前言：想要寫出一篇令人眼前一亮的文章嗎？我們特意為您整理了5篇防火墻在網(wǎng)絡(luò)中的作用范文，相信會(huì)為您的寫作帶來幫助，發(fā)現(xiàn)更多的寫作思路和靈感。

防火墻在網(wǎng)絡(luò)中的作用范文第1篇

1.1監(jiān)測(cè)型

監(jiān)測(cè)型防火墻在網(wǎng)絡(luò)安全保護(hù)中，表現(xiàn)出主動(dòng)特性，主動(dòng)阻斷網(wǎng)絡(luò)攻擊。此類防火墻的能力比較高，其在安全防護(hù)的過程中體現(xiàn)探測(cè)服務(wù)，主要探測(cè)網(wǎng)絡(luò)節(jié)點(diǎn)。節(jié)點(diǎn)處的攻擊較為明顯，有效探測(cè)到網(wǎng)絡(luò)內(nèi)部、外部的所有攻擊，以免攻擊者惡意篡改信息，攻擊內(nèi)網(wǎng)。監(jiān)測(cè)型防火墻在網(wǎng)絡(luò)安全中的應(yīng)用效益較為明顯，成為防火墻的發(fā)展趨勢(shì)，提升網(wǎng)絡(luò)安全的技術(shù)能力，但是由于監(jiān)測(cè)型防火墻的成本高，促使其在網(wǎng)絡(luò)安全中的發(fā)展受到挑戰(zhàn)，還需借助技術(shù)能力提升自身地位。

1.2型

型屬于包過濾的演變，包過濾應(yīng)用在網(wǎng)絡(luò)層，而型則服務(wù)于應(yīng)用層，完成計(jì)算機(jī)與服務(wù)器的過程保護(hù)。型防火墻通過提供服務(wù)器，保護(hù)網(wǎng)絡(luò)安全，站在計(jì)算機(jī)的角度出發(fā)，型防火墻相當(dāng)于真實(shí)服務(wù)器，對(duì)于服務(wù)器而言，型防火墻則扮演計(jì)算機(jī)的角色。型防火墻截取中間的傳輸信息，形成中轉(zhuǎn)站，通過與中轉(zhuǎn)的方式，集中處理惡意攻擊，切斷攻擊者可以利用的通道，由此外部攻擊難以進(jìn)入內(nèi)網(wǎng)環(huán)境。型防火墻安全保護(hù)的能力較高，有效防止網(wǎng)絡(luò)攻擊。

2.基于防火墻的網(wǎng)絡(luò)安全技術(shù)應(yīng)用

結(jié)合防火墻的類型與技術(shù)表現(xiàn)，分析其在網(wǎng)絡(luò)安全中的實(shí)際應(yīng)用，體現(xiàn)基于防火墻網(wǎng)絡(luò)安全技術(shù)的優(yōu)勢(shì)。防火墻在網(wǎng)絡(luò)安全中的應(yīng)用主要以內(nèi)外和外網(wǎng)為主，做如下分析：

2.1防火墻技術(shù)在內(nèi)網(wǎng)中的應(yīng)用

防火墻在內(nèi)網(wǎng)中的位置較為特定，基本安置在Web入口處，保護(hù)內(nèi)網(wǎng)的運(yùn)行環(huán)境。內(nèi)網(wǎng)系統(tǒng)通過防火墻能夠明確所有的權(quán)限規(guī)劃，規(guī)范內(nèi)網(wǎng)用戶的訪問路徑，促使內(nèi)網(wǎng)用戶只能在可控制的狀態(tài)下，實(shí)現(xiàn)運(yùn)行訪問，避免出現(xiàn)路徑混淆，造成系統(tǒng)漏洞。防火墻在內(nèi)網(wǎng)中的應(yīng)用主要表現(xiàn)在兩方面，如：(1)認(rèn)證應(yīng)用，內(nèi)網(wǎng)中的多項(xiàng)行為具有遠(yuǎn)程特性，此類網(wǎng)絡(luò)行為必須在認(rèn)證的約束下，才能實(shí)現(xiàn)準(zhǔn)確連接，以免出現(xiàn)錯(cuò)接失誤，導(dǎo)致內(nèi)網(wǎng)系統(tǒng)面臨癱瘓威脅；(2)防火墻準(zhǔn)確記錄內(nèi)網(wǎng)的訪問請(qǐng)求，規(guī)避來自內(nèi)網(wǎng)自身的網(wǎng)絡(luò)攻擊，防火墻記錄請(qǐng)求后生成安全策略，實(shí)現(xiàn)集中管控，由此內(nèi)網(wǎng)計(jì)算機(jī)不需要實(shí)行單獨(dú)策略，在公共策略服務(wù)下，即可實(shí)現(xiàn)安全保護(hù)。

2.2防火墻技術(shù)在外網(wǎng)中的應(yīng)用

防火墻在外網(wǎng)中的應(yīng)用體現(xiàn)在防范方面，防火墻根據(jù)外網(wǎng)的運(yùn)行情況，制定防護(hù)策略，外網(wǎng)只有在防火墻授權(quán)的狀態(tài)下，才可進(jìn)入內(nèi)網(wǎng)。針對(duì)外網(wǎng)布設(shè)防火墻時(shí)，必須保障全面性，促使外網(wǎng)的所有網(wǎng)絡(luò)活動(dòng)均可在防火墻的監(jiān)視下，如果外網(wǎng)出現(xiàn)非法入侵，防火墻則可主動(dòng)拒絕為外網(wǎng)提供服務(wù)?；诜阑饓Φ?a href="http://www.83352.cn/haowen/221769.html" target="_blank">作用下，內(nèi)網(wǎng)對(duì)于外網(wǎng)而言，處于完全封閉的狀態(tài)，外網(wǎng)無法解析到內(nèi)網(wǎng)的任何信息。防火墻成為外網(wǎng)進(jìn)入內(nèi)網(wǎng)的唯一途徑，所以防火墻能夠詳細(xì)記錄外網(wǎng)活動(dòng)，匯總成日志，防火墻通過分析日常日志，判斷外網(wǎng)行為是否具有攻擊特性。近幾年，隨著網(wǎng)絡(luò)化的發(fā)展，外網(wǎng)與內(nèi)網(wǎng)連接并不局限于一條路徑，所以在所有的連接路徑上都需實(shí)行防火墻保護(hù)，實(shí)時(shí)監(jiān)控外網(wǎng)活動(dòng)。

3.防火墻技術(shù)在網(wǎng)絡(luò)安全的優(yōu)化措施

防火墻技術(shù)面對(duì)日益復(fù)雜的網(wǎng)絡(luò)發(fā)展，表現(xiàn)出低效狀態(tài)，出現(xiàn)部分漏洞，影響防火墻安全保護(hù)的能力。因此，為保障網(wǎng)絡(luò)安全技術(shù)的運(yùn)行水平，結(jié)合防火墻的運(yùn)行與發(fā)展，提出科學(xué)的優(yōu)化途徑，發(fā)揮防火墻網(wǎng)絡(luò)保護(hù)的優(yōu)勢(shì)。針對(duì)網(wǎng)絡(luò)安全中的防火墻技術(shù)，提出以下三點(diǎn)優(yōu)化措施：

3.1控制擁有成本

防火墻能力可以通過成本衡量，擁有成本成為防火墻安全保護(hù)能力的評(píng)價(jià)標(biāo)準(zhǔn)。控制防火墻的擁有成本，避免其超過網(wǎng)絡(luò)威脅的損失成本，由此即可體現(xiàn)防火墻的防護(hù)效益。如果防火墻的成本低于損失成本，表明該防火墻未能發(fā)揮有效的防護(hù)能力，制約了網(wǎng)絡(luò)安全技術(shù)的發(fā)展。

3.2強(qiáng)化防火墻自身安全

防火墻自身的安全級(jí)別非常明顯，由于其所處的網(wǎng)絡(luò)環(huán)境不同，促使其在安全保護(hù)方面受到影響。為加強(qiáng)防火墻的安全能力，規(guī)范配置設(shè)計(jì)，深入研究防火墻的運(yùn)行實(shí)質(zhì)，手動(dòng)更改防護(hù)參數(shù)，排除防火墻自帶的漏洞。防火墻經(jīng)過全面測(cè)試后才可投入網(wǎng)絡(luò)市場(chǎng)，但是因?yàn)榉阑饓Φ姆N類較多，所以其自身仍舊存在風(fēng)險(xiǎn)項(xiàng)目。強(qiáng)化防火墻的自身安全，才可提升網(wǎng)絡(luò)安全技術(shù)的防護(hù)性能。

3.3構(gòu)建防火墻平臺(tái)

防火墻平臺(tái)能夠體現(xiàn)綜合防護(hù)技術(shù)，確保網(wǎng)絡(luò)防護(hù)的安全、穩(wěn)定。通過管理手段構(gòu)建防火墻平臺(tái)，以此來保障網(wǎng)絡(luò)安全技術(shù)的能力，發(fā)揮防火墻預(yù)防與控制的作用。防火墻管理在平臺(tái)構(gòu)建中占據(jù)重要地位，直接影響防火墻平臺(tái)的效益，有利于強(qiáng)化平臺(tái)防范水平。由此可見：防火墻平臺(tái)在網(wǎng)絡(luò)安全技術(shù)中具有一定影響力，保障防火墻的能力，促使防火墻處于優(yōu)質(zhì)的狀態(tài)，安全保護(hù)網(wǎng)絡(luò)運(yùn)行。

4.結(jié)束語

防火墻在網(wǎng)絡(luò)中的作用范文第2篇

【關(guān)鍵詞】網(wǎng)絡(luò)安全;防火墻技術(shù);性能;發(fā)展趨勢(shì)

1引言

隨著網(wǎng)絡(luò)技術(shù)的飛速發(fā)展和網(wǎng)絡(luò)時(shí)代的到來,網(wǎng)絡(luò)安全問題變的越來越嚴(yán)重。由于網(wǎng)絡(luò)不安全造成的損失也越來越大,人們?yōu)榻鉀Q網(wǎng)絡(luò)安全問題投入的資金也越來越多。網(wǎng)絡(luò)安全是一個(gè)關(guān)系國家安全、社會(huì)穩(wěn)定的重要問題,網(wǎng)絡(luò)的安全已經(jīng)成為急需解決的問題。

為了保護(hù)網(wǎng)絡(luò)的安全,人們將防火墻這個(gè)概念運(yùn)用到了網(wǎng)絡(luò)世界里。它是內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間的一道柵欄,用以阻擋外部網(wǎng)絡(luò)的入侵,相當(dāng)于中世紀(jì)的護(hù)城河。防火墻是目前最為流行、使用最為廣泛的一種網(wǎng)絡(luò)安全技術(shù)。本文主要討論防火墻技術(shù),并對(duì)其發(fā)展趨勢(shì)作了初步的分析。

2防火墻技術(shù)

2.1 防火墻概述

防火墻是網(wǎng)絡(luò)之間一種特殊的訪問控制設(shè)施,是一種屏障,用于隔離Internet的某一部分,限制這部分與Internet其它部分之間數(shù)據(jù)的自由流動(dòng)。防火墻的位置被安裝在內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)之間,以在不可靠的互聯(lián)網(wǎng)絡(luò)中建立一個(gè)可靠的子網(wǎng)。防火墻作為保障內(nèi)部網(wǎng)絡(luò)安全的手段,它有助于建立一個(gè)網(wǎng)絡(luò)安全機(jī)制,并通過網(wǎng)絡(luò)配置、主機(jī)系統(tǒng)、路由器與身份認(rèn)證等手段來實(shí)現(xiàn)安全機(jī)制。一般說來防火墻主要有以下的功能:防火墻是網(wǎng)絡(luò)安全的屏障;防火墻可以強(qiáng)化網(wǎng)絡(luò)安全策略;對(duì)網(wǎng)絡(luò)存取和訪問進(jìn)行監(jiān)控審計(jì);防止內(nèi)部信息的外泄;安全策略檢查和實(shí)施NAT的理想平臺(tái)。

防火墻是兩個(gè)網(wǎng)絡(luò)之間的成分集合,它必須具有以下性質(zhì)才能起作用:

(1)從里向外或從外向里的流量都必須通過防火墻;

(2)只有本地安全策略放行的流量才能通過防火墻;

(3)防火墻本身是不可穿透的。

2.2 防火墻的類型

(1)IP級(jí)防火墻

IP級(jí)防火墻又稱為報(bào)文過濾或包過濾(packet filter)防火墻,它通常在路由軟件中實(shí)現(xiàn),工作在網(wǎng)絡(luò)層中,因此也稱網(wǎng)絡(luò)防火墻。依據(jù)防火墻內(nèi)事先設(shè)定的過濾規(guī)則,檢查數(shù)據(jù)流中每個(gè)數(shù)據(jù)包頭部,根據(jù)數(shù)據(jù)包的源地址、目的地址、TCP/UDP源端口號(hào)、TCP/UDP目的端口號(hào)及數(shù)據(jù)包頭中的各種標(biāo)志位等因數(shù)來確定是否允許數(shù)據(jù)包通過。使用這種類型的防火墻時(shí),內(nèi)部主機(jī)與外部主機(jī)之間存在直接的IP報(bào)文交互,即使防火墻停止工作也不影響其連通性。因此,IP防火墻具有簡(jiǎn)單、方便、速度快,透明性好和不影響網(wǎng)絡(luò)的特點(diǎn)。但是IP防火墻只能根據(jù)IP地址和端口號(hào)來過濾報(bào)文,缺乏用戶日志和審計(jì)信息,缺乏用戶認(rèn)證機(jī)制,對(duì)過濾規(guī)則的完備性也難以得到檢驗(yàn),所以IP防火墻的安全性是比較差的。

(2)應(yīng)用級(jí)防火墻

應(yīng)用級(jí)防火墻又稱(proxy)防火墻。它通常作用在應(yīng)用層,直接對(duì)特定的應(yīng)用層進(jìn)行服務(wù)。這類防火墻通常是一臺(tái)封堵了內(nèi)外直接連接的雙穴主機(jī)(dual-home-host),為兩端的機(jī)器服務(wù)請(qǐng)求,也可以是一些可以訪問Internet并被內(nèi)部主機(jī)訪問的堡壘主機(jī)。防火墻能進(jìn)行安全控制和加速訪問,有效地實(shí)現(xiàn)防火墻內(nèi)外計(jì)算機(jī)系統(tǒng)的隔離,安全性好,以及實(shí)施較強(qiáng)的數(shù)據(jù)流監(jiān)控、過濾、記錄和報(bào)告等功能。其缺點(diǎn)是效率低,對(duì)于每一種應(yīng)用服務(wù)都必須為其設(shè)計(jì)一個(gè)軟件模塊來進(jìn)行安全控制,而每一種網(wǎng)絡(luò)應(yīng)用服務(wù)的安全問題各不相同,分析困難,實(shí)現(xiàn)也困難。

(3)鏈路級(jí)防火墻

鏈路級(jí)防火墻的工作原理、組成結(jié)構(gòu)與應(yīng)用級(jí)防火墻相似,但它并不針對(duì)專門的應(yīng)用協(xié)議,而是一種傳輸層的TCP(UDP)連接中繼服務(wù)。連接的發(fā)起方不直接與響應(yīng)方建立連接,而是與鏈路級(jí)防火墻交互,由它再與響應(yīng)方建立連接,并在此過程中完成用戶鑒別。在隨后的通信中維護(hù)數(shù)據(jù)的安全(如進(jìn)行數(shù)據(jù)加密)、控制通信的進(jìn)展。鏈路級(jí)防火墻提供的安全保護(hù)主要包括:對(duì)連接的存在時(shí)間進(jìn)行監(jiān)測(cè),除去超出所允許的存在時(shí)間的連接,這可防止過大的郵件和文件傳送;建立允許的發(fā)起方表,提供鑒別機(jī)制;對(duì)傳輸?shù)臄?shù)據(jù)提供加密保護(hù)。

各種防火墻的性能比較如表2-1所示。

2.3 傳統(tǒng)防火墻的缺點(diǎn)

上述三種基本的防火墻技術(shù)都存在不足之處。比如IP級(jí)防火墻存在不能徹底防止地址欺騙、正常的數(shù)據(jù)包路由器無法執(zhí)行某些安全策略等不足,應(yīng)用級(jí)防火墻則有不能改進(jìn)低層協(xié)議的安全性、實(shí)現(xiàn)比較復(fù)雜等缺點(diǎn)。傳統(tǒng)的防火墻大多都采用報(bào)文過濾技術(shù)。在實(shí)際環(huán)境中,大多數(shù)的攻擊和越權(quán)訪問來自于內(nèi)部,而傳統(tǒng)的邊界防火墻無法對(duì)內(nèi)部網(wǎng)絡(luò)進(jìn)行有效的保護(hù)。首先,防火墻提供的是靜態(tài)防御,它的規(guī)則都必須事先設(shè)置,對(duì)于實(shí)時(shí)的攻擊或異常的行為不能做出實(shí)時(shí)反應(yīng)。其次,防火墻規(guī)則是一種粗顆粒的檢查,對(duì)一些協(xié)議細(xì)節(jié)無法做到完全解析。此外,防火墻防外不防內(nèi),對(duì)于內(nèi)部用戶的非法行為或已經(jīng)滲透的攻擊無法檢查和響應(yīng)。

3防火墻的發(fā)展趨勢(shì)

目前防火墻的安全性、效率和功能方面的矛盾還是比較突出。防火墻的技術(shù)結(jié)構(gòu),往往是安全高效率就低,效率高就會(huì)以犧牲安全為代價(jià)。未來的防火墻要求是高安全性和高效率。使用專門的芯片負(fù)責(zé)訪問控制功能、設(shè)計(jì)新的防火墻的技術(shù)架構(gòu)是未來防火墻的方向。

3.1 分布式防火墻

分布式防火墻是指那些駐留在網(wǎng)絡(luò)中的主機(jī),如服務(wù)器或臺(tái)式機(jī)并對(duì)系統(tǒng)自身提供安全防護(hù)的軟件產(chǎn)品,用以保護(hù)企業(yè)網(wǎng)絡(luò)中的關(guān)鍵結(jié)點(diǎn)服務(wù)器、數(shù)據(jù)及工作站免受非法入侵的破壞。布式防火墻仍然由中心定義策略,但由各個(gè)分布在網(wǎng)絡(luò)中的端點(diǎn)實(shí)施這些制定的策略。

分布式防火墻把Internet和內(nèi)部網(wǎng)絡(luò)均視為"不友好的"。它們對(duì)個(gè)人計(jì)算機(jī)進(jìn)行保護(hù)的方式如同邊界防火墻對(duì)整個(gè)網(wǎng)絡(luò)進(jìn)行保護(hù)一樣。對(duì)于Web服務(wù)器來說,分布式防火墻進(jìn)行配置后能夠阻止一些非必要的協(xié)議,如HTTP 和 HTTPS之外的協(xié)議通過,從而阻止了非法入侵的發(fā)生,同時(shí)還具有入侵檢測(cè)及防護(hù)功能。從廣義來講,分布式防火墻是一中新的防火墻體系結(jié)構(gòu),他包含網(wǎng)絡(luò)防火墻、主機(jī)防火墻、中心管理等產(chǎn)品。

3.2 防火墻聯(lián)動(dòng)

隨著人們安全意識(shí)的日益提高,防火墻、防病毒、入侵檢測(cè)、加密機(jī)等安全產(chǎn)品開始被大量部署在網(wǎng)絡(luò)中。由于缺少統(tǒng)一、聯(lián)動(dòng)的技術(shù),現(xiàn)有安全產(chǎn)品往往各自為政,沒能形成一個(gè)統(tǒng)一的整體。為了解決這一問題,防火墻聯(lián)動(dòng)技術(shù)正漸漸成為網(wǎng)絡(luò)安全領(lǐng)域的一個(gè)新興課題,引起眾多專家和安全廠商的關(guān)注。目前,應(yīng)用范圍較為廣泛的防火墻聯(lián)動(dòng)方式主要有以下幾種。

(1)與防病毒實(shí)現(xiàn)聯(lián)動(dòng)

病毒對(duì)網(wǎng)絡(luò)系統(tǒng)造成了巨大的破壞和威脅,構(gòu)建可靠的網(wǎng)絡(luò)防毒體系是網(wǎng)絡(luò)安全的必要保障。防火墻處于內(nèi)外網(wǎng)絡(luò)信息流的必經(jīng)之地,在網(wǎng)關(guān)一級(jí)就對(duì)病毒進(jìn)行查殺,成為網(wǎng)絡(luò)防病毒系統(tǒng)的重要一環(huán)。

(2)與入侵檢測(cè)實(shí)現(xiàn)聯(lián)動(dòng)

防火墻與入侵檢測(cè)系統(tǒng)聯(lián)動(dòng)是聯(lián)動(dòng)體系中重要的一環(huán),這是因?yàn)檫@兩種技術(shù)具有較強(qiáng)的互補(bǔ)性。目前,實(shí)現(xiàn)入侵檢測(cè)和防火墻之間的聯(lián)動(dòng)有兩種方式。一種是實(shí)現(xiàn)緊密結(jié)合,即把入侵檢測(cè)系統(tǒng)嵌入到防火墻中。第二種方式是通過開放接口來實(shí)現(xiàn)聯(lián)動(dòng)。

(3)與日志處理間實(shí)現(xiàn)聯(lián)動(dòng)

防火墻與日志處理之間的聯(lián)動(dòng),目前國內(nèi)廠商做的不多。比較有代表性的是Check Point的防火墻,它提供兩個(gè)API:LEA(Log Export API)和ELA(Event Logging API),允許第三方訪問日志數(shù)據(jù)。

4結(jié)束語

隨著Internet廣泛應(yīng)用和計(jì)算機(jī)科學(xué)技術(shù)的不斷發(fā)展,防火墻技術(shù)也在不斷的發(fā)展。但是在網(wǎng)絡(luò)日益嚴(yán)峻的今天,光有防火墻技術(shù)是遠(yuǎn)遠(yuǎn)不夠的,我們還得考慮其他的問題。不過防火墻作為網(wǎng)絡(luò)安全的第一道重要的屏障,如何提高防火墻的防護(hù)能力并保證系統(tǒng)的高速有效性將是一個(gè)隨網(wǎng)絡(luò)技術(shù)發(fā)展而要不斷研究的課題。

【參考文獻(xiàn)】

[1] 蔡永泉編著.計(jì)算機(jī)網(wǎng)絡(luò)安全[M].北京:北京航空航天大學(xué)出版社,2006.10

[2] 趙安軍,曾應(yīng)員,徐邦海,常春藤編著.網(wǎng)絡(luò)安全技術(shù)與應(yīng)用[M].北京:人民郵電出版社,2007.7

[3] 王代潮,曾德超.防火墻技術(shù)的演變及其發(fā)展趨勢(shì)分析[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用,2005(07)

防火墻在網(wǎng)絡(luò)中的作用范文第3篇

【關(guān)鍵詞】防火墻;網(wǎng)絡(luò)安全;技術(shù)

0.引言

隨著科學(xué)技術(shù)的快速發(fā)展，網(wǎng)絡(luò)技術(shù)的不斷發(fā)展和完善，在當(dāng)今信息化的社會(huì)中，我們生活和工作中的許多數(shù)據(jù)、資源與信息都通過計(jì)算機(jī)系統(tǒng)來存儲(chǔ)和處理，伴隨著網(wǎng)絡(luò)應(yīng)用的發(fā)展，這些信息都通過網(wǎng)絡(luò)來傳送、接收和處理，所以計(jì)算機(jī)網(wǎng)絡(luò)在社會(huì)生活中的作用越來越大。為了維護(hù)計(jì)算機(jī)網(wǎng)絡(luò)的安全，人們提出了許多手段和方法，采用防火墻是其中最主要、最核心、最有效的手段之一。防火墻是網(wǎng)絡(luò)安全政策的有機(jī)組成部分，它通過控制和監(jiān)測(cè)網(wǎng)絡(luò)之間的信息交換和訪問行為來實(shí)施對(duì)網(wǎng)絡(luò)安全的有效管理。

1.防火墻的分類

防火墻是在內(nèi)部網(wǎng)與外部網(wǎng)之間實(shí)施安全防范的系統(tǒng)，它用于保護(hù)可信網(wǎng)絡(luò)免受非可信網(wǎng)絡(luò)的威脅，同時(shí)，仍允許雙方通信，目前，許多防火墻都用于Internet內(nèi)部網(wǎng)之間，但在任何網(wǎng)間和企業(yè)網(wǎng)內(nèi)部均可使用防火墻。按防火墻發(fā)展的先后順序可分為：包過濾型（PackFilter）防火墻（也叫第一代防火墻）。復(fù)合型（Hybrid）防火墻（也叫第二代防火墻）；以及繼復(fù)合型之后的第三代防火墻，在第三代防火墻中最具代表性的又：IGA (InternetGatewayAppciance)防毒墻；SonicWall防火墻以及Cink TvustCyberwall等。

按防火墻在網(wǎng)絡(luò)中的位置可分為：邊界防火墻、分布式防火墻。分布式防火墻又包括主機(jī)防火墻、網(wǎng)絡(luò)防火墻。按實(shí)現(xiàn)手段可分為：硬件防火墻、軟件防火墻以及軟硬兼施的防火墻。

網(wǎng)絡(luò)防火墻技術(shù)是一種用來加強(qiáng)網(wǎng)絡(luò)之間的訪問控制，防止外部網(wǎng)絡(luò)用戶以非法手段通過外部網(wǎng)絡(luò)進(jìn)入內(nèi)部網(wǎng)絡(luò)訪問內(nèi)部網(wǎng)絡(luò)資源，保護(hù)內(nèi)部網(wǎng)絡(luò)操作環(huán)境的特殊網(wǎng)絡(luò)互聯(lián)設(shè)備。它對(duì)兩個(gè)或多個(gè)網(wǎng)絡(luò)之間傳輸?shù)臄?shù)據(jù)包，如鏈接方式，按照一定的安全策略來實(shí)施檢查，以決定網(wǎng)絡(luò)之間的通信是否被允許，并監(jiān)視網(wǎng)絡(luò)運(yùn)行狀態(tài)。

2.防火墻在網(wǎng)絡(luò)安全中的作用

防火墻的作用是防止非法通信和未經(jīng)過授權(quán)的通信進(jìn)出被保護(hù)的網(wǎng)絡(luò)。防火墻的任務(wù)就是從各種端口中辨別判斷從外部不安全網(wǎng)絡(luò)發(fā)送到內(nèi)部安全網(wǎng)絡(luò)中具體的計(jì)算機(jī)的數(shù)據(jù)是否有害，并盡可能地將有害數(shù)據(jù)丟棄，從而達(dá)到初步的網(wǎng)絡(luò)系統(tǒng)安全保障。它還要在計(jì)算機(jī)網(wǎng)絡(luò)和計(jì)算機(jī)系統(tǒng)受到危害之前進(jìn)行報(bào)警、攔截和響應(yīng)。一般通過對(duì)內(nèi)部網(wǎng)絡(luò)安裝防火墻和正確配置后都可以達(dá)到以下目的：①限制他人進(jìn)入內(nèi)部網(wǎng)絡(luò)，過濾掉不安全服務(wù)和非法用戶。②防止入侵者接近你的防御設(shè)施。③限定用戶訪問特殊站點(diǎn)。④為監(jiān)視Intemet安全提供方便。

3.防火墻的工作原理

防火墻可以用來控制Internet和Intranet之間所有的數(shù)據(jù)流量。在具體應(yīng)用中，防火墻是位于被保護(hù)網(wǎng)和外部網(wǎng)之間的一組路由器以及配有適當(dāng)軟件的計(jì)算機(jī)網(wǎng)絡(luò)的多種組合。防火墻為網(wǎng)絡(luò)安全起到了把關(guān)作用，只允許授權(quán)的通信通過。防火墻是兩個(gè)網(wǎng)絡(luò)之間的成分集合，有以下性質(zhì)：①內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間的所有網(wǎng)絡(luò)數(shù)據(jù)流都必須通過防火墻；②只有符合安全策略的數(shù)據(jù)流才能通過防火墻；③防火墻自身應(yīng)具有非常強(qiáng)的抗攻擊免疫力。一個(gè)好的防火墻應(yīng)具有以下屬性：一是所有的信息都必須通過防火墻；二是只有在受保護(hù)網(wǎng)絡(luò)的安全策略中允許的通信才允許通過防火墻；三是記錄通過防火墻的信息內(nèi)容和活動(dòng)；四是對(duì)網(wǎng)絡(luò)攻擊的檢測(cè)和告警；五是防火墻本身對(duì)各種攻擊免疫。

4.防火墻技術(shù)

防火墻的種類多種多樣，在不同的發(fā)展階段，采用的技術(shù)也各不相同，因而也就產(chǎn)生了不同類型的防火墻。防火墻所采用的技術(shù)主要有：

4.1 屏蔽路由技術(shù)

最簡(jiǎn)單和最流行的防火墻形式是“屏蔽路由器”。屏蔽路由器在網(wǎng)絡(luò)層工作（有的還包括傳輸層），采用包過濾或虛電路技術(shù)，包過濾通過檢查每個(gè)IP網(wǎng)絡(luò)包，取得其頭信息，一般包括：到達(dá)的物理網(wǎng)絡(luò)接口，源IP地址，目標(biāo)IP地址，傳輸層類型（TCPUDP ICMP），源端口和目的端口。根據(jù)這些信息，判別是否規(guī)則集中的某條目匹配，并對(duì)匹配包執(zhí)行規(guī)則中指定的動(dòng)作（禁止或允許）。

4.2 基于的（也稱應(yīng)用網(wǎng)關(guān)）防火墻技術(shù)

它通過被配置為“雙宿主網(wǎng)關(guān)”,具有兩個(gè)網(wǎng)絡(luò)接口卡，同時(shí)接入內(nèi)部和外部網(wǎng)。由于網(wǎng)關(guān)可以與兩個(gè)網(wǎng)絡(luò)通信，它是按裝傳遞數(shù)據(jù)軟件的理想位置。這種軟件就稱為“”，通常是為其所提供的服務(wù)定制的。服務(wù)不允許直接與真正的服務(wù)通信，而是與服務(wù)器通信（用戶的默認(rèn)網(wǎng)關(guān)指向服務(wù)器）。各個(gè)應(yīng)用在用戶和服務(wù)之間處理所有的通信。能夠?qū)νㄟ^它的數(shù)據(jù)進(jìn)行詳細(xì)的審計(jì)追蹤，許多專家也認(rèn)為它更加安全，因?yàn)檐浖梢愿鶕?jù)防火墻后面的主機(jī)的脆弱性來制定，以專門防范已知的攻擊。

4.3 包過濾技術(shù)

系統(tǒng)按照一定的信息過濾規(guī)則，對(duì)進(jìn)出內(nèi)部網(wǎng)絡(luò)的信息進(jìn)行限制，允許授權(quán)信息通過，而拒絕非授權(quán)信息通過。包過濾防火墻工作在網(wǎng)絡(luò)層和邏輯鏈路層之間。截獲所有流經(jīng)的IP包，從其IP頭、傳輸層協(xié)議頭，甚至應(yīng)用層協(xié)議數(shù)據(jù)中獲取過濾所需的相關(guān)信息。然后依次按順序與事先設(shè)定的訪問控制規(guī)則進(jìn)行一一匹配比較，執(zhí)行其相關(guān)的動(dòng)作。

4.4 動(dòng)態(tài)防火墻技術(shù)

動(dòng)態(tài)防火墻技術(shù)是針對(duì)靜態(tài)包過濾技術(shù)而提出的一項(xiàng)新技術(shù)。靜態(tài)包過濾技術(shù)局限于過濾基于源及目的的端口，IP地址的輸入輸出業(yè)務(wù)，因而限制了控制能力，并且由于網(wǎng)絡(luò)的所有高位（1024-65 535）端要么開發(fā)，要么關(guān)閉，使網(wǎng)絡(luò)處于很不完全的境地。而動(dòng)態(tài)防火墻技術(shù)可創(chuàng)建動(dòng)態(tài)的規(guī)則，使其適應(yīng)不斷改變的網(wǎng)絡(luò)業(yè)務(wù)量。根據(jù)用戶的不同要求，規(guī)則能被修改并接受或拒絕條件。動(dòng)態(tài)防火墻為了跟蹤維護(hù)連接狀態(tài)，它必須對(duì)所有進(jìn)出的數(shù)據(jù)包進(jìn)行分析，從其傳輸層，應(yīng)用層中提取相關(guān)的通訊和應(yīng)用狀態(tài)信息，根據(jù)其源和目的IP地址，傳輸層協(xié)議和源及目的端口來區(qū)分每一連接，并建立動(dòng)態(tài)連接表為所有連接存儲(chǔ)其狀態(tài)和上下文信息；同時(shí)為檢查后續(xù)通訊。應(yīng)及時(shí)更新這些信息，當(dāng)連接結(jié)束時(shí)，也應(yīng)及時(shí)從連接表中刪除其相應(yīng)信息。

4.5 一種改進(jìn)的防火墻技術(shù)（或稱復(fù)合型防火墻技術(shù)）

由于過濾型防火墻安全性不高，服務(wù)器型防火墻速度較慢，因而出現(xiàn)了一種綜合上述兩種技術(shù)優(yōu)點(diǎn)的改進(jìn)型防火墻技術(shù)，它保證了一定的安全性，又使通過它的信息傳輸速度不至于受到太大的影響。對(duì)于那些從內(nèi)部網(wǎng)向外部網(wǎng)發(fā)出的請(qǐng)求，由于對(duì)內(nèi)部網(wǎng)的威脅不大，因此可直接下載外部網(wǎng)建立連接，對(duì)于那些從外部網(wǎng)向內(nèi)部網(wǎng)提出的請(qǐng)求，先要通過包過濾型防火墻，在此經(jīng)過初步安全檢查，兩次檢查確定無疑后可接受其請(qǐng)求，否則，就需要丟棄或作其他處理。

5.防火墻的應(yīng)用

5.1 硬件防火墻的設(shè)置

下面以思科PIX 501型防火墻為例，設(shè)置如下：要設(shè)置內(nèi)部接口的IP地址，使用如下命令：

PIX1（config）# ip address inside 10.1.1.1 255.0.0.0

PIX1(config)#

現(xiàn)在，設(shè)置外部接口的IP地址：

PIX1（config）# ip address outside 1.1.1 255.255.255.0

PIX1(config)#

下一步，啟動(dòng)內(nèi)部和外部接口。確認(rèn)每一個(gè)接口的以太網(wǎng)電纜線連接到一臺(tái) 交換機(jī)。注意，enthernet0接口是外部接口，它在PIX 501防火墻中只是一個(gè)10base-T接口。ether-net1接口是內(nèi)部接口，是一個(gè)100Base-T接口。下面是啟動(dòng)這些接口的方法：

PIX1(config)# interface ethernet0 10baset

PIX1(config)# interface ethernet1 100full PIX1（config）#

最后設(shè)置一個(gè)默認(rèn)的路由，這樣，發(fā)送到PIX防火墻的所有的通訊都會(huì)流向下一個(gè)上行路由器（我們被分配的IP地址是10.76.12.254）：

PIX1（config）#route outside 0 0 10.76.12.254

PIX1(config)#

當(dāng)然，PIX防火墻也支持動(dòng)態(tài)路由協(xié)議（如RIP和OSPF協(xié)議）。

現(xiàn)在，我們接著介紹一些更高級(jí)的設(shè)置。網(wǎng)絡(luò)地址解析：

由于我們有IP地址連接，我們需要使用網(wǎng)絡(luò)地址解析讓內(nèi)部用戶連接到外部網(wǎng)絡(luò)。我們將使用一種稱作“PAT”或者“NATOver-load”的網(wǎng)絡(luò)地址解析。這樣，所有的內(nèi)部設(shè)備都可以共享一個(gè)公共的IP地址（PIX防火墻的外部IP地址）。要做到這一點(diǎn)，請(qǐng)輸入這些命令：

PIX1（config）# nat (inside )1 10.0.0.0 255.0.0.0

PIX1（config）#global(outside) 1 10.1.1.2

Global10.1.1.2 will be PortAddressTranslated

PIX1(config)#

使用這些命令之后，全部?jī)?nèi)部客戶機(jī)都可以連接到公共網(wǎng)絡(luò)的設(shè)備和共享IP地址10.1.1.2。然而，客戶機(jī)到目前為止還沒有任何規(guī)則允許他們這樣做。

5.2軟件防火墻的設(shè)置以天網(wǎng)、諾頓防火墻為例

5.2.1 天網(wǎng)防火墻（2.60版）

在天網(wǎng)防火墻的主面板上點(diǎn)擊“系統(tǒng)設(shè)置”按鈕，在彈出的“系統(tǒng)設(shè)置”窗口中，點(diǎn)擊“規(guī)則設(shè)定”中的“向?qū)А?，就?huì)彈出設(shè)置向?qū)А?/p>

在“安全級(jí)別設(shè)置”對(duì)話框中選擇好安全級(jí)別（局限網(wǎng)內(nèi)的用戶可以選擇“低”）后再點(diǎn)擊“下一步”按鈕，進(jìn)入“局限網(wǎng)信息設(shè)置”窗口。勾選“我的電腦在局限網(wǎng)中使用”，軟件便會(huì)自動(dòng)檢測(cè)本機(jī)的IP地址并顯示在下方。接下來，一路點(diǎn)擊“下一步”按鈕即可完成設(shè)置了。

5.2.2諾頓個(gè)人防火墻

在軟件的主界面左側(cè)點(diǎn)擊“Internet區(qū)域控制”選項(xiàng)在右側(cè)窗口進(jìn)入“信任區(qū)域”選項(xiàng)卡，點(diǎn)擊“添加”按鈕，打開“設(shè)定計(jì)算機(jī)”對(duì)話框。在該對(duì)話框中選擇“使用范圍”，然后再下面輸入允許訪問的起始地址和結(jié)束地址即可。

防火墻在網(wǎng)絡(luò)中的作用范文第4篇

關(guān)鍵詞：網(wǎng)絡(luò)防火墻技術(shù)；設(shè)計(jì)過程；問題

中圖分類號(hào)：TP393.08 文獻(xiàn)標(biāo)識(shí)碼：A文章編號(hào)：1007-9599 (2011) 19-0000-01

Network Firewall Technology and Design Process Related Issues

Shi Yang

(Xuzhou Port(Group)Co.,Ltd.Wanzhaigang Branch,Xuzhou221007,China)

Abstract:Network Security in the Information Age is now more and more sectors of society-wide attention and attention as an important security network security network firewall technology in practice more and play a position to defend the security role network security has become the patron saint.This paper analyzes the theory of the strong network of fire safety knowledge and practical experience,lessons and explore the network firewall network firewall design and operation of the process involved in issues related to exploration and research.

Keywords:Network firewall technology;Design process;Problem

一、網(wǎng)絡(luò)防火墻的相關(guān)理論研究

隨著和網(wǎng)絡(luò)時(shí)代的到來，網(wǎng)絡(luò)防火墻逐漸成為當(dāng)前最為重要相關(guān)網(wǎng)絡(luò)的防護(hù)手段，英文叫做“Firewall”。隨著信息技術(shù)的不斷發(fā)展，防火墻的過濾和防護(hù)機(jī)制的設(shè)計(jì)從最初的只注重外網(wǎng)的信息通訊防護(hù)和檢測(cè)，對(duì)內(nèi)網(wǎng)傳輸?shù)慕^對(duì)信任發(fā)展成為現(xiàn)在的不僅對(duì)于外網(wǎng)的通信需要進(jìn)行有效過濾和排查，也需要對(duì)內(nèi)部網(wǎng)絡(luò)用戶發(fā)出的數(shù)據(jù)或者通訊信息進(jìn)行安全過濾，這樣的設(shè)計(jì)和安排符合網(wǎng)絡(luò)防火墻的基本設(shè)計(jì)初衷和安全的要求。由此可見，防火墻并不是完全封閉不可透過的，它存在的過濾機(jī)制可以讓安全的通訊正常傳輸，而阻止具有破壞性的、危險(xiǎn)的通訊，以保護(hù)網(wǎng)絡(luò)安全。

網(wǎng)絡(luò)防火墻作為網(wǎng)絡(luò)安全的屏障具有自身特征：首先是網(wǎng)絡(luò)防火墻具有本身堅(jiān)固的抵御攻擊的免疫能力，這也是防火墻能擔(dān)當(dāng)網(wǎng)絡(luò)安全屏障的前提條件，只有防火墻自身具有完善的可以信任的安全防護(hù)系統(tǒng)，才談得上為網(wǎng)絡(luò)提供安全保證；其次，防火墻的工作原理和設(shè)計(jì)理念就是只有符合安全設(shè)置的數(shù)據(jù)和信號(hào)才能通過防火墻，才能順利傳輸；最后，防火墻是所有信息傳輸?shù)奈ㄒ煌ǖ?，無論是內(nèi)部網(wǎng)絡(luò)還是外部網(wǎng)絡(luò)傳輸?shù)男盘?hào)和數(shù)據(jù)都需要經(jīng)過防火墻，這樣防火墻才能起到真正過濾威脅，維護(hù)網(wǎng)絡(luò)通信安全的作用。

網(wǎng)絡(luò)防火墻通常情況下從軟硬件的形式上來劃分主要有硬件防火墻和軟件防火墻兩類；從防火墻的技術(shù)職能上來劃分主要可分為“包過濾型”和“應(yīng)用型”兩大類；如果按防火墻的應(yīng)用部署位置來劃分主要由邊界防火墻、個(gè)人防火墻和混合防火墻三大類；再從防火墻的結(jié)構(gòu)上來劃分主要有單一主機(jī)防火墻、路由器集成式防火墻和分布式防火墻三種。不同分類之下的防火墻通過在內(nèi)部和外部網(wǎng)絡(luò)的相關(guān)設(shè)置的檢查點(diǎn)來檢測(cè)和控制傳輸?shù)臄?shù)據(jù)和信號(hào)，將不同的網(wǎng)絡(luò)隔離開來，互相區(qū)分，以保證內(nèi)部信息和數(shù)據(jù)不會(huì)外泄和流失，強(qiáng)化了網(wǎng)絡(luò)安全防護(hù)的效果，有效審查網(wǎng)絡(luò)的相關(guān)活動(dòng)，保證網(wǎng)絡(luò)安全。

二、網(wǎng)絡(luò)防火墻設(shè)計(jì)和運(yùn)行中的相關(guān)問題研究

隨著網(wǎng)絡(luò)防火墻主要技術(shù)的不斷發(fā)展變革，主要包括的技術(shù)有：包過濾，是防火墻最為傳統(tǒng)、最基本的過濾技術(shù)之一；網(wǎng)絡(luò)地址轉(zhuǎn)換（NAT，Network Address Translate）；應(yīng)用級(jí)網(wǎng)關(guān)（服務(wù)器）；電路級(jí)網(wǎng)關(guān)技術(shù)是會(huì)話層過濾的數(shù)據(jù)包，較之包過濾要高出兩層左右；非軍事化區(qū)（DMZ）在網(wǎng)絡(luò)內(nèi)部設(shè)置公開化的網(wǎng)絡(luò)服務(wù)器設(shè)施，這樣較比其他的防火墻要多一道防護(hù)；透明模式也叫做透明技，此技術(shù)使得用戶也意識(shí)不到防火墻的存在；郵件轉(zhuǎn)發(fā)技術(shù)使得外部網(wǎng)絡(luò)只知道防火墻的域名或者IP地址，這樣只能將信息和數(shù)據(jù)傳輸?shù)椒阑饓υ谶M(jìn)行轉(zhuǎn)發(fā)，以實(shí)現(xiàn)保護(hù)內(nèi)網(wǎng)；堡壘主機(jī)經(jīng)常配置相關(guān)網(wǎng)關(guān)服務(wù)，設(shè)置一個(gè)監(jiān)測(cè)點(diǎn)，使所有內(nèi)網(wǎng)的完全問題集中在一個(gè)主機(jī)上解決；阻塞路由器和屏蔽路由器，在內(nèi)部網(wǎng)和內(nèi)外網(wǎng)連接中起到防護(hù)作用；隔離域名服務(wù)器是可以起到保證受保護(hù)網(wǎng)絡(luò)的IP地址不被外部網(wǎng)絡(luò)侵害或者知悉；狀態(tài)監(jiān)視器是最新的防火墻技術(shù)，安全防護(hù)的性能最佳，功能最強(qiáng)大。

在網(wǎng)絡(luò)防火墻設(shè)計(jì)結(jié)構(gòu)模式的發(fā)展歷程見證了不同時(shí)代的防火墻技術(shù)，這里主要介紹屏蔽路由器模式、屏蔽主機(jī)模式以及非軍事區(qū)結(jié)構(gòu)模式幾種。

屏蔽主機(jī)模式，在發(fā)展的一定階段的時(shí)候，防火墻技術(shù)在路由器后增加一道用于進(jìn)行安全控制點(diǎn)的計(jì)算機(jī)，眨眼那個(gè)可靠的計(jì)算，只有侵害透過了路由和堡壘主機(jī)才能到達(dá)內(nèi)網(wǎng)，加強(qiáng)了安全防護(hù)。

屏蔽路由器，較之屏蔽主機(jī)模式就略顯單一，也是之前的防火墻技術(shù)不夠完善的表現(xiàn)，這種防護(hù)策略是很原始、很單一，只限于在現(xiàn)有的硬件的基礎(chǔ)上實(shí)現(xiàn)單一的防護(hù)，加之過濾包的過濾，是最簡(jiǎn)單的防火技術(shù)原理。

非軍事區(qū)結(jié)構(gòu)，在這個(gè)防火墻技術(shù)設(shè)計(jì)中，同時(shí)存在著兩個(gè)防火墻系統(tǒng)，外部防火墻主要負(fù)責(zé)抵擋來自外部網(wǎng)絡(luò)的侵害和攻擊，內(nèi)部防火墻主要負(fù)責(zé)管理DMZ對(duì)于內(nèi)部網(wǎng)絡(luò)的輸入和訪問。內(nèi)部防火墻是對(duì)于內(nèi)部網(wǎng)絡(luò)的除了外部防火墻和堡壘主機(jī)之外的第三道安全屏障和防護(hù)，當(dāng)外部防火墻被侵害而失效時(shí)，它還可以繼續(xù)起到保護(hù)內(nèi)部網(wǎng)絡(luò)安全運(yùn)行的功能。在這樣涉及到防火墻安全結(jié)構(gòu)里，一個(gè)黑客想要進(jìn)攻內(nèi)網(wǎng)，必須完全通過三個(gè)相互獨(dú)立的防護(hù)區(qū)域（包括外部防火墻、內(nèi)部防火墻和堡壘主機(jī)）才能實(shí)際到達(dá)內(nèi)部局域網(wǎng)展開攻擊。保護(hù)的強(qiáng)度和范圍大大加大，網(wǎng)絡(luò)的穩(wěn)定性和安全性也就大大提升，當(dāng)然，隨之而來的，在這樣的網(wǎng)絡(luò)防火墻結(jié)構(gòu)設(shè)計(jì)里，經(jīng)濟(jì)成本投入毋庸置疑的也是最大的。

三、結(jié)束語

網(wǎng)絡(luò)信息時(shí)代，利用網(wǎng)絡(luò)進(jìn)行的經(jīng)濟(jì)活動(dòng)和社會(huì)生活也越來越廣泛和多樣，帶給人們社會(huì)生活的實(shí)際影響也就越來越大，因此，如何有效實(shí)現(xiàn)網(wǎng)絡(luò)安全也就成為當(dāng)今時(shí)代最為熱點(diǎn)的問題。網(wǎng)絡(luò)防火墻最為有效保護(hù)網(wǎng)絡(luò)安全的技術(shù)，需要在實(shí)踐里不斷研究探索和發(fā)展完善。在經(jīng)歷了不同時(shí)代防火墻技術(shù)的發(fā)展之后，現(xiàn)如今的防火墻技術(shù)已經(jīng)在一定程度上實(shí)現(xiàn)了有效保護(hù)內(nèi)網(wǎng)安全和穩(wěn)定的目的。但是，未來在具體的設(shè)計(jì)網(wǎng)絡(luò)防火墻還是任重道遠(yuǎn)的，因而黑客在不斷的進(jìn)步和技術(shù)更新，自然，網(wǎng)絡(luò)防火墻技術(shù)也相應(yīng)地需要在網(wǎng)管設(shè)置、技術(shù)更新、屏蔽形式、硬軟件設(shè)置和配備等多方面提升和完善，加大技術(shù)和資金投入，保證未來信息時(shí)代網(wǎng)絡(luò)安全運(yùn)行，為經(jīng)濟(jì)生產(chǎn)和社會(huì)生活保駕護(hù)航。

參考文獻(xiàn)：

防火墻在網(wǎng)絡(luò)中的作用范文第5篇

1防火墻的基本分類

時(shí)至今日，防火墻的發(fā)展已經(jīng)經(jīng)歷了一個(gè)較長(zhǎng)的過程，其發(fā)展歷程可以大致地歸納為：基于硬件技術(shù)的防火墻，最常見的硬件是路由器設(shè)備；以用戶為中心建立的防火墻應(yīng)用工具；伴隨著計(jì)算機(jī)操作系統(tǒng)的發(fā)展而逐步建立起來的防火墻技術(shù)，例如在常見的xp、windous7系統(tǒng)中開發(fā)的防火墻工具；擁有安全操作系統(tǒng)的防火墻，比較常見為netscreen。在每個(gè)發(fā)展階段都涌現(xiàn)出很多產(chǎn)品，無論這些產(chǎn)品基于何種技術(shù)或者平臺(tái)，我們都可以將其總結(jié)為：①按照結(jié)構(gòu)的不同可以將防火墻分為兩類，即路由器和過濾器設(shè)備的組合體系、主機(jī)系統(tǒng)；②從工作原理上進(jìn)行分類，防火墻可以分為四大類，即專業(yè)的硬件防火墻、數(shù)據(jù)包過濾型、電路層網(wǎng)關(guān)和應(yīng)用級(jí)網(wǎng)關(guān)；③按照防火墻在網(wǎng)絡(luò)中的位置來進(jìn)行分類的話，其可以分為兩種：分布式防火墻和邊界防火墻，其中網(wǎng)絡(luò)系統(tǒng)防火墻以及內(nèi)部網(wǎng)絡(luò)中的主機(jī)共同構(gòu)成了前者，④按照防火墻技術(shù)的發(fā)展先后順序，防火墻技術(shù)可以分為：第Ⅰ代防火墻技術(shù)即packfilter。第Ⅱ代防火墻技術(shù)即我們所熟悉的組合式防火墻。第Ⅲ代防火墻技術(shù)即基于第Ⅱ代防火墻技術(shù)所完善改進(jìn)而成的技術(shù)，例如防毒墻。第Ⅳ代防火墻技術(shù)，例如sonicwall。

2防火墻的主要功能

無論是在外部網(wǎng)絡(luò)中還是內(nèi)部網(wǎng)絡(luò)中，防火墻對(duì)于整個(gè)網(wǎng)絡(luò)體系的安全防護(hù)作用都是至關(guān)重要的，是互聯(lián)網(wǎng)與垃圾信息、病毒文件之間的有效屏障，其主要是保護(hù)特定的網(wǎng)絡(luò)或者特定的網(wǎng)絡(luò)中計(jì)算機(jī)終端免遭非法越權(quán)入侵以及內(nèi)部網(wǎng)中的用戶與外部進(jìn)行非法通信。如上文所述，防火墻技術(shù)已經(jīng)經(jīng)過了四代的發(fā)展，技術(shù)在不斷完善，但是其工作原理可以歸納為：將防護(hù)節(jié)點(diǎn)安置于內(nèi)外部網(wǎng)絡(luò)的鏈接端口，在這些斷口處設(shè)定相關(guān)安全規(guī)則，一旦發(fā)生數(shù)據(jù)傳輸或者訪問，這些數(shù)據(jù)就必須經(jīng)過端口安全規(guī)則的檢測(cè)認(rèn)證，檢測(cè)區(qū)是否對(duì)網(wǎng)絡(luò)存在安全威脅，如果經(jīng)檢測(cè)有害，那么會(huì)立即阻斷數(shù)據(jù)傳輸，起到了保護(hù)計(jì)算機(jī)網(wǎng)絡(luò)的目的，與此同時(shí)防火墻系統(tǒng)要在網(wǎng)絡(luò)受到攻擊時(shí)及時(shí)做出警示，提醒計(jì)算機(jī)用戶以及網(wǎng)絡(luò)安全維護(hù)人員不安全信息，終止操作，消除威脅。其中值得注意的是，防火墻的響應(yīng)時(shí)間也是至關(guān)重要的一環(huán)，因?yàn)樵诓煌木W(wǎng)絡(luò)之間的數(shù)據(jù)傳輸具有速度快、效率高、數(shù)量大、偽裝性好的特點(diǎn)，因此，在眾多信息中及時(shí)甄別出垃圾信息并及時(shí)按照既定程序阻斷刪除對(duì)于保護(hù)網(wǎng)絡(luò)系統(tǒng)安全就顯得尤為重要。防火墻的主要功能如圖2所示。

3防火墻的主要應(yīng)用