iptables 與硬體防火牆

除了（可能的）效能問題之外，需要記住的一件事是，如果您的防火牆與其保護的伺服器不在同一台伺服器上，如果有人以某種方式做訪問網路伺服器，他們仍然無法破壞防火牆，這意味著他們無法更改您的傳出規則等。

也可以設定單獨的防火牆不具有任何透過網路存取它的方式，這再次增強了其免受篡改的防禦能力。

請記住，對於作為一個單獨的盒子的軟體防火牆也是如此，它不一定是硬體防火牆。

如果您想保護整個網路的一部分，我會使用硬體防火牆；如果您想保護特定應用程序，我會使用軟體防火牆。硬體可以保護您的空間免受整體環境之外的入侵者的侵害，而軟體甚至可以保護特定功能免受環境其他部分的侵害。

也就是說，在這種情況下，您保護的是單一盒子，所以我只會使用該軟體。在您考慮使用多個 Web 伺服器之前，效能損失應該不會太嚴重，在這種情況下，您需要查看硬體路線。

是的，正如其他地方所指出的，硬體防火牆總體上往往更可靠。如果您必須經常修改它們，那麼設定和保持直線也會更加痛苦。關於讓可疑流量到達與 Web 伺服器分離的裝置來提高安全性的觀點是很好的，但我的觀點是，整體安全性的提高並不能透過單一伺服器層級的額外成本來證明。的例外）。一個成熟的軟體防火牆，設定簡單，並且在定期維護的伺服器上，除了其 Web 功能所需的服務之外，沒有運行任何其他服務，現在應該是穩定和安全的。或者，至少在您開始利用 HTTP 流量上的緩衝區溢位漏洞之前，防火牆無論如何都無法擷取。

除非有中繼點擊，否則它始終是軟體防火牆。你只是希望該軟體足夠晦澀難懂，以至於沒有人知道如何破解它。

我曾經擁有許多基於 IPTables 的 Linux 防火牆、Cisco PIX 和現成的消費者盒子。在所有防火牆中，Linux 防火牆需要重新啟動的問題最少。大多數已超過 2 年以上的同意正常運作時間。我傾向於在系統需要重新啟動之前讓 UPS 中的電池耗盡。

05:35:34 更新 401 天，4:08，1 個用戶，平均負載：0.02、0.05、0.02 我在 401 天前更換了 UPS。

在 30 個 Cisco PIX 防火牆中，有 3 個在 2 年後失效，另外 5 個必須每 2 個月左右重新啟動一次。

「硬體」防火牆的一大優點通常是尺寸緊湊，並且希望沒有移動部件。

我發現波蘭大學的一篇研究論文軟硬體防火牆分析。

我將添加本文的結論，並以粗體突出顯示最相關的部分。

據觀察，防火牆的吞吐量很大程度取決於透過網路傳輸的資料包的大小。當封包長度等於或大於 1 kB 時，吞吐量最高，非常接近直接連接的容量，對於較小的封包長度，吞吐量則低得多。我們可以得出結論，在使用網路防火牆時，封包的最佳大小是 1 kB。非常有趣的結論是基於軟體的防火牆的效能與硬體防火牆的效能相同。

事實證明，硬體和虛擬防火牆能夠抵抗拒絕服務攻擊。如文件所示，它們具有內建的 DoS 保護機制。我們確信這些機制是有效的。軟體防火牆的安全等級其實等於主機作業系統的安全等級。