决定应该使用哪种类型的防火墙取决于你要保护对象是什么。本文告诉你硬件防火墙和软件防火墙的区别，以及在哪些情况下需要高级防火墙功能。

    作为一名ISP的系统管理员，我的主要职责就是支持几千用户，确保设备和设施运转正常。根据客户的具体情况，这一工作可能包括维护on-site路由和防 火墙设备，这些设备因客户的具体需求而异。

    在提供互联网接入的时候，ISP通常会为客户提供一个单一的IP地址或者一个子网。我通常会建议访问互联网的人用软件防火墙或者硬件防火墙来保护自 己。

    当然，IT专家们都知道防火墙是用来保护电脑或者网络不受来自互联网的破坏侵袭。但是对于最终用户来说，我认为互联网上有问题的行为在全世界范 围内都很普遍。

    因为公共互联网地址可以从全世界的任何角落进行访问，甚至只要你通过拨号连接到互联网，使用公共IP地址，你的计算机就暴露在互联网上了。这意 味着任何人，只要连接到互联网上，就能够找到你的计算机，而且可能还能够扫描你的计算机，以寻找任何软件或者服务的安全漏洞。这就是你需要用 防火墙来保护计算机的原因。

    硬件防火墙还是软件防火墙

    如同我和我的客户所说的那样，决定使用哪一类的防火墙取决于你要保护的是什么。如果你担心的仅仅是某一台连接互联网的电脑，ZoneAlarm软件防火 墙对于绝大部分人来说已经足够了。

    ZoneAlarm不仅仅会在有人试图访问你的电脑的时候提醒你，当你电脑上的程序试图在未经授权的情况下访问互联网的时候，它也会提醒你。如果访问是 正当的，你可以指示ZoneAlarm记录这个程序，并允许它未来可以访问互联网，无须报警。尽管这不是一个反病毒软件，ZoneAlarm仍然可以探测到特洛 伊木马和间谍软件。

    但是，有时候软件防火墙不能够清除它们。我建议在下列情况下使用硬件防火墙：

    用户需要让多台电脑连接互联网。

    用户需要和主办公室之间的安全连接。

    客户是一个办事处/分支机构。

    一家需要托管电子邮件和Web服务器的公司。

    尽管你可以分享互联网连接，让防火墙软件使用一台计算机作为路由器，我认为这样使用工作站的方式很糟糕。网络里的每个人都要依赖其他电脑的可 靠性。

    如果一台电脑被锁定或者重新启动，它会切断互联网连接。这个时候人们会打电话到ISP去抱怨，即使这个问题并不是ISP造成的。

    硬件防火墙不一定都会很昂贵的。例如NETGEAR和Linksys功能都很不错，而价格也合理。

    你是否需要高级防火墙功能？

    如果客户在家工作或者需要建立一个大企业的分支机构，他们可能需要使用VPN功能。如果客户内部有多台电脑，而只有一个公共IP地址的话，可能还需 要NAT功能。

    如果用户需要一个子网来支持公共互联网服务器，我推荐使用端口转发来隐藏防火墙后面真正的服务。无论你的客户需要什么样的高级功能，他们都应 该选择硬件防火墙来支持这些高级功能。

    另一件需要注意的事情是，远程办公的人员或者是分支机构在购买任何东西之前，都需要通过公司IT部门的批准和检查。我曾经无数次遇到这样的情况 ：由于远程办公的人员或者分支机构在购买设备之前没有获得IT部门的批准，我不得不替换掉设备或者修复VPN的设置。

    无论你的用户具体的需求是什么样的，使用防火墙都能够提高安全性。任何能够将电脑系统或者服务在公共互联网上隐藏起来的措施都有助于降低风险 。

    我个人偏爱使用硬件防火墙，但是使用诸如ZoneAlarm之类的软件还是好过毫无防护。不过，防火墙不能够阻挡病毒和蠕虫控制你的计算机，这通常是反 病毒软件的工作。

    互联网安全包括很多层，防火墙是你客户端安全的第一层防护。