【IT168 安全】防火墙技术是最早发展的安全技术，也是应用最普遍的安全技术，随着互联网的爆炸式发展，企业对互联网的应用日益依赖，安全的问题就变得越来越来重要。防火墙的作用，可以用一句话来概括：允许符合企业安全策略的数据进入或出去。

　　防火墙技术发展到现在，按照发展的不同阶段，主要有如下几种：

　　包过滤防火墙

　　工作在网络层，提供基于地址(源地址和目的地址)、协议、端口(源端口和目的端口)的访问控制。

　　应用代理防火墙

　　工作在应用层，提供基于应用级的访问控制，有能力实现对数据包进行详细的检测，能够在服务器和客户端之间充当网关，对企业的网络系统提供更高的安全保护和严格访问控制。

　　状态检测防火墙

　　工作在数据链路层和网络层之间，能够监控七层的通信状态信息，动态建立连接表，跟踪和控制通过防火墙的数据流，特别是对于无连接协议(如 UDP)和需要动态开放端口的程序(如 FTP)，能够提供更加安全的保护、控制。

　　在选择防火墙产品的时候，主要有如下几种

　　软件防火墙

　　最早的防火墙产品，发行介质以软件为主，安装在网络操作系统上，如Windows NT、Windows 2000、Sun Solaris、Linux 等。安全风险极大，软件防火墙的安全主要依靠操作系统来保证。而操作系统由于代码的复杂庞大，安全漏洞永远存在，所以，软件防火墙发展到现在，几乎不再单独发行，而采用联盟的方式发展，通过结合第三方硬件厂商，或自身发展，以硬件的形式发行。

　　PC 结构防火墙

　　PC 结构的防火墙虽然不再以软件介质的方式发行，但由于其实现的技术是基于 PC 结构，在稳定性和无故障运行时间上，都处于很大的劣势，对于采用此类防火墙的企业来说，都会给企业的整个网络带来极大的潜在安全威胁。

　　ASIC 硬件结构防火墙

　　唯一得到业界承认的真正硬件防火墙，区别于以上两种防火墙，此类防火墙对于企业来说，在稳定性、自身安全保护、无故障运行时间保证、防御攻击等方面，都是不错的选择。

　　NETGEAR 防火墙是一种整合式动态包过滤的网络安全硬件设备，采用专用的 ASIC 硬件结构，专为互联网网络安全而设计，将防火墙、VPN 和动态域名支持等功能集于一体，能够很好的满足不同场合对数据安全的需求。多数的 NETGEAR 防火墙集成了硬件加速的 IPSec 加密算法性能、低延时，可以无缝地部署到任何网络中。

　　下图为 NETGEAR 防火墙设备部署示意图。

　　FR538G 是 NETGEAR 公司最新推出的防火墙产品，它支持丰富的网络安全功能，特色鲜明，特别适合中小型企业IT安全建设的需求。

　　出色的数据转发功能

　　针对目前千兆企业的日益流行，FR538G 设计成为一款全千兆具备防火墙功能的路由器产品，其配置有8个千兆网络端口――4个千兆广域网端口+4个千兆局域网端口。具有超高的数据传输速率，1024字节下可以达到100%线速转发率(最大值. 500Mbps)

　　主动ARP防御攻击

　　ARP 网络攻击，是目前大多数企业面临的一个很棘手的问题。NETGEAR 企业专用路由器 FR538G 具备主动 ARP 免疫功能。利用其免费 ARP 以及 IP+MAC 地址绑定功能，可以确保局域网内的每一台 PC的 IP 和 MAC 地址一一对应，能有效的防范网络 ARP 欺骗攻击。

　　自动链路负载均衡机制

　　大多数的企业出于安全考虑，一般都有两条以上的广域网接入线路。FR538G 最大支持4条千兆广域网链路，多条外网接入链路能够同时工作。任意一条链路出现故障，路由设备都能自动将数据流量转移到正常端口上。既合理的使用的宝贵的带宽，又提供了额外数据链路备份功能。

　　端口镜像功能

　　FR538G 支持完善的端口镜像功能，端口镜像对于企业的日常运营来讲十分重要，一方面相关管理部门通过镜像端口实现对网络的管理，另一方面，企业管理人员也可以通过镜像端口实时的监控网络数据。

　　除了的企业专用防火墙产品―― FR538G 以外，NETGEAR 还针对不同网络规模的用户开发了一系列集合多种网络功能特性的防火墙产品，大多数的 NETGEAR 防火墙产品在具备防火墙的功能的同时还支持多种 VPN 特性及接入方式。下图为 NETGEAR 公司的防火墙产品以及其适用的场合。