部署安全企业网络 企业级软件防火墙导购篇

核心提示： 而Checkpoint由于架构不依赖硬件，因此理论上功能是可以无限扩充的，部署安全企业网络 企业级软件防火墙导购篇(5)，它能给客户更多的控制和定制功能，同时CheckPoint Firewall-1是一个跨平台防火墙系统，也会对防火墙软件的安全防护带来一定的影响，因此对网络安全性较高的企

而Checkpoint由于架构不依赖硬件，因此理论上功能是可以无限扩充的，它能给客户更多的控制和定制功能。同时CheckPoint Firewall-1是一个跨平台防火墙系统，目前支持Windown 98/NT/2000/XP/2000，SUN OS、SunSolaris、IBM AIX、HP-UN、FreeBSD以及各类Linux系统。就目前来讲CheckPoint Firewall-1是全球认可的软件防火墙产品，不过，CheckPoint公司的产品价格偏高也是一个不足之处。

IPCHAINS

Linux为用户提供了一个非常优秀的防火墙工具IPCHAINS。它完全免费、功能强大、使用灵活、可以对流入和流出的信息进行细化控制，且可以在一台低配置机器上很好地运行。作为Linux系统下的防火墙软件，IPCHAINS其源码可以免费获得，在REDHAT、蓝点的最近几个版本中都带有该软件。IPCHAINS 被用来安装、维护、检查Linux内核的防火墙规则，完成这些只需要一个叫 IPCHAINS 的公开源码的软件包，它是由 Paul “Rusty” Russell 提供的。这个软件具备了许多商业防火墙产品的特征:允许自定义网络通信量的流向，及哪些访问者可以获准进出。IPCHAINS 有两种运行方式:代理服务器和网络地址转换器。前者接收来自受防火墙保护的网络内部机器的数据流，使用用户定义的规则对其进行过滤处理，然后发送给外部网络。

IPCHAINS 本质上是包过滤器。它检查到达网络接口的 IP 包，根据事先定义好的规则进行修改，然后再转发给其它接口。IPCHAINS 的名称来自其工作特点。它能够创建合理过滤步骤，根据用户定义的规则来处理包。这些步骤被”链接”在一起来创建包处理的完整规则体系。这个处理”链条”可以与具体的 IP 地址，或者网络地址相结合。最简单的情况下，IPCHAINS 只执行三种策略:接受、和拒绝。它能接受来自指定 IP 地址或网络的所有包，否决策略丢弃来自特定地方的所有包。拒绝策略则丢弃来自指定源头的包，并且通知该源头其请求的连接被拒绝。

总结：为了更有效率的对付网络上层出不穷的病毒攻击和黑客入侵，防火墙产品也越来越丰富，实际应用中，软件防火墙也成了用户不可缺少的一环。我们在判定一款软件防火墙的好坏，很大程度上要取决于其是否具备灵活的配置选项，以及强有力的入侵检测功能，因为只有这样才能保证在复杂的网络环境中数据的完整性。

虽然，软件防火墙有准确高效的防护性能，但与硬件防火墙相比，软件防火墙自身属于运行于系统上的程序，不可避免的需要占用一部分CPU资源，而且由于操作系统及软件防火墙自身可能存在的安全漏洞，也会对防火墙软件的安全防护带来一定的影响。因此对网络安全性较高的企业用户来说，硬件防火墙与软件防火墙的冗余调度才是理想的解决方案。