iptables 与硬件防火墙

除了（可能）的性能问题之外，需要注意的一点是，如果你的防火墙与它所保护的服务器不在同一台服务器上，如果有人做访问网络服务器，他们仍然无法干扰防火墙，这意味着他们无法更改您的传出规则等。

也可以设置单独的防火墙，以避免任何通过网络访问它的方式，这又增强了它防止被篡改的防御能力。

请记住，这对于单独的盒子的软件防火墙也是如此，不一定是硬件防火墙。

如果您试图保护整个网络的一部分，我会使用硬件防火墙；如果您试图保护特定应用程序，我会使用软件防火墙。硬件保护您的空间免受整体环境之外的入侵者的侵害，而软件保护特定功能免受环境其他部分的侵害。

话虽如此，在这种情况下，您保护的是单个盒子，所以我会选择软件。性能影响应该不会太严重，直到您考虑使用多个 Web 服务器时，在这种情况下，您需要考虑硬件路线。

是的，正如其他地方所述，硬件防火墙总体上更可靠。如果您经常修改它们，设置和维护起来也会更麻烦。关于可疑流量进入独立于 Web 服务器的设备可以提高安全性的观点很有道理，但我认为，总体安全性的提高并不能通过单个服务器级别的额外成本来证明（有一些明显的例外）。成熟的软件防火墙，设置简单，安装在定期维护的服务器上，除了 Web 功能所需的服务外，没有运行任何其他服务，现在应该是稳定和安全的。或者，至少在您开始通过 HTTP 流量获得缓冲区溢出漏洞之前，防火墙不会捕获这些漏洞。

除非有中继点击，否则它始终是软件防火墙。你只是希望软件足够隐蔽，以至于没有人知道如何破解它。

我曾经使用过许多基于 IPTables 的 Linux 防火墙、Cisco PIX 和现成的消费机箱。在所有这些防火墙中，Linux 防火墙需要重新启动的问题最少。大多数防火墙的正常运行时间都超过了 2 年。我倾向于在系统需要重新启动之前让 UPS 中的电池耗尽电量。

05:35:34 启动 401 天，4:08，1 个用户，平均负载：0.02、0.05、0.02 我 401 天前更换了 UPS。

在 30 个 Cisco PIX 防火墙中，有 3 个在使用 2 年后失效，还有 5 个大约每 2 个月就必须重新启动一次。

“硬件”防火墙的最大优势往往是体积小，并且没有移动部件。

我找到了一篇来自波兰大学的研究论文，其中提出了硬件和软件防火墙的分析。

我将添加本文的结论，并用粗体突出显示最相关的部分。

我们已经观察到，防火墙的吞吐量很大程度上取决于通过网络传输的数据包的大小。当数据包长度等于或大于 1 kB 时，吞吐量最高，非常接近直接连接的容量，而对于较小的数据包长度，吞吐量则要小得多。我们可以得出结论，在使用网络防火墙时，数据包的最佳大小是 1 kB。非常有趣的结论是软件防火墙的性能与硬件防火墙的性能相同。

事实证明，硬件和虚拟防火墙能够抵御拒绝服务攻击。如文档所示，它们具有内置的 DoS 保护机制。我们确信这些机制是有效的。软件防火墙的安全级别实际上等于主机操作系统的安全级别。