按防火墙结构分类可以划分为单一主机防火墙、路由器集成式防火墙和分布式防火墙三种。单一主机防火墙是最为传统的防火墙,它独立于其他网络设备,位于网络边界。
这种防火墙其实与一台计算机结构差不多,同样包括CPU、内存、硬盘等基本组件,当然主板更是不能少了,且主板上也有南、北桥芯片。它与一般计算机敁主要的区别就是一般防火墙都集成了两个以上,的以太网卡,因为它需要连接一个以上的内部及外部网络。
其中的硬盘主要是W来存储防火墙所用的基本程序,如包过滤程序和代理服务器程序等,有的防火墙还把日志记录也记录在此硬盘上。虽然如此,但我们不能说它就与我们平常的PC一样,因为它的工作性质决定了它要具备非常高的稳定性、实用性及系统乔吐性能。正因为如此,看似与PC差不多的配置,其两者的价格却相差甚远。
随着防火墙技术的发展及应用需求的提高,原来作为单一主机的防火墙现在已发生了许多变化。沿明显的变化就是现在许多中高档的路由器中巳集成了防火墙功能,还有的防火墙已不再是一个独立的硬件实体,而是由多个软硬件组成的系统。原来单一主机的防火墙由于价格非常昂贵,仅有少数大型企业才能承受得起,为了降低企业M络投资,现在许多中高档路由器中集成了防火墙功能,如Ciscoios防火墙系列。但这种防火墙通常是较低级的包过滤勸。
这样企业就不用再同时购买路由器和防火墙,大大降低了网络设备购买成本。分布式防火墙再也不是只位于网络边界,而是渗透于网络的每一台主机,对整个内部网络的主机实施保护。在网络服务器中,通常会安装一个用于防火墙系统管理的软件,在服务器及各主机上安装有集成网卡功能的PCI防火墙卡,这样一块防火墙卡同时兼有网卡和防火墙的双重功能。
这样一个防火墙系统就可以彻底保护内部网络。各主机把任何并他主机发送的通信连接都视为“不可信”的,都需要经过严格过滤,而不是像传统边界防火墙那样,仅对外部网络发出的通信请求“不信任”。
