目前有很多硬件防火墙,但是它们与软件防火墙相比有什么优势/用途,因为我可以轻松设置它们而无需购买昂贵的硬件防火墙?
选择硬件防火墙而不是软件防火墙有什么理由吗?
答案1
所有防火墙是软件。
硬件防火墙
...是物理上独立的实体,使用专用硬件。由于它们是专用设备,因此硬件和软件被最小化,以使其更安全。可利用的越少,被利用的可能性就越小……
成本效益高的替代方案是设置一个 *nix/BSD 盒,使用:
- 奔腾100+
- 1+ GB 硬盘
- 2 个网络接口卡 (NIC)
- 1+ 无线适配器
我建议使用 OpenBSD 和 PacketFilter (PF),假设它们仍然是最新的。否则,请查看 Linux 的 IPTables。
从供应商处购买硬件防火墙后,您获得的是交钥匙解决方案。您将其拆箱、插入、登录并配置所需的规则。如果有更新,您可以应用补丁/固件。您会得到一个不错的 Web 界面 GUI。但如今,像DD-WRT在您的路由器/防火墙上提供相同的东西......
软件防火墙
...驻留在主机本身上。由于它们必须可供用户访问,因此可以随意关闭它们(权限允许)。而且由于它们驻留在为用户量身定制的操作系统上,因此可以启用更多服务 - 增加了利用/规避的可能性。
如果你真的关心安全
...您将采用“洋葱”防御:通过在网络中的每个主机上安装硬件防火墙和软件防火墙,实现多层安全保护。
答案2
一般来说,硬件防火墙更可靠、更快速。由于制造商可以选择/构建操作系统,因此他们可以使其非常具体地支持防火墙。软件防火墙没有这种奢侈。它们依赖于安装的操作系统。话
虽如此,也有很多优秀的软件防火墙。一些,像 iptables甚至是免费的。如果您希望保护中大型企业网络,那么在我看来,您应该选择硬件防火墙。
我认为您的问题一针见血,这其实是同一个问题:一分钱一分货。
编辑:另一件对你来说重要的事情是ICSA 认证。此列表中约有 20-25 种硬件防火墙,约有 50 种软件防火墙,包括个人防火墙。
答案3
根据我的经验,这主要是维护问题。硬件防火墙基本上预装了所有东西(操作系统已安装),只需将其插入,您就几乎拥有一个可以运行的设备。其中许多防火墙还附带选项,可让您快速定义策略规则等,以便快速开始使用。
更新它们通常只需应用固件更新即可。这通常是一个很大的优势,因为所有修补和更新实际上都是由供应商完成的,您只需加载修补后的映像即可。
在我看来,是否存在真正的优势取决于您的环境、经验和需求。
答案4
- 它是一个单独的盒子,这意味着不会有人将它用作工作操作系统(也可以通过软件实现,但硬件完全消除了风险)。
- 供应商可以对操作系统进行调整、修改、扩展和/或强化,以作为防火墙运行,而软件防火墙则运行在通用操作系统上,如果需要,必须对任何此类修改进行改进。
- 它是一个完整的套件,包含专门设计用于协同工作的各种组件,因此您可以更加确信整体的可靠性。
- 这是一站式解决方案,因此如果出现问题,应用程序供应商不会责怪操作系统,操作系统供应商不会责怪硬件,硬件供应商也不会责怪应用程序。
- 对一个组件进行修补或修改而以意外的方式影响系统其余部分的风险被降低或消除。