安全检测装置和防火墙

1. 入侵检测与防火墙的作用有什么不同

其实么，一般来说，防火墙是被动的，入侵检测是主动的。一般防火墙是第一道防线，大型的网络内部都是需要入侵检测，作为内网的第二道门，检测内网用户端是否有异常活动。防火墙只保证网内和外网之间的信息合法安全，但是，当内网用户黑内网用户的时候网络防火墙无效，个人电脑防火墙自启动。然而，使用的是入侵检测系统的话就会及时汇报网络（包括内网各个主机之间，内网和外网之间）中一切异常情况。

2. 攻击检测与防火墙之间的联系与区别有哪些

入侵检测，顾名思义，就是对入侵行为的发觉。他通过对计算机网络或计算机系统中若干关键点收集信息并对其进行分析，从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象。入侵检测是防火墙的合理补充，帮助系统对付网络攻击，扩展了系统管理员的安全管理能力（包括安全审计、监视、进攻识别和响应），提高了信息安全基础结构的完整性。
防火墙，也称防护墙，是由Check
Point创立者Gil
Shwed于1993年发明并引入国际互联网（US5606668（A）1993-12-15）。它是一种位于内部网络与外部网络之间的网络安全系统。一项信息安全的防护系统，依照特定的规则，允许或是限制传输的数据通过。

3. 简述防火墙和入侵检测系统在网络安全方面的地位和作用有什么区别

防火墙是比较早的安全概念，可以把他比作门，主要是防外。发展到现在功能也比较多，目前基本上是基于状态检测机制的防火墙，主要功能是对经过防火墙的数据包进行过滤（通过规则限制流量）。现在一般防火墙作为网络出口网关，内、外网隔离，通过NAT、VPN等技术接入互联网。
入侵检测系统（IDS）更侧重于监控，防火墙是门，IDS就是门内的摄像头。IDS不但监控门外进来的，还会监控门里面的。

4. 防火墙与安全网关有什么区别各有什么用途

防火墙技术是通过有机结合各类用于安全管理与筛选的软件和硬件设备，帮助计算机网络于其内、外网之间构建一道相对隔绝的保护屏障，以保护用户资料与信息安全性的一种技术。
安全网关是一种多功能装置，它同时具备了网络防火墙功能。网络入侵检测功能以及防病毒功能等等。安全网关包括两种模式，分别是网桥模式和网关模式。

二、安全网关和传统防火墙的区别：

区别一：

传统防火墙的功能模块在工作过程当中位于七层网络协议的第三层网络协议当中，而且传统防火墙的IP包是通过一种比较普通的状态检测技术进行的。而安全网关在工作过程当中，不仅可以实现普通状态检测的技术，还能实现各种过滤功能，除此之外，安全网关还可以对防病毒、入侵检测、VPN等等功能的设置，可以将它们随意开启和关闭。而且它还可以结合防火墙所具有的策略，可以让功能产生的效果更明显。

区别二：

从系统方面看，安全网关不仅能够进行网络访问权限的设置，而且跟普通防火墙相比，它还能识别和转发系统当中的数据包，能够处理一些工作量较大的模块，从而减小模块在进行数据处理过程当中需要的工作量，也可以在一定程度上提高系统的性能和系统效率。

第三：

安全网关的功能十分强大，可以另外植入一些新功能，对于各种各样的新技术，它都可以兼容，安全网关具有非常高的应用前景，它的适用范围跟和传统的防火墙相比也比较广泛。

第四：

安全网关的操作页面也和传统防火墙不同，它的操作页面可以明了的看到防火墙的各个策略，而且它的层次非常分明，操作起来也非常简单，适用比较灵活，是一种实用性很强的防火墙。

5. 硬件防火墙 ,硬件防毒墙,硬件入侵检测的产品有什么区别

硬件防火墙:其原理是把软件防火墙嵌入在硬件中，一般的软件安全厂商所提供的硬件放火墙便是在硬件服务器厂商定制硬件，然后再把linux系统与自己的软件系统嵌入。（CheckPoint旧版本的防火墙就是由其CheckPoint 软件防火墙+NOKIA硬件平台构成的）这样做的好处是linux相对Windows的server相对安全。这样做的理由是由于ISA必须装在Windows操作系统下，微软的操作系统相对不安全，本身安全存在隐患的系统上部署安全策略相当于处在亚安全状态，是不可靠的。在兼容性方面也是硬件防火墙更胜一筹，其实软件防火墙与硬件防火墙的主要区别就在于硬件。
软件防火墙只有包过滤得功能，硬件防火墙中可能还有除软件防火墙以外的其他功能，例如CF（内容过滤）IDS（入侵侦测）IPS（入侵防护）以及VPN等等的功能.

硬件防毒墙:也就是安装了专业防毒软件硬件设备;

硬件入侵检测（Intrusion Detection）是指通过硬件设备对入侵行为的检测。它通过收集和分析网络行为、安全日志、审计数据、其它网络上可以获得的信息以及计算机系统中若干关键点的信息，检查网络或系统中是否存在违反安全策略的行为和被攻击的迹象。入侵检测作为一种积极主动地安全防护技术，提供了对内部攻击、外部攻击和误操作的实时保护，在网络系统受到危害之前拦截和响应入侵。因此被认为是防火墙之后的第二道安全闸门，在不影响网络性能的情况下能对网络进行监测。入侵检测通过执行以下任务来实现：监视、分析用户及系统活动；系统构造和弱点的审计；识别反映已知进攻的活动模式并向相关人士报警；异常行为模式的统计分析；评估重要系统和数据文件的完整性；操作系统的审计跟踪管理，并识别用户违反安全策略的行为。 入侵检测是防火墙的合理补充，帮助系统对付网络攻击，扩展了系统管理员的安全管理能力（包括安全审计、监视、进攻识别和响应），提高了信息安全基础结构的完整性。它从计算机网络系统中的若干关键点收集信息，并分析这些信息，看看网络中是否有违反安全策略的行为和遭到袭击的迹象。

6. 入侵检测,和防火墙在功能上有哪些区别

所谓入侵检测其实就是指试图监视和尽可能阻止有害信息的入侵，或者其他能够对用户的系统和网络资源产生危害的行为．入侵检测分为三种：1.基于网络的入侵检测系统2.基于主机的入侵检测系统3.基于漏洞的入侵检测系统．
所谓防火墙指的是一个有软件和硬件设备组合而成、在内部网和外部网之间、专用网与公共网之间的界面上构造的保护屏障.是一种获取安全性方法的形象说法，它是一种计算机硬件和软件的结合，使Internet与Intranet之间建立起一个安全网关（Security
Gateway），从而保护内部网免受非法用户的侵入，防火墙主要由服务访问政策、验证工具、包过滤和应用网关4个部分组成，
防火墙就是一个位于计算机和它所连接的网络之间的软件或硬件(其中硬件防火墙用的很少只有国防部等地才用,因为它价格昂贵)。该计算机流入流出的所有网络通信均要经过此防火墙。
防火墙的功能
防火墙对流经它的网络通信进行扫描，这样能够过滤掉一些攻击，以免其在目标计算机上被执行。防火墙还可以关闭不使用的端口。而且它还能禁止特定端口的流出通信，封锁特洛伊木马。最后，它可以禁止来自特殊站点的访问，从而防止来自不明入侵者的所有通信。
为什么使用防火墙
防火墙具有很好的保护作用。入侵者必须首先穿越防火墙的安全防线，才能接触目标计算机。你可以将防火墙配置成许多不同保护级别。高级别的保护可能会禁止一些服务，如视频流等，但至少这是你自己的保护选择。
防火墙的类型
防火墙有不同类型。一个防火墙可以是硬件自身的一部分，你可以将因特网连接和计算机都插入其中。防火墙也可以在一个独立的机器上运行，该机器作为它背后网络中所有计算机的代理和防火墙。最后，直接连在因特网的机器可以使用个人防火墙。
防火墙的概念
当然，既然打算由浅入深的来了解，就要先看看防火墙的概念了。防火墙是汽车中一个部件的名称。在汽车中，利用防火墙把乘客和引擎隔开，以便汽车引擎一旦著火，防火墙不但能保护乘客安全，而同时还能让司机继续控制引擎。再电脑术语中，当然就不是这个意思了，我们可以类比来理解，在网络中，所谓“防火墙”，是指一种将内部网和公众访问网(如Internet)分开的方法，它实际上是一种隔离技术。防火墙是在两个网络通讯时执行的一种访问控制尺度，它能允许你“同意”的人和数据进入你的网络，同时将你“不同意”的人和数据拒之门外，最大限度地阻止网络中的黑客来访问你的网络。换句话说，如果不通过防火墙，公司内部的人就无法访问Internet，Internet上的人也无法和公司内部的人进行通信。
防火墙的功能
防火墙是网络安全的屏障：
一个防火墙（作为阻塞点、控制点）能极大地提高一个内部网络的安全性，并通过过滤不安全的服务而降低风险。由于只有经过精心选择的应用协议才能通过防火墙，所以网络环境变得更安全。如防火墙可以禁止诸如众所周知的不安全的NFS协议进出受保护网络，这样外部的攻击者就不可能利用这些脆弱的协议来攻击内部网络。防火墙同时可以保护网络免受基于路由的攻击，如IP选项中的源路由攻击和ICMP重定向中的重定向路径。防火墙应该可以拒绝所有以上类型攻击的报文并通知防火墙管理员。
防火墙可以强化网络安全策略：
通过以防火墙为中心的安全方案配置，能将所有安全软件（如口令、加密、身份认证、审计等）配置在防火墙上。与将网络安全问题分散到各个主机上相比，防火墙的集中安全管理更经济。例如在网络访问时，一次一密口令系统和其它的身份认证系统完全可以不必分散在各个主机上，而集中在防火墙一身上。
对网络存取和访问进行监控审计：
如果所有的访问都经过防火墙，那么，防火墙就能记录下这些访问并作出日志记录，同时也能提供网络使用情况的统计数据。当发生可疑动作时，防火墙能进行适当的报警，并提供网络是否受到监测和攻击的详细信息。另外，收集一个网络的使用和误用情况也是非常重要的。首先的理由是可以清楚防火墙是否能够抵挡攻击者的探测和攻击，并且清楚防火墙的控制是否充足。而网络使用统计对网络需求分析和威胁分析等而言也是非常重要的。

7. 入侵检测系统和防火墙的区别和联系

防火墙是对访问行为进行阻止或者放行
入侵检测就是旁路检测。
区别就在此。

8. 什么是物理隔离装置 和防火墙有什么区别

物理隔离，是指采用物理方法将内网与外网隔离从而避免入侵或信息泄露的风险的技术手段。物理隔离主要用来解决网络安全问题的，尤其是在那些需要绝对保证安全的保密网。

为了防止来自互联网的攻击和保证这些高安全性网络的保密性、安全性、完整性、防抵赖和高可用性，几乎全部要求采用物理隔离技术。

区别：

1，防火墙传输数据可以双向，支持TCP/IP七层协议。

2，防火墙代主要是借助硬件和软件的作用于内部和外部网络的环境间产生一种保护的屏障，从而实现对计算机不安全网络因素的阻断。

3，无论从功能还是实现原理上讲，安全隔离网闸和防火墙是完全不同的两个产品，防火墙是保证网络层安全的边界安全工具（如通常的非军事化区），而安全隔离网闸重点是保护内部网络的安全。因此两种产品由于定位的不同，不能相互取代。

4，物理隔离装置也就是安全网闸，只能单向传输数据，不是正向就是反向。不能同时双向，这样也就切断了黑客的访问连接。

5，物理隔离装置针对的是一区二区与三区之间传输间才用到的，横向隔离装置相当于是安全网闸，数据只能单向传输，不能双向。

(8)安全检测装置和防火墙扩展阅读

防火墙一般在进行IP包转发的同时，通过对IP包的处理，实现对TCP会话的控制，但是对应用数据的内容不进行检查。这种工作方式无法防止泄密，也无法防止病毒和黑客程序的攻击。

只有在防火墙同意情况下，用户才能够进入计算机内，如果不同意就会被阻挡于外，防火墙技术的警报功能十分强大，在外部的用户要进入到计算机内时，防火墙就会迅速的发出相应的警报，并提醒用户的行为。

进行自我的判断来决定是否允许外部的用户进入到内部，只要是在网络环境内的用户，这种防火墙都能够进行有效的查询，同时把查到信息朝用户进行显示，然后用户需要按照自身需要对防火墙实施相应设置，对不允许的用户行为进行阻断。

通过防火墙还能够对信息数据的流量实施有效查看，并且还能够对数据信息的上传和下载速度进行掌握，便于用户对计算机使用的情况具有良好的控制判断，计算机的内部情况也可以通过这种防火墙进行查看，还具有启动与关闭程序的功能，计算机系统的内部中具有的日志功能。

9. 分析防火墙技术和入侵检测技术的优缺点。

防火墙的概念
所谓防火墙指的是一个由软件和硬件设备组合而成、在内部网和外部网之间、专用网与公共网之间的界面上构造的保护屏障。是一种获取安全性方法的形象说法，它是一种计算机硬件和软件的结合，使Internet与Intranet之间建立起一个安全网关（Security Gateway），从而保护内部网免受非法用户的侵入，防火墙主要由服务访问规则、验证工具、包过滤和应用网关4个部分组成。
防火墙就是一个位于计算机和它所连接的网络之间的软件或硬件(其中硬件防火墙用的较少，例如国防部以及大型机房等地才用,因为它价格昂贵)。该计算机流入流出的所有网络通信均要经过此防火墙。
防火墙，英语为firewall，《英汉证券投资词典》的解释为：金融机构内部将银行业务与证券业务严格区分开来的法律屏障，旨在防止可能出现的内幕消息共享等不公平交易出现。使用防火墙比喻不要引火烧身。
当然，既然打算由浅入深的来了解，就要先看看防火墙的概念了。防火墙是汽车中一个部件的名称。在汽车中，利用防火墙把乘客和引擎隔开，以便汽车引擎一旦著火，防火墙不但能保护乘客安全，而同时还能让司机继续控制引擎。在电脑术语中，当然就不是这个意思了，我们可以类比来理解，在网络中，所谓“防火墙”，顾名思义，是一种隔离设备。防火墙是一种高级访问控制设备，置于不同网络安全域之间的一系列部件的组合，它是不同网络安全域之间通信流的唯一通道，能根据用户有关的安全策略控制进出网络的访问行为。从专业角度讲，防火墙是位于两个或多个网络间，实施网络访问控制的组件集合。从用户角度讲，防火墙就是被放置在用户计算机与外网之间的防御体系，网络发往用户计算机的所有数据都要经过其判断处理，才决定能否将数据交给计算机，一旦发现数据异常或有害，防火墙就会将数据拦截，从而实现对计算机的保护。防火墙是网络安全策略的组成部分，它只是一个保护装置，通过监测和控制网络间的信息交换和访问行为来实现对网络安全的有效管理，其主要目的就是保护内部网络的安全。
1.2 防火墙的功能
（1）访问控制：
■ 限制未经授权的用户访问本企业的网络和信息资源的措施，访问者必需要能适用现行所有的服务和应用。网络卫士防火墙支持多种应用、服务和协议，支持所有的internet服务，包括安全的web浏览器、电子邮件、ftp、telnet及rpc和udp等，还支持如oracle、sybase、sql服务器数据库访问和real audio，vodlive、netmeeting和internet phone等这样的多媒体应用及internet广播服务。
■ 提供基于状态检测技术的ip地址、端口、用户和时间的管理控制；
■ 访问控制对象的多种定义方式支持多种方式定义访问控制对象: ip/mask(如202.100.100.0/24)，ip区间(如202.100.100.1-202.100.100.254)，ip/mask与通配符，ip区间与通配符等，使配置防火墙的安全策略极为方便。
■ 高效的url和文件级细粒度应用层管理控制；应用层安全控制策略主要针对常用的网络应用协议http和ftp，控制策略可以实现定义访问源对象到目标对象间的常用协议命令通过防火墙的权限，源对象可以是网段、主机。http和ftp的协议端口用户可根据实际情况在策略中定义，协议命令为http和ftp的主要常用命令。通过应用层策略实现了url和文件级的访问控制。
■ 双向nat，提供ip地址转换和ip及tcp/udp端口映射，实现ip复用和隐藏网络结构：nat在ip层上通过地址转换提供ip复用功能，解决ip地址不足的问题，同时隐藏了内部网的结构，强化了内部网的安全。网络卫士防火墙提供了nat功能，并可根据用户需要灵活配置。当内部网用户需要对外访问时，防火墙系统将访问主体转化为自己，并将结果透明地返回用户，相当于一个ip层代理。防火墙的地址转换是基于安全控制策略的转换，可以针对具体的通信事件进行地址转换。internet用户访问对内部网络中具有保留ip主机的访问，可以利用反向nat实现，即为内部网络主机在防火墙上映射一注册ip地址，这样internet 用户就可以通过防火墙系统访问主机了。映射类型可以为ip级和端口级。端口映射可以通过一个注册ip地址的不同tcp/udp端口映射到多个保留的ip主机。
■ 用户策略:可以根据企业安全策略，将一次性口令认证与防火墙其它安全机制结合使用，实现对用户访问权限的控制。用户控制策略可以实现用户之间、用户与ip网段或主机间的访问行为，如协议类型、访问时间等，策略控制对象十分灵活。一次性口令认证方式用于控制内部网与外部网之间的高安全级访问行为。
■ 接口策略:防止外部机器盗用内部机器的ip地址，这通过防火墙的接口策略实现。网络卫士防火墙将接口策略加在相应的接口上，以防止其它接口区域的ip被此接口区域内的主机冒用。如在正常情况下，内部ip不可能在防火墙的外部接口作为通信源地址出现，因此可以在外部接口上禁止所有的内部ip作为源地址的通信行为。
■ ip与mac地址绑定：防止防火墙广播域内主机的ip地址不被另一台机器盗用。也就是说，如果要保护的主机与防火墙直接相连，可以将此机器的ip与其物理网卡地址捆绑，这样其他内部机器就不可能使用这个ip通过防火墙。
■ ip与用户绑定：绑定一次性口令用户到定义ip列表上，防止绑定用户的从非许可区域通过防火墙。
■ 支持流量管理：流量管理与控制.
■ 可扩展支持计费功能：计费功能可以定义内部网络ip，记录内部网络与外部网络的方向性通信流量，并可依据ip及用户统计查询计费信息。计费模块还可以提供用户化计 费信息接口，将计费信息导出到用户自的计费处理软件中。
■ 基于优先级的带宽管理：用户带宽最大用量限制，用户带宽用量保障，多级用户优先级设置流量控制功能为用户提供全部监测和管理网络的信息。
（2）防御功能
■ 防tcp、udp等端口扫描：网络卫士防火墙可以检测到对网络或内部主机的所有tcp/udp扫描。
■ 抗dos/ddos攻击：拒绝服务攻击(dos)就是攻击者过多的占用共享资源，导致服务器超载或系统崩溃，而使正常用户无法享有服务或没有资源可用。防火墙通过控制、检测与报警机制，阻止dos黑客攻击。
■ 可防御源路由攻击、ip碎片包攻击、dns/rip/icmp攻击、syn等多种攻击：网络卫士防火墙系统可以检测对网络或内部主机的多种拒绝服务攻击。
■阻止activex、java、javascript等侵入：属于http内容过滤，防火墙能够从http页面剥离activex、javaapplet等小程序及从script、php和asp等代码检测出危险的代码，同时，能够过滤用户上载的cgi、asp等程序。
■ 提供实时监控、审计和告警功能：网络卫士防火墙提供对网络的实时监控，当发现攻击和危险行为时，防火墙提供告警等功能。
■ 可扩展支持第三方ids入侵检测系统，实现协同工作：网络卫士防火墙支持topsec协议，可与第三方ids产品实现无缝集成，协同工作。
（3）用户认证
因为企业网络为本地用户、移动用户和各种远程用户提供信息资源，所以为了保护网络和信息安全，必须对访问连接用户采用有效的权限控制和身份识别，以确保系统安全。
■ 提供高安全强度的一次性口令(otp)用户认证：一次性口令认证机制是高强度的认证机制，能极大地提高了访问控制的安全性，有效阻止非授权用户进入网络，保证网络系统的合法使用。一次性口令用户认证的基本过程是：首先用户向防火墙发送身份认证请求，并指明自己的用户名，防火墙收到请求后，向用户提出挑战及同步信息，用户收到此信息后，结合自己的口令，产生一次性口令并发送给防火墙，防火墙判断用户答复是否正确以鉴别用户的合法性，为防止口令猜测，如果用户连续三次认证失败则在一定时间内禁止该用户认证。由于采用一次性的口令认证机制，即使窃听者在网络上截取到口令，由于该口令的有效期仅为一次，故也无法再利用这个口令进行认证鉴别。在实际应用中，用户采用一次性口令登录程序登陆时，防火墙向用户提供一个种子及同步次数，登录程序根据用户输入的口令、种子、同步次数计算出一次性口令并传给防火墙.用户可以在不同的服务器上使用不同的种子而口令相同，每次在网络上传输的口令也不同， 用户可以定期改变种子来达到更高的安全目标.
■ 可扩展支持第三方认证和支持智能ic卡、ikey等硬件方式认证：网络卫士防火墙有很好的扩展性，可扩展支持radius等认证，提供拨号用户等安全访问。也可通过扩展支持支持职能ic卡、ikey等硬件方式认证。
（4）安全管理
■ 提供基于otp机制的管理员认证。
■ 提供分权管理安全机制；提供管理员和审计员分权管理的安全机制，保证安全产品的安全管理。
■ 远程管理提供加密机制；在进行远程管理时，管理机和防火墙之间的通讯可进行加密以保证安全，真正实现远程管理。
■ 远程管理安全措施:管理源主机限定;并发管理连接数限定;管理接口icmp开关控制;管理接口开关;远程登录尝试锁定;
■ 提供安全策略检测机制：网络卫士防火墙提供规则测试功能，实现策略的控制逻辑检查，及时发现控制逻辑的错误，为用户检查规则配置的正确性，完善控制策略提供方便、快捷、有效的工具。
■ 提供丰富完整的审计机制；网络卫士防火墙产品的日志审计功能十分完善，有对系统管理体系的分类日志(管理日志、通信事件日志)，也有按日期对应的运行日志。日志内容包括事件时间及事件摘要等。
■ 提供日志下载、备份和查询功能；防火墙的日志管理方式包括日志下载、备份和日志查询，这为用户进行日志的审计和分析提供了方便。防火墙还提供日志导出工具，将各种日志信息导出到管理服务器，方便进一步处理。
■ 可扩展支持计费功能。计费模块提供较强的计费功能。防火墙上设置计费功能可以避免防火墙所保护的内部网计费时，可能因防火墙策略未许可而导致某些用户计费信息与实际使用的不一致，也弥补了防火墙作地址转换时，外部网难以计费的缺陷。计费功能可以定义内部网络ip，记录内部网络与外部网络的方向性通信流量，并可依据ip及用户统计查询计费信息。计费模块还可以提供用户化计费信息接口，将计费信息导出到用户自己的计费处理软件中。
（5）双机热备份
提供防火墙的双机热备份功能，提高应用系统可靠性和性能。热备份通过多种方式触发工作模式切换，模式切换时间短。
（6）操作管理
■ 提供灵活的本地、远程管理方式；
■ 支持gui和命令行多种操作方式；
■ 可提供基于命令行和gui的本地和远程配置管理。
1.3 防火墙的分类
（1）从软、硬件形式上分类
如果从防火墙的软、硬件形式来分的话，防火墙可以分为软件防火墙和硬件防火墙以及芯片级防火墙。
■ 软件防火墙
软件防火墙运行于特定的计算机上，它需要客户预先安装好的计算机操作系统的支持，一般来说这台计算机就是整个网络的网关。俗称“个人防火墙”。软件防火墙就像其它的软件产品一样需要先在计算机上安装并做好配置才可以使用。防火墙厂商中做网络版软件防火墙最出名的莫过于Checkpoint。使用这类防火墙，需要网管对所工作的操作系统平台比较熟悉。
■ 硬件防火墙
这里说的硬件防火墙是指“所谓的硬件防火墙”。之所以加上“所谓”二字是针对芯片级防火墙说的了。它们最大的差别在于是否基于专用的硬件平台。目前市场上大多数防火墙都是这种所谓的硬件防火墙，他们都基于PC架构，就是说，它们和普通的家庭用的PC没有太大区别。在这些PC架构计算机上运行一些经过裁剪和简化的操作系统，最常用的有老版本的Unix、Linux和FreeBSD系统。 值得注意的是，由于此类防火墙采用的依然是别人的内核，因此依然会受到OS（操作系统）本身的安全性影响。
■ 芯片级防火墙
芯片级防火墙基于专门的硬件平台，没有操作系统。专有的ASIC芯片促使它们比其他种类的防火墙速度更快，处理能力更强，性能更高。做这类防火墙最出名的厂商有NetScreen、FortiNet、Cisco等。这类防火墙由于是专用OS（操作系统），因此防火墙本身的漏洞比较少，不过价格相对比较高昂。
（2）从防火墙技术上分类
防火墙技术虽然出现了许多，但总体来讲可分为“包过滤型”和“应用代理型”两大类。前者以以色列的Checkpoint防火墙和美国Cisco公司的PIX防火墙为代表，后者以美国NAI公司的Gauntlet防火墙为代表。
■ 包过滤（Packet filtering）型
包过滤方式是一种通用、廉价和有效的安全手段。之所以通用，是因为它不是针对各个具体的网络服务采取特殊的处理方式，适用于所有网络服务；之所以廉价，是因为大多数路由器都提供数据包过滤功能，所以这类防火墙多数是由路由器集成的；之所以有效，是因为它能很大程度上满足了绝大多数企业安全要求。
在整个防火墙技术的发展过程中，包过滤技术出现了两种不同版本，称为“第一代静态包过滤”和“第二代动态包过滤”。
包过滤方式的优点是不用改动客户机和主机上的应用程序，因为它工作在网络层和传输层，与应用层无关。但其弱点也是明显的：过滤判别的依据只是网络层和传输层的有限信息，因而各种安全要求不可能充分满足；在许多过滤器中，过滤规则的数目是有限制的，且随着规则数目的增加，性能会受到很大地影响；由于缺少上下文关联信息，不能有效地过滤如UDP、RPC（远程过程调用）一类的协议；另外，大多数过滤器中缺少审计和报警机制，它只能依据包头信息，而不能对用户身份进行验证，很容易受到“地址欺骗型”攻击。对安全管理人员素质要求高，建立安全规则时，必须对协议本身及其在不同应用程序中的作用有较深入的理解。因此，过滤器通常是和应用网关配合使用，共同组成防火墙系统。
■ 应用代理（Application Proxy）型
应用代理型防火墙是工作在OSI的最高层，即应用层。其特点是完全“阻隔”了网络通信流，通过对每种应用服务编制专门的代理程序，实现监视和控制应用层通信流的作用。其典型网络结构如图所示。

在代理型防火墙技术的发展过程中，它也经历了两个不同的版本：第一代应用网关型代理防火和第二代自适应代理防火墙。
代理类型防火墙的最突出的优点就是安全。由于它工作于最高层，所以它可以对网络中任何一层数据通信进行筛选保护，而不是像包过滤那样，只是对网络层的数据进行过滤。
另外代理型防火墙采取是一种代理机制，它可以为每一种应用服务建立一个专门的代理，所以内外部网络之间的通信不是直接的，而都需先经过代理服务器审核，通过后再由代理服务器代为连接，根本没有给内、外部网络计算机任何直接会话的机会，从而避免了入侵者使用数据驱动类型的攻击方式入侵内部网