安全檢測裝置和防火牆

1. 入侵檢測與防火牆的作用有什麼不同

其實么，一般來說，防火牆是被動的，入侵檢測是主動的。一般防火牆是第一道防線，大型的網路內部都是需要入侵檢測，作為內網的第二道門，檢測內網用戶端是否有異常活動。防火牆只保證網內和外網之間的信息合法安全，但是，當內網用戶黑內網用戶的時候網路防火牆無效，個人電腦防火牆自啟動。然而，使用的是入侵檢測系統的話就會及時匯報網路（包括內網各個主機之間，內網和外網之間）中一切異常情況。

2. 攻擊檢測與防火牆之間的聯系與區別有哪些

入侵檢測，顧名思義，就是對入侵行為的發覺。他通過對計算機網路或計算機系統中若干關鍵點收集信息並對其進行分析，從中發現網路或系統中是否有違反安全策略的行為和被攻擊的跡象。入侵檢測是防火牆的合理補充，幫助系統對付網路攻擊，擴展了系統管理員的安全管理能力（包括安全審計、監視、進攻識別和響應），提高了信息安全基礎結構的完整性。
防火牆，也稱防護牆，是由Check
Point創立者Gil
Shwed於1993年發明並引入國際互聯網（US5606668（A）1993-12-15）。它是一種位於內部網路與外部網路之間的網路安全系統。一項信息安全的防護系統，依照特定的規則，允許或是限制傳輸的數據通過。

3. 簡述防火牆和入侵檢測系統在網路安全方面的地位和作用有什麼區別

防火牆是比較早的安全概念，可以把他比作門，主要是防外。發展到現在功能也比較多，目前基本上是基於狀態檢測機制的防火牆，主要功能是對經過防火牆的數據包進行過濾（通過規則限制流量）。現在一般防火牆作為網路出口網關，內、外網隔離，通過NAT、VPN等技術接入互聯網。
入侵檢測系統（IDS）更側重於監控，防火牆是門，IDS就是門內的攝像頭。IDS不但監控門外進來的，還會監控門裡面的。

4. 防火牆與安全網關有什麼區別各有什麼用途

防火牆技術是通過有機結合各類用於安全管理與篩選的軟體和硬體設備，幫助計算機網路於其內、外網之間構建一道相對隔絕的保護屏障，以保護用戶資料與信息安全性的一種技術。
安全網關是一種多功能裝置，它同時具備了網路防火牆功能。網路入侵檢測功能以及防病毒功能等等。安全網關包括兩種模式，分別是網橋模式和網關模式。

二、安全網關和傳統防火牆的區別：

區別一：

傳統防火牆的功能模塊在工作過程當中位於七層網路協議的第三層網路協議當中，而且傳統防火牆的IP包是通過一種比較普通的狀態檢測技術進行的。而安全網關在工作過程當中，不僅可以實現普通狀態檢測的技術，還能實現各種過濾功能，除此之外，安全網關還可以對防病毒、入侵檢測、VPN等等功能的設置，可以將它們隨意開啟和關閉。而且它還可以結合防火牆所具有的策略，可以讓功能產生的效果更明顯。

區別二：

從系統方面看，安全網關不僅能夠進行網路訪問許可權的設置，而且跟普通防火牆相比，它還能識別和轉發系統當中的數據包，能夠處理一些工作量較大的模塊，從而減小模塊在進行數據處理過程當中需要的工作量，也可以在一定程度上提高系統的性能和系統效率。

第三：

安全網關的功能十分強大，可以另外植入一些新功能，對於各種各樣的新技術，它都可以兼容，安全網關具有非常高的應用前景，它的適用范圍跟和傳統的防火牆相比也比較廣泛。

第四：

安全網關的操作頁面也和傳統防火牆不同，它的操作頁面可以明了的看到防火牆的各個策略，而且它的層次非常分明，操作起來也非常簡單，適用比較靈活，是一種實用性很強的防火牆。

5. 硬體防火牆 ,硬體防毒牆,硬體入侵檢測的產品有什麼區別

硬體防火牆:其原理是把軟體防火牆嵌入在硬體中，一般的軟體安全廠商所提供的硬體放火牆便是在硬體伺服器廠商定製硬體，然後再把linux系統與自己的軟體系統嵌入。（CheckPoint舊版本的防火牆就是由其CheckPoint 軟體防火牆+NOKIA硬體平台構成的）這樣做的好處是linux相對Windows的server相對安全。這樣做的理由是由於ISA必須裝在Windows操作系統下，微軟的操作系統相對不安全，本身安全存在隱患的系統上部署安全策略相當於處在亞安全狀態，是不可靠的。在兼容性方面也是硬體防火牆更勝一籌，其實軟體防火牆與硬體防火牆的主要區別就在於硬體。
軟體防火牆只有包過濾得功能，硬體防火牆中可能還有除軟體防火牆以外的其他功能，例如CF（內容過濾）IDS（入侵偵測）IPS（入侵防護）以及VPN等等的功能.

硬體防毒牆:也就是安裝了專業防毒軟體硬體設備;

硬體入侵檢測（Intrusion Detection）是指通過硬體設備對入侵行為的檢測。它通過收集和分析網路行為、安全日誌、審計數據、其它網路上可以獲得的信息以及計算機系統中若干關鍵點的信息，檢查網路或系統中是否存在違反安全策略的行為和被攻擊的跡象。入侵檢測作為一種積極主動地安全防護技術，提供了對內部攻擊、外部攻擊和誤操作的實時保護，在網路系統受到危害之前攔截和響應入侵。因此被認為是防火牆之後的第二道安全閘門，在不影響網路性能的情況下能對網路進行監測。入侵檢測通過執行以下任務來實現：監視、分析用戶及系統活動；系統構造和弱點的審計；識別反映已知進攻的活動模式並向相關人士報警；異常行為模式的統計分析；評估重要系統和數據文件的完整性；操作系統的審計跟蹤管理，並識別用戶違反安全策略的行為。 入侵檢測是防火牆的合理補充，幫助系統對付網路攻擊，擴展了系統管理員的安全管理能力（包括安全審計、監視、進攻識別和響應），提高了信息安全基礎結構的完整性。它從計算機網路系統中的若干關鍵點收集信息，並分析這些信息，看看網路中是否有違反安全策略的行為和遭到襲擊的跡象。

6. 入侵檢測,和防火牆在功能上有哪些區別

所謂入侵檢測其實就是指試圖監視和盡可能阻止有害信息的入侵，或者其他能夠對用戶的系統和網路資源產生危害的行為．入侵檢測分為三種：1.基於網路的入侵檢測系統2.基於主機的入侵檢測系統3.基於漏洞的入侵檢測系統．
所謂防火牆指的是一個有軟體和硬體設備組合而成、在內部網和外部網之間、專用網與公共網之間的界面上構造的保護屏障.是一種獲取安全性方法的形象說法，它是一種計算機硬體和軟體的結合，使Internet與Intranet之間建立起一個安全網關（Security
Gateway），從而保護內部網免受非法用戶的侵入，防火牆主要由服務訪問政策、驗證工具、包過濾和應用網關4個部分組成，
防火牆就是一個位於計算機和它所連接的網路之間的軟體或硬體(其中硬體防火牆用的很少只有國防部等地才用,因為它價格昂貴)。該計算機流入流出的所有網路通信均要經過此防火牆。
防火牆的功能
防火牆對流經它的網路通信進行掃描，這樣能夠過濾掉一些攻擊，以免其在目標計算機上被執行。防火牆還可以關閉不使用的埠。而且它還能禁止特定埠的流出通信，封鎖特洛伊木馬。最後，它可以禁止來自特殊站點的訪問，從而防止來自不明入侵者的所有通信。
為什麼使用防火牆
防火牆具有很好的保護作用。入侵者必須首先穿越防火牆的安全防線，才能接觸目標計算機。你可以將防火牆配置成許多不同保護級別。高級別的保護可能會禁止一些服務，如視頻流等，但至少這是你自己的保護選擇。
防火牆的類型
防火牆有不同類型。一個防火牆可以是硬體自身的一部分，你可以將網際網路連接和計算機都插入其中。防火牆也可以在一個獨立的機器上運行，該機器作為它背後網路中所有計算機的代理和防火牆。最後，直接連在網際網路的機器可以使用個人防火牆。
防火牆的概念
當然，既然打算由淺入深的來了解，就要先看看防火牆的概念了。防火牆是汽車中一個部件的名稱。在汽車中，利用防火牆把乘客和引擎隔開，以便汽車引擎一旦著火，防火牆不但能保護乘客安全，而同時還能讓司機繼續控制引擎。再電腦術語中，當然就不是這個意思了，我們可以類比來理解，在網路中，所謂「防火牆」，是指一種將內部網和公眾訪問網(如Internet)分開的方法，它實際上是一種隔離技術。防火牆是在兩個網路通訊時執行的一種訪問控制尺度，它能允許你「同意」的人和數據進入你的網路，同時將你「不同意」的人和數據拒之門外，最大限度地阻止網路中的黑客來訪問你的網路。換句話說，如果不通過防火牆，公司內部的人就無法訪問Internet，Internet上的人也無法和公司內部的人進行通信。
防火牆的功能
防火牆是網路安全的屏障：
一個防火牆（作為阻塞點、控制點）能極大地提高一個內部網路的安全性，並通過過濾不安全的服務而降低風險。由於只有經過精心選擇的應用協議才能通過防火牆，所以網路環境變得更安全。如防火牆可以禁止諸如眾所周知的不安全的NFS協議進出受保護網路，這樣外部的攻擊者就不可能利用這些脆弱的協議來攻擊內部網路。防火牆同時可以保護網路免受基於路由的攻擊，如IP選項中的源路由攻擊和ICMP重定向中的重定向路徑。防火牆應該可以拒絕所有以上類型攻擊的報文並通知防火牆管理員。
防火牆可以強化網路安全策略：
通過以防火牆為中心的安全方案配置，能將所有安全軟體（如口令、加密、身份認證、審計等）配置在防火牆上。與將網路安全問題分散到各個主機上相比，防火牆的集中安全管理更經濟。例如在網路訪問時，一次一密口令系統和其它的身份認證系統完全可以不必分散在各個主機上，而集中在防火牆一身上。
對網路存取和訪問進行監控審計：
如果所有的訪問都經過防火牆，那麼，防火牆就能記錄下這些訪問並作出日誌記錄，同時也能提供網路使用情況的統計數據。當發生可疑動作時，防火牆能進行適當的報警，並提供網路是否受到監測和攻擊的詳細信息。另外，收集一個網路的使用和誤用情況也是非常重要的。首先的理由是可以清楚防火牆是否能夠抵擋攻擊者的探測和攻擊，並且清楚防火牆的控制是否充足。而網路使用統計對網路需求分析和威脅分析等而言也是非常重要的。

7. 入侵檢測系統和防火牆的區別和聯系

防火牆是對訪問行為進行阻止或者放行
入侵檢測就是旁路檢測。
區別就在此。

8. 什麼是物理隔離裝置 和防火牆有什麼區別

物理隔離，是指採用物理方法將內網與外網隔離從而避免入侵或信息泄露的風險的技術手段。物理隔離主要用來解決網路安全問題的，尤其是在那些需要絕對保證安全的保密網。

為了防止來自互聯網的攻擊和保證這些高安全性網路的保密性、安全性、完整性、防抵賴和高可用性，幾乎全部要求採用物理隔離技術。

區別：

1，防火牆傳輸數據可以雙向，支持TCP/IP七層協議。

2，防火牆代主要是藉助硬體和軟體的作用於內部和外部網路的環境間產生一種保護的屏障，從而實現對計算機不安全網路因素的阻斷。

3，無論從功能還是實現原理上講，安全隔離網閘和防火牆是完全不同的兩個產品，防火牆是保證網路層安全的邊界安全工具（如通常的非軍事化區），而安全隔離網閘重點是保護內部網路的安全。因此兩種產品由於定位的不同，不能相互取代。

4，物理隔離裝置也就是安全網閘，只能單向傳輸數據，不是正向就是反向。不能同時雙向，這樣也就切斷了黑客的訪問連接。

5，物理隔離裝置針對的是一區二區與三區之間傳輸間才用到的，橫向隔離裝置相當於是安全網閘，數據只能單向傳輸，不能雙向。

(8)安全檢測裝置和防火牆擴展閱讀

防火牆一般在進行IP包轉發的同時，通過對IP包的處理，實現對TCP會話的控制，但是對應用數據的內容不進行檢查。這種工作方式無法防止泄密，也無法防止病毒和黑客程序的攻擊。

只有在防火牆同意情況下，用戶才能夠進入計算機內，如果不同意就會被阻擋於外，防火牆技術的警報功能十分強大，在外部的用戶要進入到計算機內時，防火牆就會迅速的發出相應的警報，並提醒用戶的行為。

進行自我的判斷來決定是否允許外部的用戶進入到內部，只要是在網路環境內的用戶，這種防火牆都能夠進行有效的查詢，同時把查到信息朝用戶進行顯示，然後用戶需要按照自身需要對防火牆實施相應設置，對不允許的用戶行為進行阻斷。

通過防火牆還能夠對信息數據的流量實施有效查看，並且還能夠對數據信息的上傳和下載速度進行掌握，便於用戶對計算機使用的情況具有良好的控制判斷，計算機的內部情況也可以通過這種防火牆進行查看，還具有啟動與關閉程序的功能，計算機系統的內部中具有的日誌功能。

9. 分析防火牆技術和入侵檢測技術的優缺點。

防火牆的概念
所謂防火牆指的是一個由軟體和硬體設備組合而成、在內部網和外部網之間、專用網與公共網之間的界面上構造的保護屏障。是一種獲取安全性方法的形象說法，它是一種計算機硬體和軟體的結合，使Internet與Intranet之間建立起一個安全網關（Security Gateway），從而保護內部網免受非法用戶的侵入，防火牆主要由服務訪問規則、驗證工具、包過濾和應用網關4個部分組成。
防火牆就是一個位於計算機和它所連接的網路之間的軟體或硬體(其中硬體防火牆用的較少，例如國防部以及大型機房等地才用,因為它價格昂貴)。該計算機流入流出的所有網路通信均要經過此防火牆。
防火牆，英語為firewall，《英漢證券投資詞典》的解釋為：金融機構內部將銀行業務與證券業務嚴格區分開來的法律屏障，旨在防止可能出現的內幕消息共享等不公平交易出現。使用防火牆比喻不要引火燒身。
當然，既然打算由淺入深的來了解，就要先看看防火牆的概念了。防火牆是汽車中一個部件的名稱。在汽車中，利用防火牆把乘客和引擎隔開，以便汽車引擎一旦著火，防火牆不但能保護乘客安全，而同時還能讓司機繼續控制引擎。在電腦術語中，當然就不是這個意思了，我們可以類比來理解，在網路中，所謂「防火牆」，顧名思義，是一種隔離設備。防火牆是一種高級訪問控制設備，置於不同網路安全域之間的一系列部件的組合，它是不同網路安全域之間通信流的唯一通道，能根據用戶有關的安全策略控制進出網路的訪問行為。從專業角度講，防火牆是位於兩個或多個網路間，實施網路訪問控制的組件集合。從用戶角度講，防火牆就是被放置在用戶計算機與外網之間的防禦體系，網路發往用戶計算機的所有數據都要經過其判斷處理，才決定能否將數據交給計算機，一旦發現數據異常或有害，防火牆就會將數據攔截，從而實現對計算機的保護。防火牆是網路安全策略的組成部分，它只是一個保護裝置，通過監測和控制網路間的信息交換和訪問行為來實現對網路安全的有效管理，其主要目的就是保護內部網路的安全。
1.2 防火牆的功能
（1）訪問控制：
■ 限制未經授權的用戶訪問本企業的網路和信息資源的措施，訪問者必需要能適用現行所有的服務和應用。網路衛士防火牆支持多種應用、服務和協議，支持所有的internet服務，包括安全的web瀏覽器、電子郵件、ftp、telnet及rpc和udp等，還支持如oracle、sybase、sql伺服器資料庫訪問和real audio，vodlive、netmeeting和internet phone等這樣的多媒體應用及internet廣播服務。
■ 提供基於狀態檢測技術的ip地址、埠、用戶和時間的管理控制；
■ 訪問控制對象的多種定義方式支持多種方式定義訪問控制對象: ip/mask(如202.100.100.0/24)，ip區間(如202.100.100.1-202.100.100.254)，ip/mask與通配符，ip區間與通配符等，使配置防火牆的安全策略極為方便。
■ 高效的url和文件級細粒度應用層管理控制；應用層安全控制策略主要針對常用的網路應用協議http和ftp，控制策略可以實現定義訪問源對象到目標對象間的常用協議命令通過防火牆的許可權，源對象可以是網段、主機。http和ftp的協議埠用戶可根據實際情況在策略中定義，協議命令為http和ftp的主要常用命令。通過應用層策略實現了url和文件級的訪問控制。
■ 雙向nat，提供ip地址轉換和ip及tcp/udp埠映射，實現ip復用和隱藏網路結構：nat在ip層上通過地址轉換提供ip復用功能，解決ip地址不足的問題，同時隱藏了內部網的結構，強化了內部網的安全。網路衛士防火牆提供了nat功能，並可根據用戶需要靈活配置。當內部網用戶需要對外訪問時，防火牆系統將訪問主體轉化為自己，並將結果透明地返回用戶，相當於一個ip層代理。防火牆的地址轉換是基於安全控制策略的轉換，可以針對具體的通信事件進行地址轉換。internet用戶訪問對內部網路中具有保留ip主機的訪問，可以利用反向nat實現，即為內部網路主機在防火牆上映射一注冊ip地址，這樣internet 用戶就可以通過防火牆系統訪問主機了。映射類型可以為ip級和埠級。埠映射可以通過一個注冊ip地址的不同tcp/udp埠映射到多個保留的ip主機。
■ 用戶策略:可以根據企業安全策略，將一次性口令認證與防火牆其它安全機制結合使用，實現對用戶訪問許可權的控制。用戶控制策略可以實現用戶之間、用戶與ip網段或主機間的訪問行為，如協議類型、訪問時間等，策略控制對象十分靈活。一次性口令認證方式用於控制內部網與外部網之間的高安全級訪問行為。
■ 介面策略:防止外部機器盜用內部機器的ip地址，這通過防火牆的介面策略實現。網路衛士防火牆將介面策略加在相應的介面上，以防止其它介面區域的ip被此介面區域內的主機冒用。如在正常情況下，內部ip不可能在防火牆的外部介面作為通信源地址出現，因此可以在外部介面上禁止所有的內部ip作為源地址的通信行為。
■ ip與mac地址綁定：防止防火牆廣播域內主機的ip地址不被另一台機器盜用。也就是說，如果要保護的主機與防火牆直接相連，可以將此機器的ip與其物理網卡地址捆綁，這樣其他內部機器就不可能使用這個ip通過防火牆。
■ ip與用戶綁定：綁定一次性口令用戶到定義ip列表上，防止綁定用戶的從非許可區域通過防火牆。
■ 支持流量管理：流量管理與控制.
■ 可擴展支持計費功能：計費功能可以定義內部網路ip，記錄內部網路與外部網路的方向性通信流量，並可依據ip及用戶統計查詢計費信息。計費模塊還可以提供用戶化計 費信息介面，將計費信息導出到用戶自的計費處理軟體中。
■ 基於優先順序的帶寬管理：用戶帶寬最大用量限制，用戶帶寬用量保障，多級用戶優先順序設置流量控制功能為用戶提供全部監測和管理網路的信息。
（2）防禦功能
■ 防tcp、udp等埠掃描：網路衛士防火牆可以檢測到對網路或內部主機的所有tcp/udp掃描。
■ 抗dos/ddos攻擊：拒絕服務攻擊(dos)就是攻擊者過多的佔用共享資源，導致伺服器超載或系統崩潰，而使正常用戶無法享有服務或沒有資源可用。防火牆通過控制、檢測與報警機制，阻止dos黑客攻擊。
■ 可防禦源路由攻擊、ip碎片包攻擊、dns/rip/icmp攻擊、syn等多種攻擊：網路衛士防火牆系統可以檢測對網路或內部主機的多種拒絕服務攻擊。
■阻止activex、java、javascript等侵入：屬於http內容過濾，防火牆能夠從http頁面剝離activex、javaapplet等小程序及從script、php和asp等代碼檢測出危險的代碼，同時，能夠過濾用戶上載的cgi、asp等程序。
■ 提供實時監控、審計和告警功能：網路衛士防火牆提供對網路的實時監控，當發現攻擊和危險行為時，防火牆提供告警等功能。
■ 可擴展支持第三方ids入侵檢測系統，實現協同工作：網路衛士防火牆支持topsec協議，可與第三方ids產品實現無縫集成，協同工作。
（3）用戶認證
因為企業網路為本地用戶、移動用戶和各種遠程用戶提供信息資源，所以為了保護網路和信息安全，必須對訪問連接用戶採用有效的許可權控制和身份識別，以確保系統安全。
■ 提供高安全強度的一次性口令(otp)用戶認證：一次性口令認證機制是高強度的認證機制，能極大地提高了訪問控制的安全性，有效阻止非授權用戶進入網路，保證網路系統的合法使用。一次性口令用戶認證的基本過程是：首先用戶向防火牆發送身份認證請求，並指明自己的用戶名，防火牆收到請求後，向用戶提出挑戰及同步信息，用戶收到此信息後，結合自己的口令，產生一次性口令並發送給防火牆，防火牆判斷用戶答復是否正確以鑒別用戶的合法性，為防止口令猜測，如果用戶連續三次認證失敗則在一定時間內禁止該用戶認證。由於採用一次性的口令認證機制，即使竊聽者在網路上截取到口令，由於該口令的有效期僅為一次，故也無法再利用這個口令進行認證鑒別。在實際應用中，用戶採用一次性口令登錄程序登陸時，防火牆向用戶提供一個種子及同步次數，登錄程序根據用戶輸入的口令、種子、同步次數計算出一次性口令並傳給防火牆.用戶可以在不同的伺服器上使用不同的種子而口令相同，每次在網路上傳輸的口令也不同， 用戶可以定期改變種子來達到更高的安全目標.
■ 可擴展支持第三方認證和支持智能ic卡、ikey等硬體方式認證：網路衛士防火牆有很好的擴展性，可擴展支持radius等認證，提供撥號用戶等安全訪問。也可通過擴展支持支持職能ic卡、ikey等硬體方式認證。
（4）安全管理
■ 提供基於otp機制的管理員認證。
■ 提供分權管理安全機制；提供管理員和審計員分權管理的安全機制，保證安全產品的安全管理。
■ 遠程管理提供加密機制；在進行遠程管理時，管理機和防火牆之間的通訊可進行加密以保證安全，真正實現遠程管理。
■ 遠程管理安全措施:管理源主機限定;並發管理連接數限定;管理介面icmp開關控制;管理介面開關;遠程登錄嘗試鎖定;
■ 提供安全策略檢測機制：網路衛士防火牆提供規則測試功能，實現策略的控制邏輯檢查，及時發現控制邏輯的錯誤，為用戶檢查規則配置的正確性，完善控制策略提供方便、快捷、有效的工具。
■ 提供豐富完整的審計機制；網路衛士防火牆產品的日誌審計功能十分完善，有對系統管理體系的分類日誌(管理日誌、通信事件日誌)，也有按日期對應的運行日誌。日誌內容包括事件時間及事件摘要等。
■ 提供日誌下載、備份和查詢功能；防火牆的日誌管理方式包括日誌下載、備份和日誌查詢，這為用戶進行日誌的審計和分析提供了方便。防火牆還提供日誌導出工具，將各種日誌信息導出到管理伺服器，方便進一步處理。
■ 可擴展支持計費功能。計費模塊提供較強的計費功能。防火牆上設置計費功能可以避免防火牆所保護的內部網計費時，可能因防火牆策略未許可而導致某些用戶計費信息與實際使用的不一致，也彌補了防火牆作地址轉換時，外部網難以計費的缺陷。計費功能可以定義內部網路ip，記錄內部網路與外部網路的方向性通信流量，並可依據ip及用戶統計查詢計費信息。計費模塊還可以提供用戶化計費信息介面，將計費信息導出到用戶自己的計費處理軟體中。
（5）雙機熱備份
提供防火牆的雙機熱備份功能，提高應用系統可靠性和性能。熱備份通過多種方式觸發工作模式切換，模式切換時間短。
（6）操作管理
■ 提供靈活的本地、遠程管理方式；
■ 支持gui和命令行多種操作方式；
■ 可提供基於命令行和gui的本地和遠程配置管理。
1.3 防火牆的分類
（1）從軟、硬體形式上分類
如果從防火牆的軟、硬體形式來分的話，防火牆可以分為軟體防火牆和硬體防火牆以及晶元級防火牆。
■ 軟體防火牆
軟體防火牆運行於特定的計算機上，它需要客戶預先安裝好的計算機操作系統的支持，一般來說這台計算機就是整個網路的網關。俗稱「個人防火牆」。軟體防火牆就像其它的軟體產品一樣需要先在計算機上安裝並做好配置才可以使用。防火牆廠商中做網路版軟體防火牆最出名的莫過於Checkpoint。使用這類防火牆，需要網管對所工作的操作系統平台比較熟悉。
■ 硬體防火牆
這里說的硬體防火牆是指「所謂的硬體防火牆」。之所以加上「所謂」二字是針對晶元級防火牆說的了。它們最大的差別在於是否基於專用的硬體平台。目前市場上大多數防火牆都是這種所謂的硬體防火牆，他們都基於PC架構，就是說，它們和普通的家庭用的PC沒有太大區別。在這些PC架構計算機上運行一些經過裁剪和簡化的操作系統，最常用的有老版本的Unix、Linux和FreeBSD系統。 值得注意的是，由於此類防火牆採用的依然是別人的內核，因此依然會受到OS（操作系統）本身的安全性影響。
■ 晶元級防火牆
晶元級防火牆基於專門的硬體平台，沒有操作系統。專有的ASIC晶元促使它們比其他種類的防火牆速度更快，處理能力更強，性能更高。做這類防火牆最出名的廠商有NetScreen、FortiNet、Cisco等。這類防火牆由於是專用OS（操作系統），因此防火牆本身的漏洞比較少，不過價格相對比較高昂。
（2）從防火牆技術上分類
防火牆技術雖然出現了許多，但總體來講可分為「包過濾型」和「應用代理型」兩大類。前者以以色列的Checkpoint防火牆和美國Cisco公司的PIX防火牆為代表，後者以美國NAI公司的Gauntlet防火牆為代表。
■ 包過濾（Packet filtering）型
包過濾方式是一種通用、廉價和有效的安全手段。之所以通用，是因為它不是針對各個具體的網路服務採取特殊的處理方式，適用於所有網路服務；之所以廉價，是因為大多數路由器都提供數據包過濾功能，所以這類防火牆多數是由路由器集成的；之所以有效，是因為它能很大程度上滿足了絕大多數企業安全要求。
在整個防火牆技術的發展過程中，包過濾技術出現了兩種不同版本，稱為「第一代靜態包過濾」和「第二代動態包過濾」。
包過濾方式的優點是不用改動客戶機和主機上的應用程序，因為它工作在網路層和傳輸層，與應用層無關。但其弱點也是明顯的：過濾判別的依據只是網路層和傳輸層的有限信息，因而各種安全要求不可能充分滿足；在許多過濾器中，過濾規則的數目是有限制的，且隨著規則數目的增加，性能會受到很大地影響；由於缺少上下文關聯信息，不能有效地過濾如UDP、RPC（遠程過程調用）一類的協議；另外，大多數過濾器中缺少審計和報警機制，它只能依據包頭信息，而不能對用戶身份進行驗證，很容易受到「地址欺騙型」攻擊。對安全管理人員素質要求高，建立安全規則時，必須對協議本身及其在不同應用程序中的作用有較深入的理解。因此，過濾器通常是和應用網關配合使用，共同組成防火牆系統。
■ 應用代理（Application Proxy）型
應用代理型防火牆是工作在OSI的最高層，即應用層。其特點是完全「阻隔」了網路通信流，通過對每種應用服務編制專門的代理程序，實現監視和控制應用層通信流的作用。其典型網路結構如圖所示。

在代理型防火牆技術的發展過程中，它也經歷了兩個不同的版本：第一代應用網關型代理防火和第二代自適應代理防火牆。
代理類型防火牆的最突出的優點就是安全。由於它工作於最高層，所以它可以對網路中任何一層數據通信進行篩選保護，而不是像包過濾那樣，只是對網路層的數據進行過濾。
另外代理型防火牆採取是一種代理機制，它可以為每一種應用服務建立一個專門的代理，所以內外部網路之間的通信不是直接的，而都需先經過代理伺服器審核，通過後再由代理伺服器代為連接，根本沒有給內、外部網路計算機任何直接會話的機會，從而避免了入侵者使用數據驅動類型的攻擊方式入侵內部網