一、防火墻的類型：防火墻是人們對(duì)網(wǎng)絡(luò)安全的需要而產(chǎn)生的。主要有三種類型的防火墻：網(wǎng)絡(luò)層防火墻、應(yīng)用層防火墻和數(shù)據(jù)庫防火墻。

網(wǎng)絡(luò)層防火墻：網(wǎng)絡(luò)層防火墻可以看作是一個(gè) IP 包過濾器，運(yùn)行在底層的 TCP/IP 協(xié)議棧中。我們可以列舉只允許符合一定規(guī)則的數(shù)據(jù)包通過，其余的都禁止穿越防火墻（病毒除外，它不阻止病毒入侵）。這些規(guī)則通常可以由管理員定義或修改，但某些防火墻設(shè)備可能只應(yīng)用內(nèi)置規(guī)則。我們還可以以不同的、更寬松的方式制定防火墻規(guī)則，只要數(shù)據(jù)包不屬于任何“否定規(guī)則”。大多數(shù)操作系統(tǒng)和網(wǎng)絡(luò)設(shè)備都有內(nèi)置的防火墻功能。較新的防火墻可以過濾數(shù)據(jù)包的各種屬性，例如源 IP 地址、源端口號(hào)、目標(biāo) IP 地址或端口號(hào)以及服務(wù)類型（例如 HTTP 或 FTP）。也可以通過通信協(xié)議、TTL 值、原產(chǎn)地域名或網(wǎng)段等進(jìn)行過濾。

應(yīng)用層防火墻：應(yīng)用層防火墻在 TCP/IP 堆棧的“應(yīng)用層”上工作，您在使用瀏覽器或使用 FTP 時(shí)生成的數(shù)據(jù)流屬于這一層。應(yīng)用級(jí)防火墻可以阻止所有進(jìn)出應(yīng)用程序的數(shù)據(jù)包并阻止其他數(shù)據(jù)包（通常直接丟棄數(shù)據(jù)包）。理論上，這種類型的防火墻完全阻止了外部數(shù)據(jù)流向受保護(hù)機(jī)器。通過監(jiān)控所有防火墻數(shù)據(jù)包，找出不符合規(guī)則的內(nèi)容，可以防止計(jì)算機(jī)蠕蟲或木馬程序的快速傳播。但是，在實(shí)現(xiàn)方面，這種方法很復(fù)雜（有成千上萬的軟件！），所以大多數(shù)防火墻不會(huì)考慮這種方法來設(shè)計(jì)。XML 防火墻是一種新型的應(yīng)用層防火墻。根據(jù)側(cè)重點(diǎn)不同，可分為：包過濾防火墻、應(yīng)用層網(wǎng)關(guān)防火墻、服務(wù)器類防火墻。

數(shù)據(jù)庫防火墻：數(shù)據(jù)庫防火墻是一種基于數(shù)據(jù)庫協(xié)議分析和控制技術(shù)的數(shù)據(jù)庫安全系統(tǒng)。它基于主動(dòng)防御機(jī)制，實(shí)現(xiàn)對(duì)數(shù)據(jù)庫訪問行為的控制、危險(xiǎn)操作的阻斷、可疑行為的審計(jì)。數(shù)據(jù)庫防火墻通過SQL協(xié)議分析，根據(jù)預(yù)謀的禁止和許可策略，允許合法的SQL操作通過，阻斷非法操作，構(gòu)建數(shù)據(jù)庫外圍防御圈，實(shí)現(xiàn)對(duì)SQL危險(xiǎn)操作的主動(dòng)防范和真實(shí)- 時(shí)間審計(jì)。數(shù)據(jù)庫防火墻面向外部入侵，提供禁止SQL注入和數(shù)據(jù)庫虛擬補(bǔ)丁功能。

二、提示：選擇防火墻時(shí)的 5 個(gè)注意事項(xiàng)

既然有多種類型的防火墻，哪一種最適合您的網(wǎng)絡(luò)？這里有一些你不能做的提示。

不要太相信實(shí)驗(yàn)數(shù)據(jù)：防火墻有一些規(guī)范，例如吞吐量、抗病毒功能等。但是，我們不能太相信這些數(shù)據(jù)，因?yàn)樗鼈冎皇且恍?shí)驗(yàn)數(shù)據(jù)。換句話說，它是基于相對(duì)合理的干擾因素?cái)?shù)量。但是，說實(shí)話，今天任何一家公司的網(wǎng)絡(luò)環(huán)境都達(dá)不到他們測(cè)試產(chǎn)品的水平。當(dāng)業(yè)務(wù)主機(jī)數(shù)量較多時(shí)，如果碎片化不合理，就會(huì)造成網(wǎng)絡(luò)廣播較多，進(jìn)而影響最終的有效吞吐量。

不要選擇有額外功能的防火墻：防火墻市場(chǎng)的競(jìng)爭(zhēng)越來越激烈。因此，防火墻廠商為了提供自己的產(chǎn)品在市場(chǎng)上的競(jìng)爭(zhēng)力，往往在自己的防火墻產(chǎn)品中集成更多的功能，以增加市場(chǎng)的賣點(diǎn)。一方面，我們需要知道是否需要這些附加功能。有一些防火墻產(chǎn)品會(huì)集成VPN等功能。但是，企業(yè)是否需要這個(gè)功能？網(wǎng)絡(luò)管理員需要考慮，因?yàn)閂PN服務(wù)不僅可以在防火墻上實(shí)現(xiàn)，也可以在路由器上實(shí)現(xiàn)。另一方面，一些附加功能會(huì)消耗防火墻資源。這些額外的功能會(huì)使防火墻速度變慢。

不要忽視您公司的需求：許多網(wǎng)絡(luò)管理員在選擇網(wǎng)絡(luò)設(shè)備時(shí)都有一個(gè)壞習(xí)慣。他們不首先考慮企業(yè)到底需要實(shí)現(xiàn)什么，而是首先考察網(wǎng)絡(luò)設(shè)備。他們首先考察防火墻市場(chǎng)，看看各種防火墻產(chǎn)品之間的差異，可以實(shí)現(xiàn)什么等等。然而，他們忽視了公司的需求。

不要太相信評(píng)論：我們只把那些評(píng)論網(wǎng)站和論壇作為參考，因?yàn)檫@些地方可能會(huì)有一些廣告。并非所有評(píng)論都是真實(shí)的。

不要太相信品牌：毫無疑問，思科是最好的網(wǎng)絡(luò)產(chǎn)品品牌。無論是防火墻還是路由器，都是行業(yè)中的佼佼者。甚至有人將其視為網(wǎng)絡(luò)設(shè)備市場(chǎng)的指南針，在其背后發(fā)展。但是，它的價(jià)格也是業(yè)內(nèi)最高的。對(duì)于一些富有的企業(yè)來說，這可能不是問題。幾十萬的網(wǎng)絡(luò)設(shè)備，他們眼睛都不眨一下，直接買了。但是，對(duì)于一些資金相對(duì)緊張的企業(yè)來說，價(jià)格是首先要考慮的。總之，我們需要選擇價(jià)格最優(yōu)惠、功能合適的防火墻。