防火墙的类型

主要有三种类型的防火墙，例如软件防火墙、硬件防火墙或两者兼有，具体取决于它们的结构。每种类型的防火墙都有不同的功能，但目的相同。但是，最佳做法是两者都拥有以实现最大可能的保护。

硬件防火墙是一种物理设备，连接在计算机网络和网关之间。例如，宽带路由器。硬件防火墙有时被称为设备防火墙。另一方面，软件防火墙是安装在计算机上的一个简单程序，它通过端口号和其他已安装的软件工作。这种类型的防火墙也称为主机防火墙。

此外，还有许多其他类型的防火墙，具体取决于其功能及其提供的安全级别。以下是可以用作软件或硬件的防火墙技术类型

• 数据包过滤防火墙
• 电路级网关
• 应用级网关（代理防火墙）
• 有状态多层检测 (SMLI) 防火墙
• 下一代防火墙 (NGFW)
• 以威胁为中心的 NGFW
• 网络地址转换 (NAT) 防火墙
• 云防火墙
• 统一威胁管理 (UTM) 防火墙

数据包过滤防火墙

数据包过滤防火墙是最基本的防火墙类型。它的作用类似于管理程序，可以监视网络流量并根据配置的安全规则过滤传入的数据包。如果数据包与已建立的规则集不匹配，则这些防火墙旨在阻止网络流量IP协议、IP地址和端口号。

虽然可以将数据包过滤防火墙视为一种快速解决方案，无需太多资源需求，但它们也存在一些局限性。因为这些类型的防火墙不能防止基于Web的攻击，所以它们不是最安全的。

电路级网关

电路级网关是另一种简化的防火墙类型，可以轻松配置为允许或阻止流量，而无需消耗大量计算资源。这些类型的防火墙通常通过验证TCP（传输控制协议）连接和会话，在OSI模型的会话层运行。电路级网关旨在确保已建立的会话受到保护。

通常，电路级防火墙被实现为安全软件或现有的防火墙。与数据包过滤防火墙一样，这些防火墙不检查实际数据，尽管它们会检查有关事务的信息。因此，如果数据包含恶意软件，但遵循正确的TCP连接，它将通过网关。这就是为什么电路级网关被认为不够安全，无法保护我们的系统。

应用级网关（代理防火墙）

代理防火墙在应用层作为中间设备运行，以过滤两个终端系统（例如，网络和流量系统）之间的传入流量。这就是为什么这些防火墙被称为“应用级网关”。

与基本防火墙不同，这些防火墙传输来自客户端的请求，冒充Web服务器上的原始客户端。这可以保护客户端的身份和其他可疑信息，使网络免受潜在攻击。建立连接后，代理防火墙会检查来自源的数据包。如果传入的数据包的内容受到保护，则代理防火墙会将其传输到客户端。此方法在客户端和网络上的许多不同源之间创建了额外的安全层。

有状态多层检测 (SMLI) 防火墙

有状态多层检测防火墙包括数据包检测技术和TCP握手验证，这使得SMLI防火墙优于数据包过滤防火墙或电路级网关。此外，这些类型的防火墙会跟踪已建立连接的状态。

简单来说，当用户建立连接并请求数据时，SMLI防火墙会创建一个数据库（状态表）。该数据库用于存储会话信息，例如源IP地址、端口号、目标IP地址、目标端口号等。连接信息存储在状态表中每个会话。使用有状态检测技术，这些防火墙会创建安全规则以允许预期的流量。

在大多数情况下，SMLI防火墙被实现为额外的安全级别。这些类型的防火墙实现更多检查，并且被认为比无状态防火墙更安全。这就是为什么有状态数据包检测与许多其他防火墙一起实现，以跟踪所有内部流量的统计信息。这样做会增加负载，并对计算资源造成更大的压力。与其他解决方案相比，这可能会导致数据包的传输速率变慢。

下一代防火墙 (NGFW)

许多最新发布的防火墙通常被定义为“下一代防火墙”。但是，下一代防火墙没有具体的定义。这种类型的防火墙通常被定义为一种安全设备，它结合了其他防火墙的功能。这些防火墙包括深度数据包检测 (DPI)、表面级数据包检测和 TCP 握手测试等。

NGFW包含比数据包过滤和有状态检测防火墙更高的安全级别。与传统防火墙不同，NGFW会监视数据的整个事务，包括数据包标头、数据包内容和源。NGFW的设计方式使其可以防止更复杂和不断演变的安全威胁，例如恶意软件攻击、外部威胁和高级入侵。

以威胁为中心的 NGFW

以威胁为中心的NGFW包括传统NGFW的所有功能。此外，它们还提供高级威胁检测和补救措施。这些类型的防火墙能够快速地对攻击做出反应。凭借智能安全自动化，以威胁为中心的NGFW可以设置安全规则和策略，从而进一步提高整个防御系统的安全性。

此外，这些防火墙使用回顾性安全系统来持续监视可疑活动。即使在初始检查之后，他们也会不断分析每个活动的行为。由于此功能，以威胁为中心的NGFW大大减少了从威胁检测到清理所花费的总时间。

网络地址转换 (NAT) 防火墙

网络地址转换或NAT防火墙主要用于访问互联网流量并阻止所有不需要的连接。这些类型的防火墙通常会隐藏我们设备的IP地址，使其免受攻击者的攻击。

当多个设备用于连接到Internet时，NAT防火墙会创建一个唯一的IP地址，并隐藏各个设备的IP地址。因此，所有设备都使用单个IP地址。通过这样做，NAT防火墙可以保护独立的网络地址免受扫描网络以访问IP地址的攻击者的攻击。从而增强了对可疑活动和攻击的防护。

通常，NAT防火墙的工作方式与代理防火墙类似。与代理防火墙一样，NAT防火墙也充当一组计算机和外部流量之间的中间设备。

云防火墙

每当使用云解决方案设计防火墙时，它被称为云防火墙或FaaS（防火墙即服务）。云防火墙通常由第三方供应商在Internet上维护和运行。这种类型的防火墙被认为与代理防火墙类似。原因是将云防火墙用作代理服务器。但是，它们的配置基于需求。

云防火墙的最大优势是可扩展性。由于云防火墙没有物理资源，因此可以根据组织的需求或流量负载轻松扩展。如果需求增加，可以将额外的容量添加到云服务器中，以过滤掉额外的流量负载。大多数组织使用云防火墙来保护其内部网络或整个云基础架构。

统一威胁管理 (UTM) 防火墙

UTM防火墙是一种特殊的设备，它包括有状态检测防火墙以及防病毒和入侵防御支持的功能。此类防火墙旨在提供简单性和易用性。这些防火墙还可以添加许多其他服务，例如云管理等。

哪种防火墙架构最好？

在选择最佳防火墙架构时，无需明确。始终最好使用不同的防火墙组合，以增加多层保护。例如，可以在网络的边界实施硬件或云防火墙，然后在每个网络资产上进一步添加单独的软件防火墙。

此外，选择通常取决于任何组织的需求。但是，在正确选择防火墙时，可以考虑以下因素

组织规模

如果一个组织规模很大并且维护着一个庞大的内部网络，那么最好实施一种可以监视整个内部网络的防火墙架构。

可用资源

如果一个组织有资源并且可以为每个硬件购买单独的防火墙，这是一个不错的选择。此外，云防火墙可能是另一种考虑因素。

对多层保护的需求

防火墙的数量和类型通常取决于内部网络所需的安全措施。这意味着，如果一个组织维护敏感数据，最好实施防火墙的多层保护。这将确保数据免受黑客攻击。