防火墻分為哪幾類

根據防火墻的形態可分為：

• 軟件防火墻

  運行在特定的計算機上，需要客戶預先安裝好的計算機操作系統的支持。一般來說這臺計算機就是整個網絡的網關，俗稱個人防火墻。軟件防火墻像其他軟件產品一樣需要先在計算機上安裝并做好配置才可以使用。使用這類防火墻，需要網關對所工作的操作系統平臺比較熟悉。

• 硬件防火墻

  通過硬件設備實現的防火墻叫做硬件防火墻，外形跟路由器相似，接口類型通常有千兆網口、萬兆光口。硬件防火墻可以實現 CIA 的機密性（ Confidentiality ）、完整性（ Integrity ）、可用性（ Availability ）這三種類型的對應策略。小企業會在局域網和互聯網的邊界部署防火墻。

  傳統硬件防火墻一般至少具備三個端口，分別接內網、外網和DMZ區（非軍事化區），現在一些新的硬件防火墻往往擴展了端口，常見的四端防火墻將第四個端口做為配置口、管理端口。很多防火墻還可以進一步擴展端口數目。

按照防火墻實現技術的不同可以將防火墻分為：

• 包過濾防火墻

  包過濾防火墻是用一個軟件查看所流經的數據包的包頭（header），由此決定整個包的命運。它可能會決定丟棄（DROP）這個包，可能會接受（ACCEPT）這個包（讓這個包通過），也可能執行其它更復雜的動作。

  包過濾是一種內置于Linux內核路由功能之上的防火墻類型，其防火墻工作在網絡層。

• 狀態/動態檢測防火墻

  狀態/動態檢測防火墻，可以跟蹤通過防火墻的網絡連接和包，這樣防火墻就可以使用組附加的標準，以確定該數據包是分許或者拒絕通信。它是在使用了基本包過海防火墻的通信上應用些技術來做到這點的。

• 應用程序代理防火墻

  應用程序代理防火墻又稱為應用層防火墻，工作于OSI的應用層上。應用程序代理防火墻實際上并不允許在它連接的網絡之間直接通信。相反，它是接受來自內部網絡特定用戶應用程序的通信，然后建立于公共網絡服務器單獨的連接。

按照防火墻結構分類：

• 單一主機防火墻

  單一主機防火墻是最為傳統的防火墻，獨立于其它網絡設備，它位于網絡邊界。這種防火墻其實與一臺計算機結構差不多，同樣包括CPU、內存、硬盤等基本組件，當然主板更是不能少了，且主板上也有南、北橋芯片。它與一般計算機最主要的區別就是一般防火墻都集成了兩個以上的以太網卡，因為它需要連接一個以上的內、外部網絡。

• 路由器集成式防火墻

  原來單一主機的防火墻由于價格非常昂貴，僅有少數大型企業才能承受得起，為了降低企業網絡投資，現在許多中、高檔路由器中集成了防火墻功能。如Cisco IOS防火墻系列。但這種防火墻通常是較低級的包過濾型。這樣企業就不用再同時購買路由器和防火墻，大大降低了網絡設備購買成本。

• 分布式防火墻

  分布式防火墻再也不是只是位于網絡邊界，而是滲透于網絡的每一臺主機，對整個內部網絡的主機實施保護。在網絡服務器中，通常會安裝一個用于防火墻系統管理軟件，在服務器及各主機上安裝有集成網卡功能的PCI防火墻卡 ，這樣一塊防火墻卡同時兼有網卡和防火墻的雙重功能。這樣一個防火墻系統就可以徹底保護內部網絡。各主機把任何其它主機發送的通信連接都視為“不可信”的，都需要嚴格過濾。而不是傳統邊界防火墻那樣，僅對外部網絡發出的通信請求“不信任”。

按照防火墻的應用部署位置分類：

• 邊界防火墻

  邊界防火墻是最為傳統的那種，它們于內、外部網絡的邊界，所起的作用的對內、外部網絡實施隔離，保護邊界內部網絡。這類防火墻一般都是硬件類型的，價格較貴，性能較好。

• 個人防火墻

  個人防火墻安裝于單臺主機中，防護的也只是單臺主機。這類防火墻應用于廣大的個人用戶，通常為軟件防火墻，價格最便宜，性能也最差。

• 混合防火墻

  混合式防火墻可以說就是“分布式防火墻”或者“嵌入式防火墻”，它是一整套防火墻系統，由若干個軟、硬件組件組成，分布于內、外部網絡邊界和內部各主機之間，既對內、外部網絡之間通信進行過濾，又對網絡內部各主機間的通信進行過濾。它屬于最新的防火墻技術之一，性能最好，價格也最貴。

按照防火墻性能分類：百兆級防火墻、千兆級防火墻。

回答所涉及的環境：聯想天逸510S、Windows 10。