全面分析防火墙及防火墙的渗透(6)

　　如果攻击者试图完全破坏防火墙，他必须重新配置连接三个网的路由器，既不切断连接又不要把自己锁在外面，同时又不使自己被发现，这样也还是可能的。但若禁止网络访问路由器或只允许内网中的某些主机访问它，则攻击会变得很困难。在这种情况下，攻击者得先侵入堡垒主机，然后进入内网主机，再返回来破坏屏蔽路由器，整个过程中不能引发警报。

　　建造防火墙时，一般很少采用单一的技术，通常是多种解决不同问题的技术的组合。这种组合主要取决于网管中心向用户提供什么样的服务，以及网管中心能接受什么等级风险。采用哪种技术主要取决于经费，投资的大小或技术人员的技术、时间等因素。一般有以下几种形式：

　　1、使用多堡垒主机；

　　2、合并内部路由器与外部路由器；

　　3、合并堡垒主机与外部路由器；

　　4、合并堡垒主机与内部路由器；

　　5、使用多台内部路由器；

　　6、使用多台外部路由器； 　

　　7、使用多个周边网络； 　

　　8、使用双重宿主主机与屏蔽子网。

　　随着人们对网络安全意识的提高，防火墙的应用越来越广泛。有钱的用高级硬件防火墙，没钱的用免费的软件防火墙。那么，硬件防火墙和软件防火墙相比，有哪些优点呢？

　　硬件防火墙采用专用的硬件设备，然后集成生产厂商的专用防火墙软件。从功能上看，硬件防火墙内建安全软件，使用专属或强化的操作系统，管理方便，更换容易，软硬件搭配较固定。硬件防火墙效率高，解决了防火墙效率、性能之间的矛盾，可以达到线性。

　　软件防火墙一般基于某个操作系统平台开发，直接在计算机上进行软件的安装和配置。由于客户平台的多样性，软件防火墙需支持多操作系统，如Unix、Linux、SCO-Unix、Windows等，代码庞大、安装成本高、售后支持成本高、效率低。

　　1、性能优势。防火墙的性能对防火墙来说是至关重要的。它决定了每秒钟通过防火墙的数据流量。单位是Bps，从几十M到几百M不等，还有千兆防火墙甚至达到几G的防火墙。而软件防火墙则不可能达到如此高的速率。