Насколько мне известно некоторые атаки можно отразить только при использовании аппаратного файрвола. По какой причине аппаратный файрвол лучше программного?

А кто сказал что он лучше ? , "на вкус и цвет товарисчей нет" или "каждому свое". Да и вообще апаратный этот тодже самый програмный просто постоеный вместо РС на других "железяках" и ПО.

_________________
DI808HV, DFL210, DFL800, DAS 3216 B1, DAS 3248DC revВ, ADSL 25**

програмные файрволы обычно лучше дружат с 7м уровнем OSI ,потому и иногда могут то чего не умеют аппратные, хотя в том же DFL есть поддержка ALG., и на уровне приложения вы тоже кое что сможете делать. А во всём остальном преимущества у программного нет....разве что цена ж)

Аппаратные файрволы (хотя по факту - они тоже программные) чаще всего имеют специфичную ОС и аппаратное обеспечение, заточенное только под конкретные сетевые нужны. Ведь для сравнения - на DFL-210 стоит процессор 266 мгц и 128 мб памяти - а производительность работы по сети как у нехилого программного (с классической ОС). Работает непреклонная истина - специализированное устройство лучше/дешевле (в своей области), чем универсальное.

С другой стороны, основные минусы обычного РС в роли маршрутизатора/файрвола
1) наличие движущихся частей, которые приходят в негодность (не надо говорить о пассивке и SSD, цены заоблачные)
2) большие требования к внешней среде и более высокое энергопотребление
3) незаточенность ОС под специфичные нужны (если тот же Linux можно пропатчить, то Windows - уже очень сложно), а реализации на прикладном уровне - медленные
4) опциональная стоимость лицензий на софт (хотя у железок тоже бывают лицензии)
5) сложность реализации специфичных аппаратных конфигураций - те же 8 гигабиных портов, как у DFL-2500 сделать будет непросто, или будет стоить как танк
6) если вспоминать тот же Linux и другие open source продукты, то аппаратные решения обычно проще для освоения, но тут уже кому как

Однако, софтовые решения, как было уже написано, обладают огромной гибкостью. Чего стоит адаптивный анализ НТТР трафика (сквид + скрипты по статистике) или антивирусная проверка в KWF - эвристическая, а не сигнатурная (не путать с DFL-260/860). Про кеш я вообще молчу. Да и про нормальный DNS, без которого ни один более-менее большой офис не может прожить.

Лично мое мнение - оптимальное решение - аппаратный шлюз/файлвол, сервер для внутренних сервисов и прозрачный прокси если есть активный серфинг и необходимость экономить трафик (можно, конечно, совместить серверы).

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

Спасибо. Ответ на свой вопрос получил.