防火墙具有很好的保护作用。入侵者必须首先穿越防火墙的安全防线，才能接触目标计算机。你可以将防火墙配置成许多不同保护级别。高级别的保护可能会禁止一些服务，如视频流等。个人防火墙的两种技术实现：墙的工作是监控网络进出的数据流，对用户认为危险或者有害的数据流向进行禁止或者监控，其核心功能是网络数据包的监控于分析过滤。从底层看，NDIS的中间驱动由于是在网卡驱动程序和传输驱动程序之间插入了一层，所以可以截获较为底层的封包，可以完成更为低级（最底层的是在网卡驱动程序层截获，但前面阐述过在网卡驱动程序层做网络数据包截获没有实现价值）的操作，不会有网络数据包从这里旁路，因此其最大的优点是安全系数高，但需要指出的是，NDIS层次上的网络操作不采用标准的I/O模式（IRP）形式，因此不能确定某个网络操作是由哪个进程引起的。个人用户看不到网络数据是源于哪个进程，就不容易让用户自定义过滤包规则，这是个非常大的遗憾和缺陷。当然。越靠近底层的驱动程序编写可移植性和健壮性越难保证，编码复杂也是其一个缺点。过滤驱动程序，由于采用标准的WindowsI/O请求（IRP），它没有NDIS中间层驱动的不能得到进程信息的缺点，但由于它工作在传输驱动程序Tcpip.sys之上，由Tepip.sys接收后直接处理的数据包是不会传递到上层TDI过滤驱动程序的，如ICMP协议的应答包。Ping和Traeert就是利用ICMP来探测网络的可达性和跟踪路由。NDIS中间驱动和TDI过滤驱动，都是32位Windows平台上才提供的方法。整个NDIS规范和TDI的概念，是在WindowsNT平台上提出和得到发展的，以后的Windows2000，WindowsXP都支持，但以前的Windows98和WindOWSMe都不支持。因此如果要开发一个通用的Windows平台下的个人防火墙软件，这两种方法是不适合的。对于用户态下的SPI方法，它使用DLL监控使用Winsock调用进行网络通信的网络数据包。它工作在TDI客户之上，所有的用户进程之下，因此对于用户进程交给它的网络请求和意图非常清楚——在经过底层的分段（IP分段）之前，对用户进程的行为，目的可以更直观的了解，非常适合做内容过滤。并且其截获的所有Winsock调用广泛地被所有Windows平台支持。另外编程相对简单，平台适应性好。其最大的缺点是有的网络程序使用TDI接口提供的一些函数例程直接发起通信的发送和接收，用户态的数据包截获技术对此类程序无能为力。另外，和TDI方法一样，对那些由Tcpip.sys接收后直接处理的数据包，如利用ICMP协议的应答包进行探测网络可达性的Ping和Tracert等，由于它位于TDI的更上层，用户态的数据包截获技术对此旁路无能为力。合项目目标，要实现通用于Windows平台的个人防火墙系统只有采用SPI包过滤技术路线进行开发。另外，个人防火墙系统应能详细记录各种进程的访问网络信息，而应用层截获能最早得到应用层进程的发送数据包信息，能得到最完整的接收方发送的数据包信息，因而能实现记录最丰富网络访问信息的个人防火墙系统。或者可以认为，若须记录最详细的进程访网信息，必须使用SPI包过滤技术。千兆防火墙的两种技术实现要实现真正的千兆防火墙，目前的技术途径基本上有两条：一种是采用网络处理器，另一种是采用ASIC。下面我们来分析一下这两种技术架构各自的特点。网络处理器是专门为处理数据包而设计的可编程处理器，它的特点是内含了多个数据处理引擎，这些引擎可以并发进行数据处理工作，在处理2到4层的分组数据上比通用处理器具有明显的优势。网络处理器对数据包处理的一般性任务进行了优化，如TCP/IP数据的校验和计算、包分类、路由查找等。同时硬件体系结构的设计也大多采用高速的接口技术和总线规范，具有较高的I/O能力。这样基于网络处理器的网络设备的包处理能力得到了很大的提升。它具有以下几个方面的特性：完全的可编程性、简单的编程模式、最大化系统灵活性、高处理能力、高度功能集成、开放的编程接口、第三方支持能力。基于网络处理器架构的防火墙与基于通用CPU架构的防火墙相比，在性能上可以得到很大的提高。网络处理器能弥补通用CPU架构性能的不足，同时又不需要具备开发基于ASIC技术的防火墙所需要的大量资金和技术积累，最近在国内信息安全厂商中备受关注，成为国内厂商实现高端千兆防火墙的热门选择。第二种方案是采用基于ASIC技术的架构。Netscreen是采用该技术的代表厂家。采用ASIC技术可以为防火墙应用设计专门的数据包处理流水线，优化存储器等资源的利用，是公认的使防火墙达到线速千兆，满足千兆环境骨干级应用的技术方案。Netscreen公司也因此取得了令人瞩目的成功。但ASIC技术开发成本高、开发周期长且难度大，一般的防火墙厂商难以具备相应的技术和资金实力。