这里有很多硬件防火墙,但是它们在软件防火墙上的优势/用途是什么?我也可以轻松地设置这些防火墙,而不必购买昂贵的硬件防火墙。
是否有任何理由通过软件防火墙select硬件防火墙?
所有防火墙都是软件。
…是一个物理上独立的实体,使用专用硬件。 因为它们是专用设备,所以硬件和软件被最小化,以使其更加安全。 利用越less,遭受剥削的可能性就越小。
成本效益的select是设置一个* nix / BSD盒子,使用:
我推荐使用OpenBSD和PacketFilter(PF),假设它仍然是最新的。 否则看看Linux的IPTables。
从供应商购买硬件防火墙时得到的是一个交钥匙解决scheme。 你可以解开它,插入,login和configuration你需要的规则。 如果有更新,则应用修补程序/固件。 你会得到一个漂亮的网页界面 但是现在,像DD-WRT这样的软件在你的路由器/防火墙上提供了相同的东西。
…驻留在主机本身。 因为他们必须能够被用户访问,他们可以随意closures(权限允许)。 而且,由于他们驻留在为用户量身定制的操作系统上,越来越多的服务正在开展 – 增加了开发/规避的可能性。
…您将使用“洋葱”防御:通过在networking中的每个主机上同时安装硬件防火墙和软件防火墙,实现多层安全性。
硬件防火墙作为一般规则往往更可靠和更快。 由于制造商可以select/构build操作系统,因此可以使其非常具体地支持防火墙。 软件防火墙没有这个奢侈品。 它们依赖于它们所安装的操作系统。
这就是说,有很多好的软件防火墙。 有些像iptables ,甚至是免费的。 如果您希望保护大中型企业networking,那么您应该select一个硬件防火墙。
我认为你用你的问题挑起了头,这是一个真正的问题:你得到了你所支付的。
编辑:另一件重要的事情是ICSAauthentication 。 这个列表中有20-25个硬件防火墙,大约50个软件防火墙,包括个人防火墙。
根据我的经验,这主要是一个维护问题。 硬件防火墙大体上预装了所有的东西(操作系统在上),只需插入即可。 他们中的许多人也将带着select,让你快速定义你的政策规则,以及为了让你快点。
更新它们通常只是应用固件更新的问题。 这通常是一个很大的优势,因为所有的修补和更新都是由供应商完成的,您只需加载修补后的映像即可。
在我看来,这只取决于你的环境,经验和你的需求,不pipe有没有真正的优势。
它是真的一样的……区别在于它是否作为一个家电交付 – 即一个品牌的箱子准备好要去。
大多数防火墙都有两种forms,例如IPTables和Microsoft ISA,它们都可以作为另一个软件包,或作为专门configuration为防火墙的authentication设备 – 即“硬件”风格。
显然,只要软件支持,各种加速器逻辑就可以内置到设备中,就像特定的encryption芯片一样,可以减轻主处理器的常见encryption任务的负担。 至于x86服务器硬件的通用处理能力如今是否高,这是否还是理智呢?
使用设备进行补丁pipe理实际上可能会比较棘手,因为它可能不适合您的普通补丁pipe理平台,并且需要特殊的程序。 由于一些奇怪的原因,经常将设备/硬件防火墙的修补完全排除在环路之外。