软件防火墙与硬件防火墙的差别(zt)
简单谈谈软件防火墙与硬件防火墙的差别:软件防火墙象微软的ISA,还有其他的CHECKPOINT,CA的都是软件防火墙,这种防火墙的好处就是直接安装在操作系统之上,作为系统的一个服务来运行,你那这个机器除了当防火墙作用之外还可以当其他的服务都没问题,而且这种防火墙的界面看起来也很舒服,典型的windows界面,符合大家的操作习惯,应用起来非常的顺手,等等,因为他是建立在一个功能强大的操作系统之上的,所以他的功能可以做的非常的强大的,好用,但是他不一定安全,原因也在与他建立在一个功能非常强大的操作系统之上,因为操作系统自身可能有漏洞,例如ISA必须安装在win2k的server的版本之上的,那么他同样也是建立在微软自己的TCP/IP协议之上的,同时他还可以提供多种服务,那么这些服务在不善的管理情况就很有可能出现漏洞,另外这些操作系统大家也都熟悉了,他们在大流量情况下的表现,众所周知的拉~~这就是他的缺点。
硬件防火墙,如很多人所说,里面实际上就是一个linux,实际上是这样吗,是也不是,是的是说,有很多防火墙里面的确是linux(国产防火墙厂家有上百个,所谓林子大了什么鸟都有),这种防火墙是随着linux的兴起而出现的,之所以选择linux是因为linux发展的快,很多东西都可以拿到新的,对硬件支持的好,开发容易的多,但是他并非向大家所想象的那样直接拿个linux几百兆的安装上去就OK了,而是进行处理了的linux,例如他把没有关系的服务全部去掉,把内核重新修改,编译之后的linux,通常情况下防火墙里面的程序部分不会超过30M,更多情况下之后几M或者十几兆,这个和几百兆的linux差别还是很大的;另外一些开发硬件防火墙比较早的公司采用的就不是linux版本的内核了,一般采用的是BSD的,更准确的说大多采用的是netbsd,如果你对BSD系统不知道的话,那么你可以去查一下相关资料,这里想说的是BSD系统是最稳定的,象网易,sina,之类的大网站也都是采用BSD的系统,基本上所有大的网站都是采用的BSD的系统,为什么?因为他稳定,因为他高效,在这样的操作系统建立的防火墙自然稳定性也非常的好,而且BSD的版本和linux有很大的差别,linux属于前卫性的,就是他可以把最新的技术都增加进去,使的功能很强大,随之带来的就是漏洞,一堆堆的漏洞,而BSD的办法发布的时候通常都表现的很慎重,往往发布的是成熟的东西,所以和linux象比较起来他的漏洞就少的又少了。
在说硬件化,早期的硬件防火墙的硬件就是服务器来做硬件,而不是大家所说的拿PC机来做硬件,为什么呢?因为哪个时候竞争很少,价格很高,从稳定性的考虑服务器合适,而PC不合适(当时的硬件水平也不够),而且PC的硬件稳定性不够,随着技术的发展,情况都开始变化了,专业生产防火墙硬件的厂商出现了,而且出现了很多,自然所谓林子大了什么鸟都有,一些厂商自然就拿PC的配置来组装成硬件,这样的效果,而一些厂商是专门硬件设计的,采用的都是服务器的网卡和内存等等,稳定性没的说,他们和前面所提到的软防火墙在硬件上和操作系统上都是无法比拟的。他们的硬件都是专门设计的,绝对不是大家所说的一个PC安装一个linux就OK了的。
其实,大家看硬件防火墙的时候,看一下他的外观就知道一点了,1U的防火墙(百兆的差不多都是1U的)基本上都是专用硬件,因为PC的硬件基本上很难组装出1U的防火墙来,而2U的防火墙很有可能采用的就是PC的结构了,而至于千爪的防火墙基本上大家就可以放心了,因为能做千兆防火墙的没几家,使用PC的结构根本应付不下来那样大的数据量。还有一点要说的是想知道他的防火墙的内核做的如何,使用串口线,把防火墙重新启动看防火墙的输出界面,,在这里你能够看到很多的信息,甚至可以看到linux 哪个版本的都可以看的到,这样的防火墙扔了吧,因为他处理的内核太少了很有可能就是一个完整的linux...
天溶信使用的linux的操作系统.........
--------------------OVER 受益了,好好学学 不错~~~我喜欢~
just do it
个人觉得nokia+checkpoint是一个完美的选择,netscreen也不错!!!! 支持一下 顶下,谢谢楼主!页:
[1]