设备上安装软件。

由于它需要与主机兼容，因此需要对每个主机进行单独的配置。主要缺点是需要花费大量时间和知识在每个设备管理和管理防火墙。另一方面，软件防火墙的优势在于，它们可以在过滤传入和传出流量的同时区分程序。因此，他们可以拒绝访问一个程序，同时允许访问另一个程序。

• 硬件防火墙

顾名思义，硬件防火墙是安全设备，代表放置在内部和外部网络（Internet）之间的单独硬件。此类型也称为设备防火墙。

与软件防火墙不同，硬件防火墙具有其资源，并且不会占用主机设备的任何CPU或RAM。它是一种物理设备，充当用于进出内部网络的流量的网关。

拥有在同一网络中运行多台计算机的中型和大型组织都使用它们。在这种情况下，使用硬件防火墙比在每个设备上安装单独的软件更为实际。配置和管理硬件防火墙需要知识和技能，因此请确保有一支熟练的团队来承担这一责任。

• 包过滤防火墙

根据防火墙的操作方法来划分防火墙的类型时，最基本的类型是数据包筛选防火墙。它用作连接到路由器或交换机的内联安全检查点。顾名思义，它通过根据传入数据包携带的信息过滤来监控网络流量。

如上所述，每个数据包包括一个报头和它发送的数据。此类防火墙根据标头信息来决定是允许还是拒绝访问数据包。为此，它将检查协议，源IP地址，目标IP，源端口和目标端口。根据数字与访问控制列表的匹配方式（定义所需/不需要的流量的规则），数据包将继续传递或丢弃。

class="ztext-empty-paragraph">

class="ztext-empty-paragraph">

• 电路级网关

电路级网关用来监控受信任的客户或服务器与不受信任的主机间的TCP握手信息,这样来决定该会话(Session)是否合法,电路级网关是在OSI模型中会话层上来过滤数据包,这样比包过滤防火墙要高二层。

电路级网关还提供一个重要的安全功能：代理服务器(Proxy Server)。代理服务器是设置在Internet防火墙网关的专用应用级代码。这种代理服务准许网管员允许或拒绝特定的应用程序或一个应用的特定功能。

• 规则检查防火墙
  

该防火墙结合了包过滤防火墙、电路级网关和应用级网关的特点。它同包过滤防火墙一样，规则检查防火墙能够在OSI网络层上通过IP地址和端口号，过滤进出的数据包。它也象电路级网关一样，能够检查SYN和ACK标记和序列数字是否逻辑有序。当然它也象应用级网关一样，可以在OSI应用层上检查数据包的内容，查看这些内容是否能符合企业网络的安全规则。

规则检查防火墙虽然集成前三者的特点，但是不同于一个应用级网关的是，它并不打破客户机/服务器模式来分析应用层的数据，它允许受信任的客户机和不受信任的主机建立直接连接。规则检查防火墙不依靠与应用层有关的代理，而是依靠某种算法来识别进出的应用层数据，这些算法通过已知合法数据包的模式来比较进出数据包，这样从理论上就能比应用级代理在过滤数据包上更有效。

• 代理防火墙

代理防火墙充当通过Internet通信的内部和外部系统之间的中间设备。它通过转发来自原始客户端的请求并将其掩盖为自己的网络来保护网络。代理的意思是充当替代者，因此，代理就发挥了作用。它代替了发送请求的客户端。当客户端发送访问网页的请求时，代理服务器将与该消息相交。代理将消息转发到Web服务器，假装是客户端。这样做可以隐藏客户端的标识和地理位置，从而保护其不受任何限制和潜在的攻击。然后，Web服务器做出响应，并将请求的信息提供给代理，该信息将传递给客户端。

• 下一代防火墙

下一代防火墙是结合了许多其他防火墙功能的安全设备。它合并了数据包，状态和深度数据包检查。简而言之，NGFW会检查数据包的实际有效负载，而不是仅关注标头信息。

与传统防火墙不同，下一代防火墙检查数据的整个事务，包括TCP握手，表面级别和深度包检查。使用NGFW可以充分防御恶意软件攻击，外部威胁和入侵。这些设备非常灵活，并且没有明确定义它们提供的功能。因此，请确保研究每个特定选项提供的内容。

• 云防火墙

云防火墙或防火墙即服务（Faas）是用于网络保护的云解决方案。像其他云解决方案一样，它由第三方供应商维护并在Internet上运行。客户端通常将云防火墙用作代理服务器，但是配置可以根据需求而变化。它们的主要优点是可伸缩性。它们与物理资源无关，从而可以根据流量负载扩展防火墙容量。企业使用此解决方案来保护内部网络或其他云基础架构（Iaas / Paas）。

class="ztext-empty-paragraph">