硬件防火墙和用普通PC机加软件实现的防火墙有什么区别？

root83

硬件防火墙和用普通PC机加软件实现的防火墙有什么区别？

　　我是新手，最近单位新建局域网（目前100台PC，远期可能上到250台），上级要求用指定品牌的防火墙，但价格奇高，单位领导不想用指定的品牌。我考虑用一台普通的PC机加双千兆网卡和Linux做一台防火墙，做网络工程的技术人员说：专业防火墙工作在链路层，普通PC机做的防火墙工作在软件层，因此转发率比专业防火墙要低。我想问的是技术人员说的对吗？转发率要比专业防火墙低多少？

puding

总体来说，硬件的比软件的强。。。。

我说的硬墙指的是有ASIC，运行专用的软件，像PIX，SonicWall，等等
基于这个标准，国产的有一大半都不算硬件的。

纯硬件的代表应该是NetScreen，纯软件的代表应该是CheckPonit。

ssffzz1

也不完全对。
防火墙本身的工作就是根据既定的规则，来过滤或者转发数据包。而普通的PC做防火墙，所有的匹配过程都是用的通用操作系统+纯软件的实现。在加之硬件体系结构本身的限制，造成转发效率比较低。
而硬件防火墙有部分工作用专用的芯片即硬件来完成，加之专用优化的网络架构，效率通常比较高。

但是由于防火墙工作的层面比较高，对软件的依赖性比较大，因此这方面的差别并不像交换机路由器那么明显。譬如CISCO的PIX5系列，就是I386体系+8255x系列网卡，并且CPU才是P3 550左右。如果你单位的要求不是工业级的话，估计PC也够了。

root83

我们单位是国家机关，我们的局域网还要和上级的网相联，上级因为保密的需要，指定局域网必须用指定品牌的防火墙，说这样才能符合保密要求，并且便于管理。请问是这个道理吗？难道普通PC机做的防火墙就不符合保密要求吗？

ssffzz1

LZ是干机关单位的，这点窍门肯定懂了。
很多市面上的防火墙都是PC改的。用PC做防火墙不存在保密不保密的问题。只要上边的接入方式支持就可以了。

root83

上级说：如果不采用指定品牌，将来就不能保证与上级的网相联，到时相关的应用就会受到限制。

ssffzz1

哈哈，都这么说的。

建议你等晚一些买，先看看别的单位买的是什么东西，跑什么协议，如何接入，路由如何处理，再决定PC合适否。

root83

能和版主QQ一下吗？我的QQ是：546566855

justcustom

原帖由 root83 于 2007-9-22 22:00 发表
上级说：如果不采用指定品牌，将来就不能保证与上级的网相联，到时相关的应用就会受到限制。

不管怎么样，机关中不稀罕你为它省钱。用的是自己的精力，什么都你扛着累不累啊。就怕它不买特别是贵的玩意思，买了就自已玩玩。
OS的自己想什么时候弄都可以。

[ 本帖最后由 justcustom 于 2007-9-23 22:07 编辑 ]

root83

原帖由 justcustom 于 2007-9-23 22:04 发表



不管怎么样，机关中不稀罕你为它省钱。用的是自己的精力，什么都你扛着累不累啊。就怕它不买特别是贵的玩意思，买了就自已玩玩。
OS的自己想什么时候弄都可以。

关键是过了这个时候，再想花钱就不是那么容易了。