前言：想要寫(xiě)出一篇令人眼前一亮的文章嗎？我們特意為您整理了5篇防火墻技術(shù)范文，相信會(huì)為您的寫(xiě)作帶來(lái)幫助，發(fā)現(xiàn)更多的寫(xiě)作思路和靈感。

防火墻技術(shù)范文第1篇

隨著計(jì)算機(jī)和網(wǎng)絡(luò)在社會(huì)中的應(yīng)用的不斷增多，計(jì)算機(jī)和網(wǎng)絡(luò)安壘技術(shù)正變得越來(lái)越重要，部門(mén)能夠使用的安全設(shè)備和軟件的不斷增多，大量數(shù)據(jù)紛紛涌人事件日志，致使網(wǎng)絡(luò)管理員的工作難度越來(lái)越高，負(fù)擔(dān)越來(lái)越重。

二、防火墻技術(shù)

防火墻是一個(gè)由軟件和硬件設(shè)備組合而成，在網(wǎng)絡(luò)之間實(shí)施訪問(wèn)控制的一個(gè)系統(tǒng)，通過(guò)執(zhí)行訪問(wèn)控制策略，限制兩個(gè)網(wǎng)絡(luò)之間數(shù)據(jù)的自由流動(dòng)，通過(guò)控制和檢測(cè)網(wǎng)絡(luò)之間的信息交換和訪問(wèn)行為實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)安全的有效管理。

網(wǎng)絡(luò)防火墻是加強(qiáng)網(wǎng)絡(luò)之間訪問(wèn)控制的設(shè)備，防止外部網(wǎng)絡(luò)用戶(hù)以非法手段通過(guò)外部網(wǎng)絡(luò)進(jìn)人內(nèi)部網(wǎng)絡(luò)，訪問(wèn)內(nèi)部網(wǎng)絡(luò)資源，保護(hù)內(nèi)部網(wǎng)絡(luò)操作環(huán)境的特殊網(wǎng)絡(luò)互聯(lián)設(shè)備。它對(duì)兩個(gè)或多個(gè)網(wǎng)絡(luò)之間傳輸?shù)臄?shù)據(jù)包如鏈接方式按照一定的安全策略來(lái)實(shí)施檢查，以決定網(wǎng)絡(luò)之間的通信是否被允許，并監(jiān)視網(wǎng)絡(luò)運(yùn)行狀態(tài)。

1.防火墻一般有三個(gè)特性：

所有的通信都經(jīng)過(guò)防火墻

防火墻只放行經(jīng)過(guò)授權(quán)的網(wǎng)絡(luò)流量

防火墻能經(jīng)受的住對(duì)其本身的攻擊

我們可以看成防火墻是在可信任網(wǎng)絡(luò)和不可信任網(wǎng)絡(luò)之間的一個(gè)緩沖，防火墻可以是一臺(tái)有訪問(wèn)控制策略的路由器(Route+ACL)，一臺(tái)多個(gè)網(wǎng)絡(luò)接口的計(jì)算機(jī)，服務(wù)器等，被配置成保護(hù)指定網(wǎng)絡(luò)，使其免受來(lái)自于非信任網(wǎng)絡(luò)區(qū)域的某些協(xié)議與服務(wù)的影響。所以一般情況下防火墻都位于網(wǎng)絡(luò)的邊界，例如保護(hù)企業(yè)網(wǎng)絡(luò)的防火墻，將部署在內(nèi)部網(wǎng)絡(luò)到外部網(wǎng)絡(luò)的核心區(qū)域上。

2.防火墻將保護(hù)以下三個(gè)主要方面的風(fēng)險(xiǎn)：

機(jī)密性的風(fēng)險(xiǎn)

數(shù)據(jù)完整性的風(fēng)險(xiǎn)

用性的風(fēng)險(xiǎn)

3.防火墻的主要優(yōu)點(diǎn)如下：

防火墻可以通過(guò)執(zhí)行訪問(wèn)控制策略而保護(hù)整個(gè)網(wǎng)絡(luò)的安壘，并且可以將通信約束在一個(gè)可管理和可靠性高的范圍之內(nèi)。

防火墻可以限制某些特殊服務(wù)的訪問(wèn)。

防火墻功能單一，不需要在安全性、可用性和功能上做取舍。

防火墻有審記和報(bào)警功能，有足夠的日志空間和記錄功能，可以延長(zhǎng)安全響應(yīng)的周期。

4.防火墻也有許多弱點(diǎn)：

不能防御已經(jīng)授權(quán)的訪問(wèn)，以及存在于網(wǎng)絡(luò)內(nèi)部系統(tǒng)間的攻擊。

不能防御合法用戶(hù)惡意的攻擊，以及社交攻擊等非預(yù)期的威脅。

不能修復(fù)脆弱的管理措施和存在問(wèn)題的安全策略。

不能防御不經(jīng)過(guò)防火墻的攻擊和威脅。

5.根據(jù)防火墻所采用的技術(shù)不同，我們可以將它分為四種基本類(lèi)型：包過(guò)濾型、網(wǎng)絡(luò)地址轉(zhuǎn)換一NAT、型和監(jiān)測(cè)型。

包過(guò)濾型

包過(guò)濾型產(chǎn)品是防火墻的初級(jí)產(chǎn)品，其技術(shù)依據(jù)是網(wǎng)絡(luò)中的分包傳輸技術(shù)。包過(guò)濾技術(shù)的優(yōu)點(diǎn)是簡(jiǎn)單、實(shí)用和成本較低，在應(yīng)用環(huán)境比較簡(jiǎn)單的情況下，能夠以較小的代價(jià)在一定程度上保證系統(tǒng)的安全。

包過(guò)濾技術(shù)也有明顯的缺陷。包過(guò)濾技術(shù)是一種完全基于網(wǎng)絡(luò)層的安全技術(shù)，只能根據(jù)數(shù)據(jù)包的來(lái)源、目標(biāo)和端口等網(wǎng)絡(luò)信息進(jìn)行判斷，無(wú)法識(shí)別基于應(yīng)用層的惡意侵人，如惡意的Java小程序以及電子郵件中附帶的病毒。有經(jīng)驗(yàn)的黑客很容易偽造IP地址，騙過(guò)包過(guò)濾型防火墻。

網(wǎng)絡(luò)地址轉(zhuǎn)化―NAT

網(wǎng)絡(luò)地址轉(zhuǎn)換是一種用于把IP地址轉(zhuǎn)換成臨時(shí)的、外部的、注冊(cè)的IP地址標(biāo)準(zhǔn)。它允許具有私有IP地址的內(nèi)部網(wǎng)絡(luò)訪問(wèn)因特網(wǎng)。它還意味著用戶(hù)不許要為其網(wǎng)絡(luò)中每一臺(tái)機(jī)器取得注冊(cè)的IP地址。

型

型防火墻也可以被稱(chēng)為服務(wù)器，它的安全性要高于包過(guò)濾型產(chǎn)品，并已經(jīng)開(kāi)始向應(yīng)用層發(fā)展。服務(wù)器位于客戶(hù)機(jī)與服務(wù)器之間，完全阻擋了二者間的數(shù)據(jù)交流。其優(yōu)點(diǎn)是安壘性較高，可以針對(duì)應(yīng)用層進(jìn)行偵測(cè)和掃描，對(duì)付基于應(yīng)用層的侵入和病毒都十分有效。缺點(diǎn)是對(duì)系統(tǒng)的整體性能有較大的影響，而且服務(wù)器必須針對(duì)客戶(hù)機(jī)可能產(chǎn)生的所有應(yīng)用類(lèi)型逐一進(jìn)行設(shè)置，大大增加了系統(tǒng)管理的復(fù)雜性。

監(jiān)測(cè)型

監(jiān)測(cè)型防火墻能夠?qū)Ω鲗拥臄?shù)據(jù)進(jìn)行主動(dòng)的、實(shí)時(shí)的監(jiān)測(cè)，在對(duì)這些數(shù)據(jù)加以分析的基礎(chǔ)上，監(jiān)測(cè)型防火墻能夠有效地判斷出各層中的非法侵入。監(jiān)測(cè)型防火墻不僅超越了傳統(tǒng)防火墻的定義，而且在安全性上也超越了前兩代產(chǎn)品。

監(jiān)測(cè)型防火墻由于實(shí)現(xiàn)成本較高，也不易管理，所以目前在實(shí)用中的防火墻產(chǎn)品仍然以第二代型產(chǎn)品為主，但在某些方面也已經(jīng)開(kāi)始使用監(jiān)測(cè)型防火墻：基于對(duì)系統(tǒng)成本與安全技術(shù)成本的綜合考慮，用戶(hù)可以選擇性地使用某些監(jiān)測(cè)型技術(shù)。這樣既能夠保證網(wǎng)絡(luò)系統(tǒng)的安壘性需求，同時(shí)也能有效地控制安全系統(tǒng)的總擁有成本。

6.防火墻的不足

雖然防火墻是目前保護(hù)網(wǎng)絡(luò)免遭黑客襲擊的有效手段，但也有明顯不足：無(wú)法防范通過(guò)防火墻以外的其它途徑的攻擊，不能防止來(lái)自?xún)?nèi)部變節(jié)者和不經(jīng)心的用戶(hù)們帶來(lái)的威脅，也不能完全防止傳送已感染病毒的軟件或文伴，以及無(wú)法防范數(shù)據(jù)驅(qū)動(dòng)型的攻擊。

這樣各單位均通過(guò)其他手段進(jìn)行安全強(qiáng)化，如：入侵監(jiān)測(cè)、殺毒軟件、網(wǎng)絡(luò)監(jiān)控、網(wǎng)絡(luò)認(rèn)證等。

雖然從理論上看，防火墻處于網(wǎng)絡(luò)安全的最底層，負(fù)責(zé)網(wǎng)絡(luò)間的安全認(rèn)證與傳輸，但隨著網(wǎng)絡(luò)安全技術(shù)的整體發(fā)展和網(wǎng)絡(luò)應(yīng)用的不斷變化，現(xiàn)代防火墻技術(shù)已經(jīng)逐步走向網(wǎng)絡(luò)層之外的其他安全層次。不僅要完成傳統(tǒng)防火墻的過(guò)濾任務(wù)，同時(shí)還能為各種網(wǎng)絡(luò)應(yīng)用提供相應(yīng)的安全服務(wù)。另外還有多種防火墻產(chǎn)品正朝著數(shù)據(jù)安全與用戶(hù)認(rèn)證、防止病毒與黑客侵入等方向發(fā)展。

防火墻技術(shù)范文第2篇

關(guān)鍵詞：防火墻；包過(guò)濾；自適應(yīng)；分布式防火墻

中圖分類(lèi)號(hào)：TP309.5文獻(xiàn)標(biāo)識(shí)碼：A文章編號(hào)：1009-3044(2010)20-5444-02

1 防火墻及其發(fā)展

1.1 防火墻的定義

防火墻的本義原是指古代人們之間修建的那道墻，這道墻可以防止火災(zāi)發(fā)生的時(shí)候蔓延到別的房屋。而這里所說(shuō)的防火墻是指設(shè)置在不同網(wǎng)絡(luò)（如可信任的企業(yè)內(nèi)部網(wǎng)和不可信的公共網(wǎng)）或網(wǎng)絡(luò)安全域之間的一系列部件的組合。它是不同網(wǎng)絡(luò)或網(wǎng)絡(luò)安全域之間信息的唯一出入口，能根據(jù)企業(yè)的安全政策控制（允許、拒絕、檢測(cè)）出入網(wǎng)絡(luò)的信息流，且本身具有較強(qiáng)的抗攻擊能力。

1.2 防火墻的工作原理

所有的防火墻都具有IP地址過(guò)濾功能。這項(xiàng)任務(wù)要檢查 IP包頭，根據(jù)其IP源地址和目標(biāo)地址和目標(biāo)地址作出放行/丟棄決定。例如：兩個(gè)網(wǎng)段之間隔了一個(gè)防火墻，防火墻的一端有臺(tái)UNIX計(jì)算機(jī)，另一邊的網(wǎng)段則擺了臺(tái)PC客戶(hù)機(jī)。當(dāng)PC客戶(hù)機(jī)向UNIX計(jì)算機(jī)發(fā)起telnet請(qǐng)求時(shí)，PC的telnet客戶(hù)程序就產(chǎn)生一個(gè)TCP包并把它傳給本地的協(xié)議棧準(zhǔn)備發(fā)送。接下來(lái)，協(xié)議棧將這個(gè)TCP包“塞”到一個(gè)IP包里，然后通過(guò)PC機(jī)的TCP/IP棧所定義的路徑將它發(fā)送給UNIX計(jì)算機(jī)。防火墻的目的和功能通常應(yīng)用防火墻的目的有一下幾個(gè)方面：限制他人進(jìn)入內(nèi)部網(wǎng)絡(luò)；過(guò)濾掉不安全的服務(wù)和非法；防止入侵者接近用戶(hù)的防御設(shè)施；限定人們?cè)L問(wèn)特殊站點(diǎn)；為監(jiān)視局域網(wǎng)安全特工方便。

一般來(lái)說(shuō)，防火墻具有以下幾種功能：1）可以很方便地監(jiān)視網(wǎng)絡(luò)的安全性，并報(bào)警；2）允許網(wǎng)絡(luò)管理員定義一個(gè)中心點(diǎn)來(lái)防止非法用戶(hù)進(jìn)入內(nèi)部網(wǎng)絡(luò)；3）利用NAT技術(shù)，可以作為部署NAT的地點(diǎn)，將有限的IP地址動(dòng)態(tài)或靜態(tài)地與內(nèi)部IP地址對(duì)應(yīng)起來(lái)，用來(lái)緩解空間短缺的問(wèn)題。網(wǎng)絡(luò)管理員可以在此向管理部門(mén)提供Internet連接的費(fèi)用情況，查出潛在的帶寬瓶頸位置，并能夠依據(jù)本機(jī)構(gòu)的核算模式地宮部門(mén)級(jí)的計(jì)算。

2 防火墻技術(shù)

防火墻的安全技術(shù)包括過(guò)濾技術(shù)、技術(shù)、網(wǎng)絡(luò)地址轉(zhuǎn)換―NAT技術(shù)、分布式防火墻技術(shù)等。

2.1 包過(guò)濾防火墻數(shù)據(jù)

包過(guò)濾防火墻（Proxy）技術(shù)是防火墻為系統(tǒng)提供安全保障的主要技術(shù)，它通過(guò)設(shè)備對(duì)進(jìn)出網(wǎng)絡(luò)的數(shù)據(jù)流進(jìn)行有選擇的控制和操作。包過(guò)濾操作可以在路由器上進(jìn)行，也可以在網(wǎng)橋，甚至在一個(gè)單獨(dú)的主機(jī)上進(jìn)行。數(shù)據(jù)包過(guò)濾是一個(gè)網(wǎng)絡(luò)安全保護(hù)機(jī)制，它通過(guò)控制存在與某一網(wǎng)段的網(wǎng)絡(luò)流量類(lèi)型來(lái)控制流出和流入網(wǎng)絡(luò)的數(shù)據(jù)，包過(guò)濾可以控制存在于某一網(wǎng)段的服務(wù)方式。不符合網(wǎng)絡(luò)安全的那些服務(wù)將被嚴(yán)格限制。

包過(guò)濾的缺點(diǎn)：1）一些應(yīng)用協(xié)議不要合適于數(shù)據(jù)包過(guò)濾；2）不能徹底防止地址欺騙；3）數(shù)據(jù)包工具存在很多局限性包過(guò)濾防火墻技術(shù)有一定的優(yōu)點(diǎn)，但包過(guò)濾畢竟是第一代防火墻技術(shù)，本身存在較多缺陷，不能提供較高的安全性。在實(shí)際應(yīng)用中，現(xiàn)在很少把包過(guò)濾技術(shù)當(dāng)作單獨(dú)的安全解決方案，而是把它與其他防火墻技術(shù)揉合在一起使用。

2.2 防火墻

防火墻是一種針對(duì)特定的用戶(hù)層協(xié)議，它工作于應(yīng)用層。防火墻能在用戶(hù)層和應(yīng)用協(xié)議層提供訪問(wèn)控制，是通過(guò)編程來(lái)弄清用戶(hù)應(yīng)用層的流量。服務(wù)器作為內(nèi)部網(wǎng)絡(luò)客戶(hù)端的服務(wù)器，攔截住所有要求，也向客戶(hù)端轉(zhuǎn)發(fā)響應(yīng)。客戶(hù)（proxy client）負(fù)責(zé)內(nèi)部客戶(hù)端向外部服務(wù)器發(fā)出請(qǐng)求，當(dāng)然也向服務(wù)器轉(zhuǎn)發(fā)響應(yīng)。

技術(shù)的缺點(diǎn)：1）對(duì)用戶(hù)不透明；2）服務(wù)通常要求對(duì)客戶(hù)、過(guò)程之一或兩者進(jìn)行限制；3）對(duì)于每項(xiàng)服務(wù)可能要求不同的服務(wù)器；4）速度較路由器慢。

2.3 分布式防火墻

分布式防火墻負(fù)責(zé)對(duì)網(wǎng)絡(luò)邊界、各子網(wǎng)和網(wǎng)絡(luò)內(nèi)部各節(jié)點(diǎn)之間的安全防護(hù)，所以"分布式防火墻"是一個(gè)完整的系統(tǒng)，而不是單一的產(chǎn)品。

分布式防火墻的組成部分根據(jù)其所需完成的功能，新的防火墻體系結(jié)構(gòu)包含如下部分：1）中心管理（Central Management）：這是一個(gè)防火墻服務(wù)器管理軟件，負(fù)責(zé)總體安全策略的策劃、管理、分發(fā)及日志的匯總；2）主機(jī)防火墻（Host Firewall）：它是用于內(nèi)部網(wǎng)與外部網(wǎng)之間，以及內(nèi)部網(wǎng)各子網(wǎng)之間的防護(hù)；3）網(wǎng)絡(luò)防火墻（Network Firewall）：它是用于內(nèi)部網(wǎng)與外部網(wǎng)之間，以及內(nèi)部網(wǎng)各子網(wǎng)之間的防護(hù)。后者區(qū)別于前者的一個(gè)特征是需要支持內(nèi)部網(wǎng)可能有的IP和非IP協(xié)議。

4 結(jié)束語(yǔ)

未來(lái)防火墻技術(shù)會(huì)全面考慮操作系統(tǒng)的安全、網(wǎng)絡(luò)安全、數(shù)據(jù)的安全、應(yīng)用程序的安全、用戶(hù)的安全，五者綜合應(yīng)用。與此同時(shí)，網(wǎng)絡(luò)的防火墻產(chǎn)品還將把網(wǎng)絡(luò)前沿技術(shù)，如Web頁(yè)面超高速緩存、虛擬網(wǎng)絡(luò)和帶寬管理等其自身結(jié)合起來(lái)。

參考文獻(xiàn)：

[1] 董立軍,李立明,李峰.計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)[M].北京:中國(guó)水利水電出版社,2006.

[2] 楚狂.網(wǎng)絡(luò)安全與防火墻技術(shù)[M].北京:人民政電出版社,2008.

防火墻技術(shù)范文第3篇

關(guān)鍵詞：防火墻；包過(guò)濾；服務(wù)器；狀態(tài)檢測(cè)

中圖分類(lèi)號(hào)：TP393文獻(xiàn)標(biāo)識(shí)碼：A文章編號(hào)：1009-3044(2007)04-10942-01

1 引言

近年來(lái)，計(jì)算機(jī)網(wǎng)絡(luò)在全球得到了迅速的發(fā)展，其應(yīng)用涉及到社會(huì)的各個(gè)領(lǐng)域，人們的諸多活動(dòng)也越來(lái)越依賴(lài)于網(wǎng)絡(luò)。然而，網(wǎng)絡(luò)并非是安全的，由于網(wǎng)絡(luò)本身存在的安全缺陷，再加上黑客攻擊、病毒傳播以及各種各樣的威脅日益增多，使得網(wǎng)絡(luò)的安全防線十分脆弱。為了確保網(wǎng)絡(luò)系統(tǒng)的安全，目前人們研究并使用了多種安全防護(hù)措施，防火墻技術(shù)就是其中非常重要的一種防御手段。

2 防火墻的概念

防火墻是建立在內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)邊界上的一種網(wǎng)絡(luò)安全檢測(cè)系統(tǒng)，它可以記錄進(jìn)出網(wǎng)絡(luò)的數(shù)據(jù)傳輸，并且能根據(jù)已經(jīng)制定好的安全策略，決定是否允許數(shù)據(jù)流通過(guò)。其目的是要防止未經(jīng)授權(quán)的通信進(jìn)出被保護(hù)的內(nèi)部網(wǎng)絡(luò)，通過(guò)邊界控制來(lái)強(qiáng)化內(nèi)部網(wǎng)絡(luò)的安全政策。在這里內(nèi)部網(wǎng)絡(luò)被認(rèn)為是安全和可信賴(lài)的，外部網(wǎng)絡(luò)通常指的是Internet，被認(rèn)為是不安全的和不可信賴(lài)的。

一般來(lái)說(shuō)，防火墻都具有以下這些功能：一是限制來(lái)自網(wǎng)絡(luò)外部的訪問(wèn)，過(guò)濾掉不安全的服務(wù)和非法用戶(hù)，保護(hù)內(nèi)部網(wǎng)絡(luò)資源不受外部的入侵；二是提供集中管理方式，即將所有的安全軟件配置在防火墻上來(lái)保護(hù)內(nèi)部網(wǎng)絡(luò)；三是盡可能對(duì)外隱藏內(nèi)部網(wǎng)絡(luò)的數(shù)據(jù)、結(jié)構(gòu)和運(yùn)行狀況；四是能完整地記錄網(wǎng)絡(luò)訪問(wèn)情況，一旦網(wǎng)絡(luò)發(fā)生了入侵或者遭到破壞，就可以通過(guò)對(duì)日志進(jìn)行審計(jì)和查詢(xún)以獲得相關(guān)信息。

防火墻作為內(nèi)部和外部網(wǎng)絡(luò)之間的一道屏障，兩種網(wǎng)絡(luò)之間的接口，必須滿(mǎn)足以下幾點(diǎn)才可以起作用：所有進(jìn)出被保護(hù)網(wǎng)絡(luò)的通信都應(yīng)該通過(guò)防火墻；所有通過(guò)防火墻的通信必須經(jīng)過(guò)安全策略的過(guò)濾或者防火墻的授權(quán)；理論上講，防火墻本身是不可進(jìn)入的。

3 防火墻的關(guān)鍵技術(shù)

3.1 包過(guò)濾技術(shù)

包過(guò)濾(Packet Filter)技術(shù)又稱(chēng)為靜態(tài)數(shù)據(jù)包過(guò)濾，是最早出現(xiàn)的防火墻技術(shù)，雖然防火墻技術(shù)發(fā)展到現(xiàn)在提出了很多新的理念，但是包過(guò)濾仍然是防火墻為系統(tǒng)提供安全保障的主要技術(shù)，它可以阻擋攻擊，禁止外部/內(nèi)部訪問(wèn)某些站點(diǎn)以及限制單個(gè)IP地址的流量和連接數(shù)。包過(guò)濾技術(shù)的原理是在網(wǎng)絡(luò)層中依據(jù)過(guò)濾規(guī)則和包頭信息選擇性地轉(zhuǎn)發(fā)或阻斷數(shù)據(jù)包。用戶(hù)可以根據(jù)自身的安全需求制定相關(guān)的規(guī)則，這些規(guī)則存儲(chǔ)在包過(guò)濾設(shè)備的端口中，當(dāng)數(shù)據(jù)包到達(dá)端口時(shí)，防火墻會(huì)依據(jù)這些過(guò)濾規(guī)則，獨(dú)立地審查每個(gè)數(shù)據(jù)包的包頭，根據(jù)數(shù)據(jù)包的源地址、目的地址、所使用的TCP或UDP端口、包頭中的各種標(biāo)志位及用來(lái)傳送數(shù)據(jù)包的協(xié)議等因素來(lái)確定是允許該數(shù)據(jù)包通過(guò)還是刪除該數(shù)據(jù)包。

包過(guò)濾技術(shù)的優(yōu)點(diǎn)是簡(jiǎn)單實(shí)用，處理速度快，而且它對(duì)于用戶(hù)來(lái)說(shuō)是透明的，合法用戶(hù)在進(jìn)出網(wǎng)絡(luò)時(shí)，根本感覺(jué)不到它的存在。同時(shí)，包過(guò)濾技術(shù)的缺陷也很明顯的：一是安全性低，一般的包過(guò)濾防火墻對(duì)數(shù)據(jù)包數(shù)據(jù)內(nèi)容不做任何檢查，只檢查數(shù)據(jù)包頭信息，無(wú)法徹底防止地址欺騙；二是過(guò)濾規(guī)則很難配置，規(guī)則之間會(huì)存在沖突或漏洞，檢查起來(lái)相對(duì)困難；三是缺少日志功能，當(dāng)系統(tǒng)被滲入或被攻擊時(shí)，很難得到大量的有用信息。

3.2 服務(wù)器技術(shù)

服務(wù)器(Proxy Server)在網(wǎng)絡(luò)應(yīng)用層提供授權(quán)檢查，并且在內(nèi)部用戶(hù)與外部主機(jī)進(jìn)行信息交換時(shí)起到中間轉(zhuǎn)發(fā)作用。當(dāng)內(nèi)部客戶(hù)機(jī)要使用外部服務(wù)器的數(shù)據(jù)時(shí)會(huì)向其發(fā)出訪問(wèn)請(qǐng)求，服務(wù)器接收到該請(qǐng)求后會(huì)檢查其是否符合規(guī)定，如果規(guī)則允許，服務(wù)器會(huì)修改數(shù)據(jù)包中的IP地址，然后發(fā)送給外部服務(wù)器，此時(shí)會(huì)認(rèn)為是服務(wù)器發(fā)送訪問(wèn)請(qǐng)求；同樣外部服務(wù)器返回的數(shù)據(jù)包會(huì)經(jīng)過(guò)服務(wù)器的檢測(cè)，得到允許后轉(zhuǎn)發(fā)給發(fā)送請(qǐng)求的客戶(hù)機(jī)。服務(wù)器運(yùn)行在兩個(gè)網(wǎng)絡(luò)之間，對(duì)于客戶(hù)機(jī)來(lái)說(shuō)像是一臺(tái)真的服務(wù)器，對(duì)于外界的服務(wù)器來(lái)說(shuō)它又是一臺(tái)客戶(hù)機(jī)。由于每個(gè)內(nèi)外網(wǎng)絡(luò)之間的連接都要經(jīng)過(guò)服務(wù)器的介入和轉(zhuǎn)換，因此沒(méi)有給內(nèi)外網(wǎng)絡(luò)的計(jì)算機(jī)以任何直接會(huì)話的機(jī)會(huì)，從而確保內(nèi)部網(wǎng)絡(luò)安全。

服務(wù)器的優(yōu)點(diǎn)是有安全性好，能有效隔離內(nèi)外網(wǎng)的直接通信，實(shí)施較強(qiáng)的數(shù)據(jù)流監(jiān)控、過(guò)濾和日志功能。但是它也存在一些缺陷，首先它會(huì)使訪問(wèn)速度變慢，因?yàn)檫M(jìn)出網(wǎng)絡(luò)的每次通信都必須經(jīng)過(guò)，而服務(wù)都要消耗一定的時(shí)間；其次，對(duì)于每一種應(yīng)用服務(wù)都必須為其設(shè)計(jì)一個(gè)專(zhuān)門(mén)的軟件模塊來(lái)進(jìn)行安

全控制，而且，并不是所有的互聯(lián)網(wǎng)應(yīng)用軟件都可以使用服務(wù)。

3.3 狀態(tài)檢測(cè)技術(shù)

狀態(tài)檢測(cè)(Stateful Inspection)防火墻又叫做動(dòng)態(tài)包過(guò)濾防火墻，是在傳統(tǒng)包過(guò)濾技術(shù)的基礎(chǔ)上進(jìn)行改進(jìn)的結(jié)果，傳統(tǒng)包過(guò)濾技術(shù)只能檢查單個(gè)的數(shù)據(jù)包并且安全規(guī)則是靜態(tài)的，而狀態(tài)檢測(cè)防火墻可以將前后數(shù)據(jù)包的上下文聯(lián)系起來(lái)，根據(jù)過(guò)去的通信信息和其他應(yīng)用程序獲得的狀態(tài)信息動(dòng)態(tài)生成過(guò)濾規(guī)則，并根據(jù)此規(guī)則過(guò)濾新的通信。而新的通信結(jié)束后新生成的過(guò)濾規(guī)則將自動(dòng)從規(guī)則表中刪除。

狀態(tài)檢測(cè)防火墻的理論基礎(chǔ)是使用客戶(hù)機(jī)/服務(wù)器模式進(jìn)行的連接具有連接狀態(tài)，最典型的是TCP連接，TCP連接必須經(jīng)過(guò)3次握手，在這些不同的階段中其狀態(tài)是不一樣的，而狀態(tài)的轉(zhuǎn)換又有著其規(guī)律，因此防火墻通過(guò)TCP包頭的標(biāo)志位就可以確定連接處于何種狀態(tài)，一旦發(fā)現(xiàn)所發(fā)送包和狀態(tài)不符，就可認(rèn)為是狀態(tài)異常的包進(jìn)行拒絕，而不必對(duì)IP地址或TCP端口進(jìn)行檢查。

狀態(tài)檢測(cè)防火墻中有一個(gè)規(guī)則集和一個(gè)狀態(tài)表(State Table)。狀態(tài)表中保留著當(dāng)前活動(dòng)的合法連接，它的內(nèi)容是動(dòng)態(tài)變化的。當(dāng)防火墻接收到初始化TCP連接的數(shù)據(jù)包時(shí)，會(huì)根據(jù)事先設(shè)定的靜態(tài)規(guī)則集對(duì)此數(shù)據(jù)包進(jìn)行檢查，如果在檢查所有的規(guī)則之后，該數(shù)據(jù)包都沒(méi)有被允許通過(guò)，那么拒絕此次連接。如果該數(shù)據(jù)包被接受，則在狀態(tài)表中記錄下該連接的相關(guān)信息。對(duì)于隨后的數(shù)據(jù)包，就將其與狀態(tài)表里紀(jì)錄的連接內(nèi)容進(jìn)行比較，如果狀態(tài)表中存在此會(huì)話而且數(shù)據(jù)包狀態(tài)正確，則接受此數(shù)據(jù)包，否則丟棄。

這種方式的好處在于：不是每個(gè)數(shù)據(jù)包都要和安全規(guī)則比較，只有在新的請(qǐng)求連接的數(shù)據(jù)包到來(lái)時(shí)才進(jìn)行安全檢查，從而提高了系統(tǒng)的性能；而且狀態(tài)表是動(dòng)態(tài)的，保存了數(shù)據(jù)包的狀態(tài)信息，安全性高。

4 防火墻的局限性

雖然防火墻能夠提高網(wǎng)絡(luò)的安全性，但它并不是全能的，它也具有一定的局限性：

4.1 防火墻不能防范不通過(guò)它的連接。

防火墻一般位于內(nèi)部網(wǎng)絡(luò)的邊界上，監(jiān)控所有通過(guò)它的通信，如果信息能夠通過(guò)無(wú)線接入技術(shù)或撥號(hào)訪問(wèn)等方式繞過(guò)防火墻進(jìn)出網(wǎng)絡(luò)，那么防火墻就沒(méi)有任何用處。

4.2 防火墻不能防范全部的威脅。

防火墻是在已知的攻擊模式下制定相應(yīng)的安全策略的，因此能夠防范已知的威脅，對(duì)于全新的攻擊方式則難以有效。

4.3 防火墻不能防止感染了病毒的軟件或文件的傳輸。

雖然很多防火墻都會(huì)對(duì)通過(guò)的所有數(shù)據(jù)包進(jìn)行安全檢測(cè)，已決定是否允許其通過(guò)，但一般只會(huì)檢查數(shù)據(jù)包的包頭部分，對(duì)數(shù)據(jù)包的具體內(nèi)容不太關(guān)心。即使是最先進(jìn)的數(shù)據(jù)包過(guò)濾，在病毒防范上也是不適用的，因?yàn)椴《镜姆N類(lèi)太多，操作系統(tǒng)也有多種，而且有很多方法可以將病毒在數(shù)據(jù)中隱藏起來(lái)，因此不能期望防火墻能替代殺毒軟件。要解決病毒問(wèn)題還必須在每臺(tái)主機(jī)上安裝專(zhuān)門(mén)的殺病毒軟件。

4.4 防火墻不能防范內(nèi)部用戶(hù)的惡意行為。

由于內(nèi)部用戶(hù)進(jìn)行的偷竊數(shù)據(jù)或其它破壞行為都處于網(wǎng)絡(luò)內(nèi)部，其各種信息均不通過(guò)防火墻，因此防火墻無(wú)法阻止。

5 防火墻的發(fā)展方向

隨著網(wǎng)絡(luò)技術(shù)的發(fā)展，黑客攻擊、惡意軟件及病毒等各種安全威脅的進(jìn)一步升級(jí)，促使防火墻也在不斷發(fā)展。

5.1 目前的防火墻采取數(shù)據(jù)匹配檢查的方法，安全性越高，需要的計(jì)算量就越大，效率也就隨之降低。未來(lái)的防火墻要求是高安全性和高效率的統(tǒng)一。使用專(zhuān)門(mén)的芯片負(fù)責(zé)訪問(wèn)控制功能，設(shè)計(jì)新的防火墻的技術(shù)構(gòu)架是未來(lái)防火墻的方向。

5.2 分布式防火墻。當(dāng)前的防火墻一般都是邊界防火墻，只能監(jiān)控通過(guò)防火墻的數(shù)據(jù)，并且認(rèn)為內(nèi)部網(wǎng)絡(luò)是絕對(duì)安全的。然而事實(shí)并非如此，網(wǎng)絡(luò)上的很多災(zāi)難常常是由內(nèi)部用戶(hù)的無(wú)意或惡意行為造成的，于是提出了分布式防火墻的概念。分布式防火墻是一種全新的防火墻體系結(jié)構(gòu)，包括網(wǎng)絡(luò)防火墻、主機(jī)防火墻和中心管理三個(gè)部分，對(duì)網(wǎng)絡(luò)邊界、各子網(wǎng)和網(wǎng)絡(luò)內(nèi)部各節(jié)點(diǎn)之間的進(jìn)行安全防護(hù)。這種方式加強(qiáng)了對(duì)內(nèi)部網(wǎng)絡(luò)的監(jiān)控，構(gòu)建了一個(gè)全方位的保護(hù)體系。

5.3 聯(lián)動(dòng)防火墻?；诜阑饓Ρ旧淼木窒扌砸约捌渌踩夹g(shù)的成熟應(yīng)用，出現(xiàn)了聯(lián)動(dòng)防火墻的概念。將防火墻同其他安全設(shè)備進(jìn)行整合，充分發(fā)揮各自的優(yōu)勢(shì)，協(xié)同配合，架構(gòu)起立體的安全防范體系。例如將防火墻與防病毒產(chǎn)品聯(lián)動(dòng)，可以在網(wǎng)關(guān)處對(duì)病毒進(jìn)行查殺，將病毒阻擋在網(wǎng)絡(luò)之外。此外防火墻與入侵監(jiān)測(cè)系統(tǒng)的聯(lián)動(dòng)也是非常重要的，因?yàn)閮煞N技術(shù)有很強(qiáng)的互補(bǔ)性。

5.4 智能防火墻。智能防火墻是利用統(tǒng)計(jì)、記憶、概率和決策的智能方法來(lái)對(duì)數(shù)據(jù)進(jìn)行識(shí)別，并達(dá)到訪問(wèn)控制的目的。新的數(shù)學(xué)方法，消除了匹配檢查所需要的海量計(jì)算，高效發(fā)現(xiàn)網(wǎng)絡(luò)行為的特征值，直接進(jìn)行訪問(wèn)控制。智能防火墻能解決普遍存在的拒絕服務(wù)攻擊（DDOS）的問(wèn)題，病毒傳播的問(wèn)題和高級(jí)應(yīng)用入侵的行為，比傳統(tǒng)的防火墻更安全，效率更高。

6 結(jié)束語(yǔ)

防火墻是網(wǎng)絡(luò)安全的屏障，能有效地提高網(wǎng)絡(luò)的安全性，但不要將網(wǎng)絡(luò)安全單純的依賴(lài)于防火墻，它僅是全面的安全策略中的一個(gè)重要組成部分，應(yīng)該和防病毒、入侵檢測(cè)、數(shù)據(jù)加密、身份認(rèn)證等安全防護(hù)技術(shù)結(jié)合起來(lái)，共同建立一個(gè)有效的安全防范體系。

參考文獻(xiàn)：

[1]黎連業(yè),張維,向東明.防火墻及其應(yīng)用技術(shù)[M].北京:清華大學(xué)出版社,2004.7.

[2]胡道元,閔京華.網(wǎng)絡(luò)安全[M].北京:清華大學(xué)出版社,2004.1.

[3]陳天洲,陳純,谷小妮.計(jì)算機(jī)安全策略[M].浙江大學(xué)出版社,2004.8.

防火墻技術(shù)范文第4篇

關(guān)鍵詞：網(wǎng)絡(luò)安全；防火墻

1從軟、硬件形式上分

如果從防火墻的軟、硬件形式來(lái)分的話，防火墻可以分為軟件防火墻和硬件防火墻以及芯片級(jí)防火墻。

（1）軟件防火墻。

軟件防火墻運(yùn)行于特定的計(jì)算機(jī)上，它需要客戶(hù)預(yù)先安裝好的計(jì)算機(jī)操作系統(tǒng)的支持，一般來(lái)說(shuō)這臺(tái)計(jì)算機(jī)就是整個(gè)網(wǎng)絡(luò)的網(wǎng)關(guān)。俗稱(chēng)“個(gè)人防火墻”。軟件防火墻就像其它的軟件產(chǎn)品一樣需要先在計(jì)算機(jī)上安裝并做好配置才可以使用。防火墻廠商中做網(wǎng)絡(luò)版軟件防火墻最出名的莫過(guò)于Checkpoint。使用這類(lèi)防火墻，需要網(wǎng)管對(duì)所工作的操作系統(tǒng)平臺(tái)比較熟悉。

（2）硬件防火墻。

這里說(shuō)的硬件防火墻是指“所謂的硬件防火墻”。之所以加上“所謂”二字是針對(duì)芯片級(jí)防火墻說(shuō)的了。它們最大的差別在于是否基于專(zhuān)用的硬件平臺(tái)。目前市場(chǎng)上大多數(shù)防火墻都是這種所謂的硬件防火墻，他們都基于PC架構(gòu)，就是說(shuō)，它們和普通的家庭用的PC沒(méi)有太大區(qū)別。在這些PC架構(gòu)計(jì)算機(jī)上運(yùn)行一些經(jīng)過(guò)裁剪和簡(jiǎn)化的操作系統(tǒng)，最常用的有老版本的Unix、Linux和FreeBSD系統(tǒng)。值得注意的是，由于此類(lèi)防火墻采用的依然是別人的內(nèi)核，因此依然會(huì)受到OS（操作系統(tǒng)）本身的安全性影響。

（3）芯片級(jí)防火墻。

芯片級(jí)防火墻基于專(zhuān)門(mén)的硬件平臺(tái)，沒(méi)有操作系統(tǒng)。專(zhuān)有的ASIC芯片促使它們比其他種類(lèi)的防火墻速度更快，處理能力更強(qiáng)，性能更高。做這類(lèi)防火墻最出名的廠商有NetScreen、FortiNet、Cisco等。這類(lèi)防火墻由于是專(zhuān)用OS（操作系統(tǒng)），因此防火墻本身的漏洞比較少，不過(guò)價(jià)格相對(duì)比較高昂。

2從防火墻技術(shù)分

防火墻技術(shù)雖然出現(xiàn)了許多，但總體來(lái)講可分為“包過(guò)濾型”和“應(yīng)用型”兩大類(lèi)。前者以以色列的Checkpoint防火墻和美國(guó)Cisco公司的PIX防火墻為代表，后者以美國(guó)NAI公司的Gauntlet防火墻為代表。

（1）包過(guò)濾（Packetfiltering）型。

包過(guò)濾方式是一種通用、廉價(jià)和有效的安全手段。之所以通用，是因?yàn)樗皇轻槍?duì)各個(gè)具體的網(wǎng)絡(luò)服務(wù)采取特殊的處理方式，適用于所有網(wǎng)絡(luò)服務(wù)；之所以廉價(jià)，是因?yàn)榇蠖鄶?shù)路由器都提供數(shù)據(jù)包過(guò)濾功能，所以這類(lèi)防火墻多數(shù)是由路由器集成的；之所以有效，是因?yàn)樗芎艽蟪潭壬蠞M(mǎn)足了絕大多數(shù)企業(yè)安全要求。

在整個(gè)防火墻技術(shù)的發(fā)展過(guò)程中，包過(guò)濾技術(shù)出現(xiàn)了兩種不同版本，稱(chēng)為“第一代靜態(tài)包過(guò)濾”和“第二代動(dòng)態(tài)包過(guò)濾”。

包過(guò)濾方式的優(yōu)點(diǎn)是不用改動(dòng)客戶(hù)機(jī)和主機(jī)上的應(yīng)用程序，因?yàn)樗ぷ髟诰W(wǎng)絡(luò)層和傳輸層，與應(yīng)用層無(wú)關(guān)。但其弱點(diǎn)也是明顯的：過(guò)濾判別的依據(jù)只是網(wǎng)絡(luò)層和傳輸層的有限信息，因而各種安全要求不可能充分滿(mǎn)足；在許多過(guò)濾器中，過(guò)濾規(guī)則的數(shù)目是有限制的，且隨著規(guī)則數(shù)目的增加，性能會(huì)受到很大地影響；由于缺少上下文關(guān)聯(lián)信息，不能有效地過(guò)濾如UDP、RPC（遠(yuǎn)程過(guò)程調(diào)用）一類(lèi)的協(xié)議；另外，大多數(shù)過(guò)濾器中缺少審計(jì)和報(bào)警機(jī)制，它只能依據(jù)包頭信息，而不能對(duì)用戶(hù)身份進(jìn)行驗(yàn)證，很容易受到“地址欺騙型”攻擊。對(duì)安全管理人員素質(zhì)要求高，建立安全規(guī)則時(shí)，必須對(duì)協(xié)議本身及其在不同應(yīng)用程序中的作用有較深入的理解。因此，過(guò)濾器通常是和應(yīng)用網(wǎng)關(guān)配合使用，共同組成防火墻系統(tǒng)。

（2）應(yīng)用（ApplicationProxy）型。

應(yīng)用型防火墻是工作在OSI的最高層，即應(yīng)用層。其特點(diǎn)是完全“阻隔”了網(wǎng)絡(luò)通信流，通過(guò)對(duì)每種應(yīng)用服務(wù)編制專(zhuān)門(mén)的程序，實(shí)現(xiàn)監(jiān)視和控制應(yīng)用層通信流的作用。其典型網(wǎng)絡(luò)結(jié)構(gòu)如圖所示。

在型防火墻技術(shù)的發(fā)展過(guò)程中，它也經(jīng)歷了兩個(gè)不同的版本：第一代應(yīng)用網(wǎng)關(guān)型防火和第二代自適應(yīng)防火墻。

類(lèi)型防火墻的最突出的優(yōu)點(diǎn)就是安全。由于它工作于最高層，所以它可以對(duì)網(wǎng)絡(luò)中任何一層數(shù)據(jù)通信進(jìn)行篩選保護(hù)，而不是像包過(guò)濾那樣，只是對(duì)網(wǎng)絡(luò)層的數(shù)據(jù)進(jìn)行過(guò)濾。

另外型防火墻采取是一種機(jī)制，它可以為每一種應(yīng)用服務(wù)建立一個(gè)專(zhuān)門(mén)的，所以?xún)?nèi)外部網(wǎng)絡(luò)之間的通信不是直接的，而都需先經(jīng)過(guò)服務(wù)器審核，通過(guò)后再由服務(wù)器代為連接，根本沒(méi)有給內(nèi)、外部網(wǎng)絡(luò)計(jì)算機(jī)任何直接會(huì)話的機(jī)會(huì)，從而避免了入侵者使用數(shù)據(jù)驅(qū)動(dòng)類(lèi)型的攻擊方式入侵內(nèi)部網(wǎng)。

防火墻的最大缺點(diǎn)是速度相對(duì)比較慢，當(dāng)用戶(hù)對(duì)內(nèi)外部網(wǎng)絡(luò)網(wǎng)關(guān)的吞吐量要求比較高時(shí)，防火墻就會(huì)成為內(nèi)外部網(wǎng)絡(luò)之間的瓶頸。那因?yàn)榉阑饓π枰獮椴煌木W(wǎng)絡(luò)服務(wù)建立專(zhuān)門(mén)的服務(wù)，在自己的程序?yàn)閮?nèi)、外部網(wǎng)絡(luò)用戶(hù)建立連接時(shí)需要時(shí)間，所以給系統(tǒng)性能帶來(lái)了一些負(fù)面影響，但通常不會(huì)很明顯。

3從防火墻結(jié)構(gòu)分

從防火墻結(jié)構(gòu)上分，防火墻主要有：?jiǎn)我恢鳈C(jī)防火墻、路由器集成式防火墻和分布式防火墻三種。

單一主機(jī)防火墻是最為傳統(tǒng)的防火墻，獨(dú)立于其它網(wǎng)絡(luò)設(shè)備，它位于網(wǎng)絡(luò)邊界。

這種防火墻其實(shí)與一臺(tái)計(jì)算機(jī)結(jié)構(gòu)差不多（如下圖），同樣包括CPU、內(nèi)存、硬盤(pán)等基本組件，主板更是不能少的，且主板上也有南、北橋芯片。它與一般計(jì)算機(jī)最主要的區(qū)別就是一般防火墻都集成了兩個(gè)以上的以太網(wǎng)卡，因?yàn)樗枰B接一個(gè)以上的內(nèi)、外部網(wǎng)絡(luò)。其中的硬盤(pán)就是用來(lái)存儲(chǔ)防火墻所用的基本程序，如包過(guò)濾程序和服務(wù)器程序等，有的防火墻還把日志記錄也記錄在此硬盤(pán)上。雖然如此，但我們不能說(shuō)它就與我們平常的PC機(jī)一樣，因?yàn)樗墓ぷ餍再|(zhì)，決定了它要具備非常高的穩(wěn)定性、實(shí)用性，具備非常高的系統(tǒng)吞吐性能。正因如此，看似與PC機(jī)差不多的配置，價(jià)格甚遠(yuǎn)。

隨著防火墻技術(shù)的發(fā)展及應(yīng)用需求的提高，原來(lái)作為單一主機(jī)的防火墻現(xiàn)在已發(fā)生了許多變化。最明顯的變化就是現(xiàn)在許多中、高檔的路由器中已集成了防火墻功能，還有的防火墻已不再是一個(gè)獨(dú)立的硬件實(shí)體，而是由多個(gè)軟、硬件組成的系統(tǒng)，這種防火墻，俗稱(chēng)“分布式防火墻”。

原來(lái)單一主機(jī)的防火墻由于價(jià)格非常昂貴，僅有少數(shù)大型企業(yè)才能承受得起，為了降低企業(yè)網(wǎng)絡(luò)投資，現(xiàn)在許多中、高檔路由器中集成了防火墻功能。如CiscoIOS防火墻系列。但這種防火墻通常是較低級(jí)的包過(guò)濾型。這樣企業(yè)就不用再同時(shí)購(gòu)買(mǎi)路由器和防火墻，大大降低了網(wǎng)絡(luò)設(shè)備購(gòu)買(mǎi)成本。

分布式防火墻再也不只是位于網(wǎng)絡(luò)邊界，而是滲透于網(wǎng)絡(luò)的每一臺(tái)主機(jī)，對(duì)整個(gè)內(nèi)部網(wǎng)絡(luò)的主機(jī)實(shí)施保護(hù)。在網(wǎng)絡(luò)服務(wù)器中，通常會(huì)安裝一個(gè)用于防火墻系統(tǒng)管理軟件，在服務(wù)器及各主機(jī)上安裝有集成網(wǎng)卡功能的PCI防火墻卡，這樣一塊防火墻卡同時(shí)兼有網(wǎng)卡和防火墻的雙重功能。這樣一個(gè)防火墻系統(tǒng)就可以徹底保護(hù)內(nèi)部網(wǎng)絡(luò)。各主機(jī)把任何其它主機(jī)發(fā)送的通信連接都視為“不可信”的，都需要嚴(yán)格過(guò)濾。而不是傳統(tǒng)邊界防火墻那樣，僅對(duì)外部網(wǎng)絡(luò)發(fā)出的通信請(qǐng)求“不信任”。

4按防火墻的應(yīng)用部署位置分

按防火墻的應(yīng)用部署位置分，可以分為邊界防火墻、個(gè)人防火墻和混合防火墻三大類(lèi)。

邊界防火墻是最為傳統(tǒng)的，它們于內(nèi)、外部網(wǎng)絡(luò)的邊界，所起的作用的對(duì)內(nèi)、外部網(wǎng)絡(luò)實(shí)施隔離，保護(hù)邊界內(nèi)部網(wǎng)絡(luò)。這類(lèi)防火墻一般都屬于硬件類(lèi)型，價(jià)格較貴，性能較好。

個(gè)人防火墻安裝于單臺(tái)主機(jī)中，防護(hù)的也只是單臺(tái)主機(jī)。這類(lèi)防火墻應(yīng)用于廣大的個(gè)人用戶(hù)，通常為軟件防火墻，價(jià)格最便宜，性能也最差。

混合式防火墻可以說(shuō)就是“分布式防火墻”或者“嵌入式防火墻”，它是一整套防火墻系統(tǒng)，由若干個(gè)軟、硬件組件組成，分布于內(nèi)、外部網(wǎng)絡(luò)邊界和內(nèi)部各主機(jī)之間，既對(duì)內(nèi)、外部網(wǎng)絡(luò)之間通信進(jìn)行過(guò)濾，又對(duì)網(wǎng)絡(luò)內(nèi)部各主機(jī)間的通信進(jìn)行過(guò)濾。它屬于最新的防火墻技術(shù)之一，性能最好，價(jià)格也最貴。

5按防火墻性能分

按防火墻的性能來(lái)分可以分為百兆級(jí)防火墻和千兆級(jí)防火墻兩類(lèi)。

因?yàn)榉阑饓νǔＮ挥诰W(wǎng)絡(luò)邊界，所以不可能只是十兆級(jí)的。這主要是指防火的通道帶寬（Bandwidth），或者說(shuō)是吞吐率。當(dāng)然通道帶寬越寬，性能越高，這樣的防火墻因包過(guò)濾或應(yīng)用所產(chǎn)生的延時(shí)也越小，對(duì)整個(gè)網(wǎng)絡(luò)通信性能的影響也就越小。

雖然防火墻是目前保護(hù)網(wǎng)絡(luò)免遭黑客襲擊的有效手段，但也有明顯不足：無(wú)法防范通過(guò)防火墻以外的其它途徑的攻擊，不能防止來(lái)自?xún)?nèi)部變節(jié)者和不經(jīng)心的用戶(hù)們帶來(lái)的威脅，也不能完全防止傳送已感染病毒的軟件或文件，以及無(wú)法防范數(shù)據(jù)驅(qū)動(dòng)型的攻擊。

參考文獻(xiàn)

［1］孫建華等.網(wǎng)絡(luò)系統(tǒng)管理-Linux實(shí)訓(xùn)篇［M］.北京：人民郵電出版社，2003，（10）.

防火墻技術(shù)范文第5篇

關(guān)鍵詞：網(wǎng)絡(luò)安全 防火墻 網(wǎng)絡(luò)處理器

Abstract：Personal transparent firewall can protect personal computer from being attacked and avoid that personal data is stilled。 Because small volume and used easily， it will be adopted for net protection。

Key words：Network security Firewall Network processor

前言

隨著計(jì)算器的普及，尤其網(wǎng)絡(luò)的普及，人們習(xí)慣使用個(gè)人計(jì)算機(jī)、智能終端處理、保存日常工作、生活的信息或資料。最近我國(guó)首個(gè)個(gè)人信息保護(hù)專(zhuān)項(xiàng)的國(guó)家標(biāo)準(zhǔn)《信息安全技術(shù)公共及商用服務(wù)信息系統(tǒng)個(gè)人信息保護(hù)指南》已完成，正在報(bào)批【1】。“個(gè)人信息保護(hù)”國(guó)家標(biāo)準(zhǔn)將有利于人們重視個(gè)人信息安全問(wèn)題。絕大數(shù)用戶(hù)忽視信息安全，停留于計(jì)算機(jī)病毒、木馬程序的概念，對(duì)黑客的能力一無(wú)所知。由于個(gè)人計(jì)算機(jī)和智能終端具有網(wǎng)絡(luò)通信和更新程序的功能，黑客可以通過(guò)操作系統(tǒng)或應(yīng)用軟件的漏洞或后門(mén)對(duì)個(gè)人計(jì)算機(jī)或智能終端進(jìn)行攻擊并埋下黑客軟件，或者利用用戶(hù)的好奇或無(wú)知在網(wǎng)上傳播黑客軟件。常聽(tīng)到的黑客軟件主要是獲取賬號(hào)密碼。但不被人知道的黑客軟件更為可怕，它可能專(zhuān)門(mén)攻擊某個(gè)人使其個(gè)人計(jì)算機(jī)或智能終端的數(shù)據(jù)完全暴露在他的眼下。

不管是否安裝殺毒防毒軟件，只要運(yùn)行網(wǎng)絡(luò)監(jiān)測(cè)程序就可以發(fā)現(xiàn)許多網(wǎng)絡(luò)連接或網(wǎng)絡(luò)通信?？梢哉f(shuō)由于黑客攻擊的多樣性，安裝在個(gè)人計(jì)算機(jī)上的殺毒軟件只能降低黑客的可能性，難以抵擋黑客的入侵，對(duì)有針對(duì)性的黑客的所作所為無(wú)動(dòng)于衷。

雖然大部分單位會(huì)在互聯(lián)網(wǎng)接入口安裝企業(yè)級(jí)防火墻，但由于它僅防止來(lái)自互聯(lián)網(wǎng)的已知攻擊或人們熟知的攻擊，對(duì)內(nèi)網(wǎng)基本上不具備防范能力。

因此，為阻止黑客的入侵或攻擊，防止黑客獲取數(shù)據(jù)，最有效辦法是在個(gè)人計(jì)算機(jī)外增加個(gè)人硬件防火墻。本文將介紹個(gè)人硬件透明防火墻。

1、透明防火墻

網(wǎng)絡(luò)安全技術(shù)中最常用是防火墻技術(shù)，通過(guò)網(wǎng)絡(luò)訪問(wèn)控制策略抵御外部攻擊。通常人們把使用防火墻技術(shù)僅用于抵御外網(wǎng)入侵的計(jì)算器稱(chēng)為硬件防火墻，應(yīng)用在個(gè)人計(jì)算器上的防火墻技術(shù)稱(chēng)為軟件防火墻。目前防火墻已經(jīng)成為計(jì)算器操作系統(tǒng)的一個(gè)組成部分，軟件防火墻的概念已成為歷史。

透明防火墻是一種專(zhuān)用網(wǎng)絡(luò)安全設(shè)備，它具有防火墻的各種功能，它特別之處是不影響網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)，在網(wǎng)絡(luò)外側(cè)不能發(fā)現(xiàn)它的存在，黑客不可能對(duì)它發(fā)動(dòng)攻擊。透明防火墻具有更高的智能程度，在黑客攻擊過(guò)程仍確保主機(jī)的運(yùn)行。透明防火墻是單主機(jī)專(zhuān)用很容易判斷主機(jī)通信是否合理，因而能避免信息泄漏或削弱隱藏在主機(jī)的黑客軟件的活動(dòng)能力。

2、硬件結(jié)構(gòu)

個(gè)人透明防火墻是專(zhuān)門(mén)為個(gè)人計(jì)算機(jī)設(shè)計(jì)的透明防火墻，要求使用方便、便于攜帶。因此，個(gè)人透明防火墻硬件結(jié)構(gòu)緊湊，外表看有兩個(gè)網(wǎng)絡(luò)口，好像一個(gè)網(wǎng)絡(luò)聯(lián)機(jī)器，用戶(hù)只要把個(gè)人透明防火墻串在網(wǎng)在線，即一個(gè)網(wǎng)絡(luò)接口與計(jì)算機(jī)的網(wǎng)口連接，另一個(gè)與網(wǎng)絡(luò)連接，再通過(guò)usb接口向個(gè)人透明防火墻提供電源，個(gè)人透明防火墻就開(kāi)始工作。

個(gè)人透明防火墻內(nèi)部由繼承網(wǎng)口的網(wǎng)絡(luò)處理器以及支持網(wǎng)絡(luò)處理器工作的DDR RAM和NAND FLASH組成。嚴(yán)格意義上個(gè)人透明防火墻是一個(gè)高度智能化的網(wǎng)橋。

3、透明防火墻算法

防火墻技術(shù)必須在操作系統(tǒng)的核心態(tài)實(shí)現(xiàn)。利用開(kāi)源操作系統(tǒng)實(shí)現(xiàn)硬件防火墻具有較高的安全性，Linux是真正的開(kāi)源操作系統(tǒng)，因此大部分硬件防火墻選用Linux操作系統(tǒng)。操作系統(tǒng)實(shí)現(xiàn)防火墻技術(shù)是在網(wǎng)絡(luò)處理過(guò)程設(shè)立監(jiān)控點(diǎn)，通過(guò)訪問(wèn)策略決定信息包的去留。在Linux內(nèi)核中為實(shí)現(xiàn)防火墻功能增加網(wǎng)絡(luò)過(guò)濾的鉤子函數(shù)NF_HOOK。即，在網(wǎng)絡(luò)信息處理過(guò)程中可利用內(nèi)核其他功能或其他內(nèi)核模塊的其他功能提高網(wǎng)絡(luò)的安全性。Linux內(nèi)核為arp、bridge、decnet、ipv4、ipv6等網(wǎng)絡(luò)通信定義了標(biāo)識(shí)，對(duì)應(yīng)為NFPROTO_ARP、NFPROTO_BRIDGE、NFPROTO_DECNET、NFPROTO_IPV4、NFPROTO_IPV6。根據(jù)處理位置定義了5個(gè)標(biāo)識(shí)PRE_ROUTING、LOCAL_IN、FORWARD、LOCAL_OUT、POST_ROUTING。在Linux的netfilter中已經(jīng)實(shí)現(xiàn)包過(guò)濾的防火墻算法，并結(jié)合iptables實(shí)現(xiàn)防火墻功能。大部分硬件防火墻就是利用Linux的netfilter和iptables實(shí)現(xiàn)的。

但要求非計(jì)算器專(zhuān)業(yè)人士直接使用iptables進(jìn)行設(shè)置是難度極高的，而且iptables采用鏈表方式，在鏈表較長(zhǎng)的情況下運(yùn)行效率比較低，所以直接使用iptables作為透明防火墻效果一般；雖然linux已為ipv6設(shè)置NF_HOOK，但iptables并不真正支持ipv6，所以，僅靠iptables或iptables-ipv6還不能有效實(shí)現(xiàn)網(wǎng)絡(luò)安全。

從Linux的NF_HOOK分類(lèi)可以看到只有bridge屬于結(jié)構(gòu)分類(lèi)，其他為協(xié)議分類(lèi)，因此在個(gè)人透明防火墻主要針對(duì)bridge進(jìn)行數(shù)據(jù)監(jiān)測(cè)最有成效。所有通過(guò)網(wǎng)橋的信息，不管使用什么協(xié)議，均可以在bridge的監(jiān)測(cè)點(diǎn)監(jiān)測(cè)。

4、用戶(hù)接口

為防止黑客通過(guò)http端口破壞透明防火墻的運(yùn)作，方便用戶(hù)設(shè)置和及時(shí)知道黑客可能的攻擊情況，透明防火墻采用獨(dú)立的控制軟件，把透明防火墻的監(jiān)測(cè)數(shù)據(jù)轉(zhuǎn)入個(gè)人計(jì)算機(jī)進(jìn)行處理，通過(guò)動(dòng)態(tài)追蹤方式實(shí)現(xiàn)通信審計(jì)工作。

結(jié)語(yǔ)

通過(guò)接入透明防火墻，有效隔離各種廣告信息，斷開(kāi)計(jì)算機(jī)在啟動(dòng)過(guò)程形成的各個(gè)連接。通過(guò)接入透明防火墻的前后比對(duì)，發(fā)現(xiàn)接上透明防火墻后內(nèi)存剩余空間明顯增加。