硬體防火牆和軟體防火牆的區別

　　硬體防火牆和軟體防火牆不同，那麼它們有什麼區別呢?小編在這裡介紹。

　　成本

　　硬體防火牆是軟硬體一體的，使用者購買後不需要再投入其他費用。一般硬體防火牆的報價在1萬到2萬之間。

　　軟體防火牆有三方面的成本開銷：軟體的成本、安裝軟體的裝置成本以及裝置上作業系統的成本。Windows Server 2003價格在4400-6000之間。

　　備註：綜合以上的成本，要配置一套軟體防火牆按最小的網路要求，其成本在1.0萬左右。

　　穩定性

　　穩定效能的優劣主要來自於防火牆執行平臺即作業系統上。

　　硬體防火牆一般使用經過核心編譯後的Linux，憑藉Linux本身的高可靠性和穩定性保證了防火牆整體的穩定性，Linux永遠都不會崩潰，其穩定性是由於它沒有像其他作業系統一樣核心龐大且漏洞百出。系統的穩定性主要取決於系統設計的結構。計算機硬體的結構自從1981設計開始就沒有作特別大的改動，而連續向後相容性使那些程式設計風格極差的應用軟體勉強移植到Windows的最新版本，這種將就的軟體開發模式極大地阻礙了系統穩定性的發展。最令人注目的Linux開放原始碼的開發模式，它保證了任何系統的漏洞都能被及時發現和修正。Linux採取了許多安全技術措施，包括對讀、寫進行許可權控制、帶保護的子系統、審計跟蹤、核心授權等，這為網路多使用者環境中的使用者提供了必要的安全保障。

　　軟體防火牆一般要安裝在windows平臺上，實現簡單，但同時由於windows本身的漏洞和不穩定性帶來了軟體防火牆的安全性和穩定性的問題。雖然Microsoft也在努力的彌補這些問題，Windows 2003 server本身的漏洞就比前期的Windows NT少了很多，但與Linux比起來還是漏洞倍出。在病毒侵害方面，從linux發展到如今，Linux幾乎不感染病毒。而作為Windows 平臺下的病毒我們就不必多說了，只要是使用過電腦的人都有感受。像近幾個月以來在內網中廣泛傳播的ARP欺騙病毒，造成了內網不穩定、網路時斷時序、經常掉線，無法開展正常的工作，使得很多的網路管理人員束手無策。

　　主要指標

　　吞吐量和報文轉發率是關係防火牆應用的主要指標，硬體防火牆的硬體裝置是經專業廠商定製的，在定製之初就充分考慮了吞吐量的問題，在這一點上遠遠勝於軟體防火牆，因為軟體防火牆的硬體是使用者自己選擇的很多情況下都沒有考慮吞吐量的問題，況且windows系統本身就很耗費硬體資源，其吞吐量和處理大資料流的能力遠不及硬體防火牆，這一點是不言而喻的。吞吐量太小的話，防火牆就是網路的瓶頸，會帶來網路速度慢、上網頻寬不夠等等問題。

　　工作原理

　　軟體防火牆一般可以是包過濾機制。包過濾過濾規則簡單，只能檢查到第三層網路層，只對源或目的IP做檢查，防火牆的能力遠不及狀態檢測防火牆，連最基本的黑客攻擊手法IP偽裝都無法解決，並且要對所經過的所有資料包做檢查，所以速度比較慢。硬體防火牆主要採用第四代狀態檢測機制。狀態檢測是在通訊發起連線時就檢查規則是否允許建立連線，然後在快取的狀態檢測表中新增一條記錄，以後就不必去檢查規則了只要檢視狀態監測表就OK了，速度上有了很大的提升。因其工作的層次有了提高，其防黑功能比包過濾強了很多，狀態檢測防火牆跟蹤的不僅是包中包含的資訊。為了跟蹤包的狀態，防火牆還記錄有用的資訊以幫助識別包，例如已有的網路連線、資料的傳出請求等。

　　例如，如果傳入的包包含視訊資料流，而防火牆可能已經記錄了有關資訊，防火牆進行匹配，包就可以被允許通過。。

　　硬體防火牆比軟體防火牆在實現的機制上有很大的不同，也帶來了軟硬體防火牆在防黑能力上很大差異。

　　內網控制

　　軟體防火牆由於本身的工作原理造成了它不具備內網具體化的控制管理，比如，不能控制BT、不能禁止QQ、不能很好的防止病毒侵入、不能針對具體的IP和MAC做上網控制等，其主要的功能在於對外。

　　硬體防火牆在基於狀態檢測的機制上，安全廠商又可以根據市場的不同需求開發應用層過濾規則，來滿足對內網的控制，能夠在高層進行過濾，做到了軟體防火牆不能做到的很多事。尤其是流行的ARP病毒，硬體防火牆針對其入侵的原理，做了相應的策略，徹底解除了ARP病毒的危害。

　　網路安全***防火牆***已經不僅僅侷限於對外的防止黑客攻擊上，更多的企業內部網路經常存在諸如上網速度慢、時斷時序、郵件收發不正常等問題。我們分析其主要的原因，在於內網使用者的使用問題，很多的使用者上班時間使用BT下載、瀏覽一些不正規的網站，這樣都會引起內網的諸多問題，比如病毒，很多病毒傳播都是使用者不良行為而造成的。所以說內網使用者的控制和管理是非常必要的。