近日有讀者提問(wèn)：你能解釋一下硬件防火墻與軟件防火墻有什么區(qū)別嗎？據(jù)我所知，幾乎所有的路由器都隨帶內(nèi)置防火墻，是不是說(shuō)我確實(shí)也需要在自己的個(gè)人電腦上安裝防火墻軟件？

答復(fù)如下：在典型的家庭辦公室環(huán)境下，硬件防火墻和軟件防火墻可以執(zhí)行互為補(bǔ)充的功能；結(jié)合使用可以提供比單獨(dú)使用更有力的保護(hù)。

先來(lái)說(shuō)說(shuō)硬件防火墻。

硬件防火墻很重要，因?yàn)樗鼈兲峁┝说谝坏婪谰�，可以抵御來(lái)自外界的幾種常見(jiàn)類型的攻擊。另外，它們一般幾乎不用什么配置就能起到很好的效果，可以保護(hù)本地網(wǎng)絡(luò)上的每臺(tái)機(jī)器。

典型寬帶路由器中的硬件防火墻使用一項(xiàng)名為數(shù)據(jù)包過(guò)濾的技術(shù)，這項(xiàng)技術(shù)可以分析數(shù)據(jù)包報(bào)頭，確定其源地址和目的地址。這些信息與一組預(yù)先定義的規(guī)則及/或用戶定義的規(guī)則進(jìn)行比對(duì)，確定該數(shù)據(jù)包是不是合法的，因而再確定是允許進(jìn)入還是拒之門(mén)外。

一種更先進(jìn)的技術(shù)名為狀態(tài)數(shù)據(jù)包檢測(cè)（SPI），它會(huì)檢查數(shù)據(jù)包的另外特點(diǎn)，比如數(shù)據(jù)包的性質(zhì)和實(shí)際來(lái)源（也就是說(shuō)該數(shù)據(jù)來(lái)自互聯(lián)網(wǎng)還是來(lái)自本地網(wǎng)絡(luò)）、入站流量是不是現(xiàn)有出站連接（如網(wǎng)頁(yè)請(qǐng)求）的響應(yīng)。

簡(jiǎn)而言之，寬帶路由器中的硬件防火墻主要負(fù)責(zé)阻止外面的不良流量進(jìn)入。這種防火墻的局限性在于，它通常把從本地網(wǎng)絡(luò)傳送到互聯(lián)網(wǎng)的各種流量也當(dāng)作是安全的，這有時(shí)候是個(gè)問(wèn)題。

不妨考慮這種情形：你打開(kāi)了一封電子郵件，或者訪問(wèn)一個(gè)網(wǎng)站，里面含有一個(gè)隱藏的惡意程序，目的在于偷偷把自己植入到你的機(jī)器上（或者騙你安裝它），然后通過(guò)互聯(lián)網(wǎng)把信息發(fā)送出去--此舉可能是為了竊取你的個(gè)人數(shù)據(jù)，也可能是將你的機(jī)器當(dāng)作分布式拒絕服務(wù)（DDoS）攻擊的僵尸機(jī)器。目前這是一種最常見(jiàn)的感染方法。

由于這類程序生成的流量貌似合法（畢竟它來(lái)自你的網(wǎng)絡(luò)內(nèi)部），一般會(huì)被允許離開(kāi)網(wǎng)絡(luò)。如果硬件防火墻經(jīng)配置后，可以阻止經(jīng)由惡意程序使用的某個(gè)或某些TCP/IP端口傳輸?shù)某稣玖髁�，就可以阻止惡意流量；但是考慮到可能使用的端口有65000多個(gè)，無(wú)法確信這種性質(zhì)的程序可能會(huì)使用哪些端口，所以阻止合適端口的可能性就微乎其微。

此外，阻止端口還阻止了在你的任何聯(lián)網(wǎng)個(gè)人電腦上運(yùn)行的合法程序使用這些端口。比如說(shuō)，如果硬件防火墻阻止了旨在從你的機(jī)器生成和發(fā)送垃圾電子郵件的某個(gè)惡意軟件，同時(shí)也就阻止了使用微軟Outlook或Mozilla Thunderbird的功能（因?yàn)樗鼈兌忌�成同一種流量：經(jīng)由端口25傳輸?shù)腟MTP流量）。

再來(lái)說(shuō)說(shuō)軟件防火墻的優(yōu)點(diǎn)。

這時(shí)候軟件防火墻的優(yōu)點(diǎn)正好可以彌補(bǔ)硬件防火墻的不足。由于軟件防火墻直接在計(jì)算機(jī)上運(yùn)行，它勢(shì)必能夠了解關(guān)于網(wǎng)絡(luò)流量的更多情況，而不是只了解使用哪個(gè)端口、流量去向哪里；它還知道哪個(gè)程序試圖訪問(wèn)互聯(lián)網(wǎng)，該程序是合法程序還是惡意程序（軟件防火墻會(huì)查詢定期更新的數(shù)據(jù)庫(kù)，來(lái)確定這一點(diǎn)）。

根據(jù)這些信息，軟件防火墻可以允許或禁止程序收發(fā)數(shù)據(jù)的功能。如果防火墻對(duì)于該程序的性質(zhì)不太確定，就會(huì)提示用戶進(jìn)一步確認(rèn)，之后才允許流量通過(guò)。

簡(jiǎn)而言之，軟件防火墻能夠更深入地檢查惡意流量，及時(shí)攔截，以免它離開(kāi)你的計(jì)算機(jī)。

軟件防火墻的主要缺點(diǎn)在于，它們只能保護(hù)安裝了軟件防火墻的機(jī)器， 所以要用軟件防火墻來(lái)保護(hù)多臺(tái)計(jì)算機(jī)，必須購(gòu)買(mǎi)多套軟件防火墻（或多個(gè)許可證），安裝到每一臺(tái)機(jī)器上，并逐一配置。這樣一來(lái)成本可能很高，管理起來(lái)也有難度，不過(guò)許多面向企業(yè)的防火墻軟件的確提供了集中安裝和管理的功能。

值得一提的是，Windows 7和Vista中的內(nèi)置防火墻在默認(rèn)情況下不會(huì)自動(dòng)阻止出站流量，它們只會(huì)阻止入站流量。這是考慮使用第三方防火墻的原因之一，因?yàn)榈谌�方防火墻在默認(rèn)情況下一般就能處理入站流量和出站流量。（你得手動(dòng)配置Windows防火墻來(lái)阻止出站流量，但對(duì)用戶來(lái)說(shuō)不是很方便。）

這里有一個(gè)好辦法可以概括硬件防火墻與軟件防火墻之間的區(qū)別。不妨把硬件防火墻當(dāng)成是夜總會(huì)的看門(mén)人，他手持名單檢查每個(gè)來(lái)者的身份，確保他們收到了邀請(qǐng)函。另一方面，軟件防火墻就好比是安保人員，確保沒(méi)有人偷偷溜進(jìn)來(lái)，在里面搞些不適宜的活動(dòng)，同時(shí)確保沒(méi)人把什么東西偷偷帶出去。

原文地址：http://www.smallbusinesscomputing.com/webmaster/article.php/3103431/Firewall-Debate-Hardware-vs-Software.htm

譯文鏈接:http://netsecurity.51cto.com/art/201106/272385.htm

標(biāo)簽： ddos 安全 電子郵件 防火墻 防火墻軟件 互聯(lián)網(wǎng) 軟件防火墻 數(shù)據(jù)庫(kù) 網(wǎng)絡(luò) 硬件防火墻

版權(quán)申明：本站文章部分自網(wǎng)絡(luò)，如有侵權(quán)，請(qǐng)聯(lián)系：west999com@outlook.com
特別注意：本站所有轉(zhuǎn)載文章言論不代表本站觀點(diǎn)！
本站所提供的圖片等素材，版權(quán)歸原作者所有，如需使用，請(qǐng)與原作者聯(lián)系。