硬體防火牆是指把防火牆程式做到晶片裡面，由硬體執行這些功能，能減少CPU的負擔，使路由更穩定。

硬體防火牆是保障內部網路安全的一道重要屏障。它的安全和穩定，直接關係到整個內部網路的安全。因此，日常例行的檢查對於保證硬體防火牆的安全是非常重要的。

硬體防火牆的原理

至於價格高，原因在於，軟體防火牆只有包過濾的功能，硬體防火牆中可能還有除軟體防火牆以外的其他功能，例如CF(內容過濾)IDS(入侵偵測)IPS(入侵防護)以及VPN等等的功能。

也就是說硬體防火牆是指把防火牆程式做到晶片裡面，由硬體執行這些功能，能減少CPU的負擔，使路由更穩定。

硬體防火牆是保障內部網路安全的一道重要屏障。它的安全和穩定，直接關係到整個內部網路的安全。因此，日常例行的檢查對於保證硬體防火牆的安全是非常重要的。

系統中存在的很多隱患和故障在暴發前都會出現這樣或那樣的苗頭，例行檢查的任務就是要發現這些安全隱患，並儘可能將問題定位，方便問題的解決。

(1)包過濾防火牆

包過濾防火牆一般在路由器上實現，用以過濾使用者定義的內容，如IP地址。包過濾防火牆的工作原理是：系統在網路層檢查資料包，與應用層無關。這樣系統就具有很好的傳輸效能，可擴充套件能力強。但是，包過濾防火牆的安全性有一定的缺陷，因為系統對應用層資訊無感知，也就是說，防火牆不理解通訊的內容，所以可能被駭客所攻破。

(2)應用閘道器防火牆

應用閘道器防火牆檢查所有應用層的資訊包，並將檢查的內容資訊放入決策過程，從而提高網路的安全性。然而，應用閘道器防火牆是透過打破客戶機/伺服器模式實現的。每個客戶機/伺服器通訊需要兩個連線：一個是從客戶端到防火牆，另一個是從防火牆到伺服器。另外，每個代理需要一個不同的應用程序，或一個後臺執行的服務程式，對每個新的應用必須新增針對此應用的服務程式，否則不能使用該服務。所以，應用閘道器防火牆具有可伸縮性差的缺點。

(3)狀態檢測防火牆

狀態檢測防火牆基本保持了簡單包過濾防火牆的優點，效能比較好，同時對應用是透明的，在此基礎上，對於安全性有了大幅提升。這種防火牆摒棄了簡單包過濾防火牆僅僅考察進出網路的資料包，不關心資料包狀態的缺點，在防火牆的核心部分建立狀態連線表，維護了連線，將進出網路的資料當成一個個的事件來處理。可以這樣說，狀態檢測包過濾防火牆規範了網路層和傳輸層行為，而應用代理型防火牆則是規範了特定的應用協議上的行為。

(4)複合型防火牆

複合型防火牆是指綜合了狀態檢測與透明代理的新一代的防火牆，進一步基於ASIC架構，把防病毒、內容過濾整合到防火牆裡，其中還包括VPN、IDS功能，多單元融為一體，是一種新突破。常規的防火牆並不能防止隱蔽在網路流量裡的攻擊，在網路介面對應用層掃描，把防病毒、內容過濾與防火牆結合起來，這體現了網路與資訊保安的新思路。它在網路邊界實施OSI第七層的內容掃描，實現了實時在網路邊緣部署病毒防護、內容過濾等應用層服務措施。