硬件防火墙是什么意思_硬件防火墙是什么意思啊

硬件防火墙是什么意思_硬件防火墙是什么意思啊

       对于硬件防火墙是什么意思的问题，我有些许经验和知识储备。希望我的回答能够为您提供一些启示和帮助。

1.什么是防火墙？

2.请问内部防火墙和外部防火墙是什么意思啊（指硬件的防火墙）？

什么是防火墙？

       过去很长一段时期里，房屋都是砖木结构甚至是茅屋。如果一家失火，四邻也会跟着遭殃，所以，为安全起见，古人就在自己居住地周围修筑高高的围墙，以阻挡外来的火势，保护自身的安全，这种墙就叫防火墙。

       如今，网络系统不仅把系统内部的计算机紧密联系在一起，还进行网间连接。特别是因特网，它把世界各地的计算机系统都紧密地连接在一起。因此，如果不严加防卫，一旦网络受到敌方或“黑客”们的攻击，就会出现不堪设想的后果。

       在互联网上，人们采用类似防火墙的方法，保护网络资源不受侵害。具有这种功能的设备就称为“防火墙”。防火墙是一种中间隔离系统，插在内部网与互联网之间，作为两者之间的阻塞关卡，起到加强安全与审计的功能。

       建立防火墙的目的是保护自己的网络不受外来攻击，为此需要确定哪些类型的信息允许通过防火墙，而哪些不允许通过，这就是“防火墙安全策略问题”。

       目前主要有两种截然不同的安全策略：一种是拒绝一切未被特许的东西进入内部网；另一种是允许一切未被拒绝的东西进入。从网络安全性的角度来看，前者严格，它的意思就是：除了被确认是可信任的信息外，其他都不允许进来，但这样可能影响互联性；而后者宽松，它的意思就是：除了被确认是不可信任的信息来源以外都可以进内部网络，这有利于信息交互，但可能存在安全隐患。

       采用哪种安全策略的防火墙，取决于网络自身条件和环境。要在对自己网络进行安全分析、风险评估和商业需求分析基础上确定安全策略，采用相应的防火墙。

       但是，防火墙和实际生活中采取的各种消防措施一样，只能最大限度地减少灾害，而不能消灭灾害。近来，因特网上的“黑客”攻击程序大量出现，这些“黑客”攻击程序以正常文件为载体，以病毒方式传播，突破了防火墙系统针对“黑客”攻击程序采取的防卫措施，巧妙地潜入并隐蔽在系统内部，开设后门，与外部“黑客”进行“里应外合”。之所以产生这种情况，是因为网络防火墙技术有一定的局限性。

       当前的防火墙技术的局限性主要表现为：

       1．由于防火墙对信息流进行过滤的基本依据是网络主机的源地址和目的地址，而这种主机地址比较容易伪造，且如果同一地址中有多个用户，防火墙也无法进行区分。

       2．由于防火墙只对地址进行判别，没有双向身份鉴别，因而给伪造服务器提供机会。

       3．防火墙对访问的控制是粗略的，不能管理信息流的传输进程。

       4．防火墙的物理结构是防外不防内的，它不能防止来自内部的攻击，对进了网的用户的操作和访问缺乏审计能力。

       因此，要更好地保证网络安全，除不断改进防火墙技术外，还要使用各种加密技术、身份鉴别技术，注重认证和授权，并加强管理，才能使网络系统有一个良好的安全的环境，确保本系统的信息财富不遭盗窃和破坏。

       知识点

       逻辑炸弹

       逻辑炸弹是一种程序，或任何部分的程序，这是冬眠，直到一个具体作品的程序逻辑被激活而打乱所有的程序，造成程序的瘫痪并出现物理损坏。因为它的影响像突爆的炸弹，因此有了此名。“逻辑炸弹”引发时的症状与某些病毒的作用结果相似，并会对社会引发连带性的灾难。与病毒相比，它强调破坏作用本身，而实施破坏的程序不具有传染性。在这样一个逻辑炸弹是非常类似的一个真实世界的地雷。最常见的激活一个逻辑炸弹是一个日期。该逻辑炸弹检查系统日期，并没有什么，直到预先编程的日期和时间是达成共识。在这一点上，逻辑炸弹被激活并执行它的代码。

请问内部防火墙和外部防火墙是什么意思啊（指硬件的防火墙）？

       防火墙就是一种过滤塞（目前你这么理解不算错），你可以让你喜欢的东西通过这个塞子，别的玩意都统统过滤掉。在网络的世界里，要由防火墙过滤的就是承载通信数据的通信包。

       天下的防火墙至少都会说两个词：Yes或者No。直接说就是接受或者拒绝。最简单的防火墙是以太网桥。但几乎没有人会认为这种原始防火墙能管多大用。大多数防火墙采用的技术和标准可谓五花八门。这些防火墙的形式多种多样：有的取代系统上已经装备的TCP/IP协议栈；有的在已有的协议栈上建立自己的软件模块；有的干脆就是独立的一套操作系统。还有一些应用型的防火墙只对特定类型的网络连接提供保护（比如SMTP或者HTTP协议等）。还有一些基于硬件的防火墙产品其实应该归入安全路由器一类。以上的产品都可以叫做防火墙，因为他们的工作方式都是一样的：分析出入防火墙的数据包，决定放行还是把他们扔到一边。

       所有的防火墙都具有IP地址过滤功能。这项任务要检查IP包头，根据其IP源地址和目标地址作出放行/丢弃决定。看看下面这张图，两个网段之间隔了一个防火墙，防火墙的一端有台UNIX计算机，另一边的网段则摆了台PC客户机。

       当PC客户机向UNIX计算机发起telnet请求时，PC的telnet客户程序就产生一个TCP包并把它传给本地的协议栈准备发送。接下来，协议栈将这个TCP包“塞”到一个IP包里，然后通过PC机的TCP/IP栈所定义的路径将它发送给UNIX计算机。在这个例子里，这个IP包必须经过横在PC和UNIX计算机中的防火墙才能到达UNIX计算机。

       现在我们“命令”（用专业术语来说就是配制）防火墙把所有发给UNIX计算机的数据包都给拒了，完成这项工作以后，“心肠”比较好的防火墙还会通知客户程序一声呢！既然发向目标的IP数据没法转发，那么只有和UNIX计算机同在一个网段的用户才能访问UNIX计算机了。

       还有一种情况，你可以命令防火墙专给那台可怜的PC机找茬，别人的数据包都让过就它不行。这正是防火墙最基本的功能：根据IP地址做转发判断。但要上了大场面这种小伎俩就玩不转了，由于黑客们可以采用IP地址欺骗技术，伪装成合法地址的计算机就可以穿越信任这个地址的防火墙了。不过根据地址的转发决策机制还是最基本和必需的。另外要注意的一点是，不要用DNS主机名建立过滤表，对DNS的伪造比IP地址欺骗要容易多了。

       服务器TCP/UDP 端口过滤

       仅仅依靠地址进行数据过滤在实际运用中是不可行的，还有个原因就是目标主机上往往运行着多种通信服务，比方说，我们不想让用户采用 telnet的方式连到系统，但这绝不等于我们非得同时禁止他们使用SMTP/POP邮件服务器吧？所以说，在地址之外我们还要对服务器的TCP/ UDP端口进行过滤。

       比如，默认的telnet服务连接端口号是23。假如我们不许PC客户机建立对UNIX计算机（在这时我们当它是服务器）的telnet连接，那么我们只需命令防火墙检查发送目标是UNIX服务器的数据包，把其中具有23目标端口号的包过滤就行了。这样，我们把IP地址和目标服务器TCP/UDP端口结合起来不就可以作为过滤标准来实现相当可靠的防火墙了吗？不，没这么简单。

       客户机也有TCP/UDP端口

       TCP/IP是一种端对端协议，每个网络节点都具有唯一的地址。网络节点的应用层也是这样，处于应用层的每个应用程序和服务都具有自己的对应“地址”，也就是端口号。地址和端口都具备了才能建立客户机和服务器的各种应用之间的有效通信联系。比如，telnet服务器在端口23侦听入站连接。同时telnet客户机也有一个端口号，否则客户机的IP栈怎么知道某个数据包是属于哪个应用程序的呢？

       由于历史的原因，几乎所有的TCP/IP客户程序都使用大于1023的随机分配端口号。只有UNIX计算机上的root用户才可以访问1024以下的端口，而这些端口还保留为服务器上的服务所用。所以，除非我们让所有具有大于1023端口号的数据包进入网络，否则各种网络连接都没法正常工作。

       这对防火墙而言可就麻烦了，如果阻塞入站的全部端口，那么所有的客户机都没法使用网络资源。因为服务器发出响应外部连接请求的入站（就是进入防火墙的意思）数据包都没法经过防火墙的入站过滤。反过来，打开所有高于1023的端口就可行了吗？也不尽然。由于很多服务使用的端口都大于1023，比如X client、基于RPC的NFS服务以及为数众多的非UNIX IP产品等（NetWare/IP）就是这样的。那么让达到1023端口标准的数据包都进入网络的话网络还能说是安全的吗？连这些客户程序都不敢说自己是足够安全的。

       双向过滤

       OK，咱们换个思路。我们给防火墙这样下命令：已知服务的数据包可以进来，其他的全部挡在防火墙之外。比如，如果你知道用户要访问Web服务器，那就只让具有源端口号80的数据包进入网络：

       不过新问题又出现了。首先，你怎么知道你要访问的服务器具有哪些正在运行的端口号呢？ 象HTTP这样的服务器本来就是可以任意配置的，所采用的端口也可以随意配置。如果你这样设置防火墙，你就没法访问哪些没采用标准端口号的的网络站点了！反过来，你也没法保证进入网络的数据包中具有端口号80的就一定来自Web服务器。有些黑客就是利用这一点制作自己的入侵工具，并让其运行在本机的80端口！

       检查ACK位

       源地址我们不相信，源端口也信不得了，这个不得不与黑客共舞的疯狂世界上还有什么值得我们信任呢？还好，事情还没到走投无路的地步。对策还是有的，不过这个办法只能用于TCP协议。

       TCP是一种可靠的通信协议，“可靠”这个词意味着协议具有包括纠错机制在内的一些特殊性质。为了实现其可靠性，每个TCP连接都要先经过一个“握手”过程来交换连接参数。还有，每个发送出去的包在后续的其他包被发送出去之前必须获得一个确认响应。但并不是对每个TCP包都非要采用专门的ACK包来响应，实际上仅仅在TCP包头上设置一个专门的位就可以完成这个功能了。所以，只要产生了响应包就要设置ACK位。连接会话的第一个包不用于确认，所以它就没有设置ACK位，后续会话交换的TCP包就要设置ACK位了。

       举个例子，PC向远端的Web服务器发起一个连接，它生成一个没有设置ACK位的连接请求包。当服务器响应该请求时，服务器就发回一个设置了ACK位的数据包，同时在包里标记从客户机所收到的字节数。然后客户机就用自己的响应包再响应该数据包，这个数据包也设置了ACK位并标记了从服务器收到的字节数。通过监视ACK位，我们就可以将进入网络的数据限制在响应包的范围之内。于是，远程系统根本无法发起TCP连接但却能响应收到的数据包了。

       这套机制还不能算是无懈可击，简单地举个例子，假设我们有台内部Web服务器，那么端口80就不得不被打开以便外部请求可以进入网络。还有，对UDP包而言就没法监视ACK位了，因为UDP包压根就没有ACK位。还有一些TCP应用程序，比如FTP，连接就必须由这些服务器程序自己发起。

       FTP带来的困难

       一般的Internet服务对所有的通信都只使用一对端口号，FTP程序在连接期间则使用两对端口号。第一对端口号用于FTP的“命令通道”提供登录和执行命令的通信链路，而另一对端口号则用于FTP的“数据通道”提供客户机和服务器之间的文件传送。

       在通常的FTP会话过程中，客户机首先向服务器的端口21（命令通道）发送一个TCP连接请求，然后执行LOGIN、DIR等各种命令。一旦用户请求服务器发送数据，FTP服务器就用其20端口 (数据通道)向客户的数据端口发起连接。问题来了，如果服务器向客户机发起传送数据的连接，那么它就会发送没有设置ACK位的数据包，防火墙则按照刚才的规则拒绝该数据包同时也就意味着数据传送没戏了。通常只有高级的、也就是够聪明的防火墙才能看出客户机刚才告诉服务器的端口，然后才许可对该端口的入站连接。

       UDP端口过滤

       好了，现在我们回过头来看看怎么解决UDP问题。刚才说了，UDP包没有ACK位所以不能进行ACK位过滤。UDP 是发出去不管的“不可靠”通信，这种类型的服务通常用于广播、路由、多媒体等广播形式的通信任务。NFS、DNS、WINS、NetBIOS-over-TCP/IP和 NetWare/IP都使用UDP。

       看来最简单的可行办法就是不允许建立入站UDP连接。防火墙设置为只许转发来自内部接口的UDP包，来自外部接口的UDP包则不转发。现在的问题是，比方说，DNS名称解析请求就使用UDP，如果你提供DNS服务，至少得允许一些内部请求穿越防火墙。还有IRC这样的客户程序也使用UDP，如果要让你的用户使用它，就同样要让他们的UDP包进入网络。我们能做的就是对那些从本地到可信任站点之间的连接进行限制。但是，什么叫可信任！如果黑客采取地址欺骗的方法不又回到老路上去了吗？

       有些新型路由器可以通过“记忆”出站UDP包来解决这个问题：如果入站UDP包匹配最近出站UDP包的目标地址和端口号就让它进来。如果在内存中找不到匹配的UDP包就只好拒绝它了！但是，我们如何确信产生数据包的外部主机就是内部客户机希望通信的服务器呢？如果黑客诈称DNS服务器的地址，那么他在理论上当然可以从附着DNS的UDP端口发起攻击。只要你允许DNS查询和反馈包进入网络这个问题就必然存在。办法是采用代理服务器。

       所谓代理服务器，顾名思义就是代表你的网络和外界打交道的服务器。代理服务器不允许存在任何网络内外的直接连接。它本身就提供公共和专用的DNS、邮件服务器等多种功能。代理服务器重写数据包而不是简单地将其转发了事。给人的感觉就是网络内部的主机都站在了网络的边缘，但实际上他们都躲在代理的后面，露面的不过是代理这个假面具。

       小结

       IP地址可能是假的，这是由于IP协议的源路有机制所带来的，这种机制告诉路由器不要为数据包采用正常的路径，而是按照包头内的路径传送数据包。于是黑客就可以使用系统的IP地址获得返回的数据包。有些高级防火墙可以让用户禁止源路由。通常我们的网络都通过一条路径连接ISP，然后再进入Internet。这时禁用源路由就会迫使数据包必须沿着正常的路径返回。

       还有，我们需要了解防火墙在拒绝数据包的时候还做了哪些其他工作。比如，防火墙是否向连接发起系统发回了“主机不可到达”的ICMP消息？或者防火墙真没再做其他事？这些问题都可能存在安全隐患。ICMP“主机不可达”消息会告诉黑客“防火墙专门阻塞了某些端口”，黑客立即就可以从这个消息中闻到一点什么气味。如果ICMP“主机不可达”是通信中发生的错误，那么老实的系统可能就真的什么也不发送了。反过来，什么响应都没有却会使发起通信的系统不断地尝试建立连接直到应用程序或者协议栈超时，结果最终用户只能得到一个错误信息。当然这种方式会让黑客无法判断某端口到底是关闭了还是没有使用。

       ...防火墙分为软件防火墙和硬件防火墙两种。软件防火墙是安装在pc平台的软件产品，它通过在操作系统底层工作来实现网络管理和防御功能的优化。但对国内市场上的硬件防火墙产品介绍仔细研读后，记者发现，对于硬件防火墙的定义，厂商们似乎仍莫衷一是。大多数厂商对产品的介绍，往往用大量的篇幅向消费者灌输产品的防护功能，而关于防火墙的实际配置，则基本没有提及。

       查阅国内外大量资料后，发现硬件防火墙一般有着这样的核心要求：它的硬件和软件都需要单独设计，有专用网络芯片来处理数据包；同时，采用专门的操作系统平台，从而避免通用操作系统的安全性漏洞。对软硬件的特殊要求，使硬件防火墙的实际带宽与理论值基本一致，有着高吞吐量、安全与速度兼顾的优点。

       而国内市场的硬件防火墙，大部分都是所谓的“软硬件结合的防火墙”，采用的是定制机箱+x86硬件架构+防火墙软件模块(大多数是基于unix类系统下开发的)，而且是pc box结构。这种防火墙的核心技术实际上仍然是软件，吞吐量不高，容易造成带宽瓶颈。并且pc架构本身就不稳定，更不可能长时间运行。

       一、防火墙的概念

       1. 最初含义：当房屋还处于木制结构的时侯，人们将石块堆砌在房屋周围用来防止火灾的发生。这种墙被称之为防火墙 。

       2. Rich Kosinski(Internet Security公司总裁）：

        防火墙是一种访问控制技术，在某个机构的网络和不安全的网络之间设置障碍，阻止对信息资源的非法访问。换句话说，防火墙是一道门槛，控制进/出两个方向的通信。

       3. William Cheswick和Steve Beilovin（1994）：

       防火墙是放置在两个网络之间的一组组件，这组组件共同具有下列性质：

       （1）只允许本地安全策略授权的通信信息通过；

       （2）双向通信信息必须通过防火墙；

       （3）防火墙本身不会影响信息的流通。

       4. 防火墙是位于两个信任程度不同的网络之间（如企业内部网络和Internet之间）的软件或硬件设备的组合，它对两个网络之间的通信进行控制，通过强制实施统一的安全策略，防止对重要信息资源的非法存取和访问以达到保护系统安全的目的。

       注意：防火墙主要用于保护安全网络免受不安全网络的侵害。

       典型情况：安全网络为企业内部网络，不安全网络为因特网。

       但防火墙不只用于因特网，也可用于Intranet各部门网络之间。（内部防火墙）。E.g.：财务部与市场部之间。

       5. 在逻辑上，防火墙是分离器，限制器，也是一个分析器，有效地监控了内部网和外部网之间的任何活动，保证了内部网络的安全。

       在物理上，防火墙通常是一组硬件设备——路由器、主计算机，或者是路由器、计算机和配有软件的网络的组合。

       防火墙一般可分为多个部分，某些部分除了执行防火墙功能外还执行其它功能。E.g.：加密和解密——***。

       6. 防火墙的实质是一对矛盾（或称机制）：限制数据流通，允许数据流通。

       两种极端的表现形式：除了非允许不可的都被禁止，安全但不好用。（限制政策）；除了非禁止不可的都被允许，好用但不安全。（宽松政策）

       多数防火墙都在两种之间采取折衷。

       在一个没有防火墙环境中，网络安全完全依赖于主机安全，并且在某种意义上所有主机都必须协同达到一个统一的高安全标准。基于主机的安全伸缩性不好：当一个站点上主机的数量增加时，确定每台主机处于高安全级别之上，势必会使性能下降。如果某个网络软件的薄弱点被发现，没有防火墙保护的站点必须尽可能快地更正每个暴露的系统，这并不现实，特别是在一些不同版本的操作系统正被使用时。

       二、防火墙的作用

       1. 网络安全的第一道防线（防盗门、战壕、交通警察、门卫）

       2. 防火墙是阻塞点，可强迫所有进出信息都通过这个唯一狭窄的检查点，便于集中实施安全策略。

       3. 防火墙可以实行强制的网络安全策略，E.g.：禁止不安全的协议NFS，禁止finger 。

       4. 对网络存取和访问进行监控审计。E.g.:网络使用和滥用的记录统计。

       5. 使用内部防火墙可以防止一个网段的问题传播到另一个网段。

       三、防火墙体系结构

       1. 基本原理

        （1）防火墙是网络之间的一种特殊的访问控制设施，放置在网络的边界上，用于隔离Internet的一部分，限制其与Internet其他部分之间数据的自由流动，在不可靠的互连网络中建立一个可靠的子网。

        （2）安全域：一个计算机子网中具有相同安全政策的计算机的集合。

        （3）过滤器：本地安全政策的具体体现，对穿越的流量实施控制以阻止某一类别的流量。

       2. 防火墙分类

        （1）IP级防火墙，又称报文过滤防火墙。

       原理：在路由软件中根据报文的信源、信宿及服务类型来实现报文过滤功能。

       特点：网络性能好，透明、方便；不能针对特定用户和特定请求，粒度不够。

        （2）应用级防火墙，又称代理防火墙。

        原理：双穴主机隔离内外直接连接，为两端代理服务请求。

        特点：不存在直接报文交换，安全性好，粒度精确完备；但效率低，只能针对专门服务，有局限性。

        （3）链路级防火墙

        原理：双穴主机提供通用的TCP/UDP连接中继服务。

       3. 防火墙的使用

       （1）一般原则

       1）防火墙的使用是以额外的软硬件设备和系统性能的下降为代价的。

       2）防火墙的设置取决于对网络的安全防卫要求和所能承受的经济能力，以及系统被攻破之后可能产生的后果的严重性。

       3）防火墙适用于保护内部主机安全管理不太严格的大型组织机构。

       （2）防火墙的使用形式

        1）路由器过滤方式防火墙

        在内部网与外部网的关键路径上设置一台带有报文过滤功能的路由器，通过设置过滤规则准确完备地表达本地网络的安全政策。

        2）双穴信关方式防火墙

        双穴主机使用两个接口分别连接内部和外部网络，并隔离两个网络之间的直接IP报文交换。分为代理服务和用户直接登录两种访问控制方式。

        3）主机过滤方式防火墙

        提供安全保护的堡垒主机仅与内部网相连，通过过滤路由器连接内部网和外部网，外部网只能访问堡垒主机。更具安全性和可操作性。

        4）子网过滤方式防火墙：DMZ方式（非军事区方式）

        在主机过滤的基础上增加子网过滤，用过滤子网隔离堡垒主机与内部网，减轻攻击者入侵堡垒主机后对内部网的冲击。

        5）内部防火墙

        用于大型网络内部子网分隔，以阻止访问控制中信赖关系的传递转移。

       （3）使用防火墙的问题

        1）灵活性差，不能满足网络互连的复杂形式。

        2）防火墙重点防卫网络传输，不保证高层协议的安全。

        3）防火墙必须设置在路由的关键点，且安全域内不能存在备份的迂回路由。

       4. 防火墙的管理

        （1）防火墙日志：用于安全追踪。

        （2）备份：防火墙系统的所有配置文件和系统文件。

       四、IP级防火墙

       1. 工作原理

        （1）多端口交换设备，根据报文报头执行过滤规则来进行报文转发。

        （2）传输控制表

       1）定义过滤规则，报文依次运用每一条规则直至匹配的规则，然后执行对应的操作。

        2）传输控制表的建立：安全政策→形式化描述→防火墙软件语法格式

        3）制定过滤规则：规则之间并不互斥，长前缀匹配优先。

        4）不同的IP级防火墙产品有不同的传输控制表格式。

       2. 报文过滤规则

        （1）SMTP处理：服务器端口25，客户机端口>1023

        （2）POP处理：服务器端口110，客户机端口>1023

        （3）HTTP处理：服务器端口80，客户机端口>1023

        （4）FTP处理：服务器控制连接端口21，数据连接端口20，客户机端口>1023

        （5）Telnet处理：服务器端口23，客户机端口>1023

        （6）DNS处理：服务器端口53，客户机端口>1023

        （7）RPC处理：端口映射服务器111，不提倡在不安全环境中提供RPC服务

        （8）UDP处理：很难控制和验证，通过应用级防火墙拒绝UDP报文

        （9）ICMP处理：容易遭受DOS攻击，ICMP过滤范围取决于网络的管理域

        （10）路由处理：应阻止内部路由信息出去，同时阻止外部路由信息进来

        （11）IP分段报文处理：取决于网络的安全要求，必要时应设置上下文

        （12）IP隧道：由于开销过大，一般IP级防火墙不对IP隧道进行过滤

       3. 内部路由与防火墙的混合结构

        内部网使用一个路由器同时处理内部路由和外部防火墙功能，此时防火墙的定义要针对路由器的端口进行，需要路由器各端口的路由表配合。

       4. IP防火墙的政策控制

        （1）鉴别：验证用户的标识

        （2）授权：判定用户是否有权访问所申请的资源。

       5. 源点鉴别

        （1）目的：防止盗用资源和服务失效攻击

        （2）验证形式：抽样检查

       1）对报文流当场进行抽样检查

       2）一边转发，一边抽样进行后台检查

       3）将样本记入日志，事后进行审计

        （3）鉴别方法：过滤标准，临时口令，报文摘录，报文签名

       6. IP级防火墙技术评价

        （1）优点（P191）

        （2）目前存在的问题（P192）

       五、应用级防火墙

       1. 基本原理

        （1）在堡垒主机中使用应用代理服务器控制内部网络与外部网络的报文交换。

       （2）优点

       1）对特定的应用服务在内部网络内外的使用实施有效控制，具有很强的针对性和专用性。

        2）内部网络中的用户名被防火墙中的名字取代，增加了攻击者寻找攻击对象的难度。

        3）可以对过往操作进行检查和控制，禁止了不安全的行为。

       4）提供报文过滤功能，还能实现对传输时间、带宽等进行控制的方法。

        （3）缺点

       1）通用性较差，需要为每个应用协议配置不同的代理服务器。

       2）需要对正常的客户软件进行相应的调整或修改。

       3）新服务的出现和对应代理的出现存在较大延迟，成为新的不安全因素。

        （4）设计原则（P193）

       1）不允许内部网络与外界直接的IP交互，要有边界防火墙。

       2）允许内部用户发起向外的FTP和Email，但可以通过代理进行审计。

       3）外部网络用户是不可信任的，要有鉴别功能。

       4）内部用户所使用的涉及外部网络的服务应该是可控制的。

       5）防火墙的功能是针对外部网络访问的。

       好了，关于“硬件防火墙是什么意思”的话题就讲到这里了。希望大家能够对“硬件防火墙是什么意思”有更深入的了解，并且从我的回答中得到一些启示。