近日,由于微软ISA Server软件防火墙的推出,业界关于软硬件防火墙孰优孰劣,已经有不少争论。甚至关于两者的区分也有很多不同的观点,比如,较极端的观点认为,防火墙归根到底都是软件,不存在软硬的区别。这些概念的混乱导致用户在选择产品时也往往不知所从。这里我们从不同的角度来分析两者的区别。根据主要特点,我们可以把运行在通用系统平台上的产品看做是软件防火墙,而运行在专有系统平台或基于硬件逻辑的产品看做是硬件防火墙。这样用户可以比较容易看清两者各自的优势与不足。
硬件防火墙基于专门设计的系统平台和优化过的硬件,因此往往可以达到较高的效率,虽然用途单一,但使用起来也比较简单。更重要的是,硬件防火墙基于专门的设计和优化,比较容易保证自身的安全。同时,硬件防火墙的功能往往比较有限,受专有平台的限制,灵活性欠佳,在升级、修补安全漏洞等方面也不尽如人意。
相比之下,软件防火墙功能强大,灵活性高,能够与现有系统紧密集成,但是系统自身的安全受运行环境的影响比较大,对系统配置的要求相对较高。
因此,用户选择哪一种类型的防火墙产品,应充分考虑企业当前和将来的网络应用需求。对系统安全要求较高,自身有一定的实施和维护能力的用户,比较适于使用软件防火墙;而对于对吞吐量要求较高或者对访问控制力度要求较低的用户,硬件防火墙是比较好的选择。
从技术角度看,软件防火墙受硬件体系结构的制约,最大网络吞吐能力一般比硬件防火墙略低,但却比较容易在多个网络层次上实现复杂的网络管理和访问控制,特别是应用层的访问控制已是企业的普遍需求。从实践中看,软件防火墙在企业部署中占据优势地位,美国的多数企业部署的都是软件防火墙,而硬件防火墙则是电信运营商的首选。这也与软硬件防火墙的优缺点相对应,多数企业有对互联网访问的管理需求,专线连接速度在千兆或千兆以下,且比较关注性价比,这时软件防火墙就是比较理性的选择。