防火墻在網(wǎng)絡(luò)中的應(yīng)用精選(九篇)

前言：一篇好文章的誕生，需要你不斷地搜集資料、整理思路，本站小編為你收集了豐富的防火墻在網(wǎng)絡(luò)中的應(yīng)用主題范文，僅供參考，歡迎閱讀并收藏。

第1篇：防火墻在網(wǎng)絡(luò)中的應(yīng)用范文

關(guān)鍵詞：防火墻；包過濾；校園網(wǎng)絡(luò)；網(wǎng)絡(luò)安全

中圖分類號：TP393.08

針對主干網(wǎng)的DDoS攻擊、針對特定端口的大范圍網(wǎng)絡(luò)掃描與利用開放式遞歸DNS 查詢進(jìn)行流量放大攻擊等事件依然是主干網(wǎng)需要時(shí)刻警惕的安全問題。由于高校集中高密度的學(xué)生人群和學(xué)校本身的特殊性質(zhì)，校園網(wǎng)絡(luò)安全的問題需要引起社會的關(guān)注。

1 網(wǎng)絡(luò)安全問題

360網(wǎng)站安全部門總監(jiān)趙武在2013中國互聯(lián)網(wǎng)大會表示360公司在2012年做統(tǒng)計(jì)的時(shí)候發(fā)現(xiàn)互聯(lián)網(wǎng)80%的網(wǎng)站存在高危漏洞。到2013年360公司在高考期間做了一個(gè)中國高校網(wǎng)站的檢測報(bào)告，其實(shí)也證明超過95%的高校網(wǎng)站曾經(jīng)被篡改過。國內(nèi)的網(wǎng)站安全器，政府和高校的得分情況是最低。針對這一問題，美國聯(lián)邦政府已考慮將其活動(dòng)獨(dú)立于當(dāng)前互聯(lián)網(wǎng)中，而完全重新構(gòu)建在虛擬專用網(wǎng)絡(luò)中。但對于國內(nèi)外的校園網(wǎng)絡(luò)來說，由于其需要使學(xué)生學(xué)會應(yīng)用互聯(lián)網(wǎng)并從互聯(lián)網(wǎng)中取得新知識，其不能將自身完全脫離互聯(lián)網(wǎng)。但另一方面，當(dāng)前校園網(wǎng)絡(luò)對安全問題的重視性相比許多大型商業(yè)公司十分不夠，這一方面是由于網(wǎng)絡(luò)安全本身的復(fù)雜性，許多學(xué)校沒有足夠的技術(shù)能力解決這一問題，另一方面是由于購買專業(yè)的防火墻產(chǎn)品所需要的經(jīng)費(fèi)不足。因此更有必要探索更為合適的防火墻解決策略，而構(gòu)建防火墻特別是針對常見的網(wǎng)絡(luò)安全問題制定安全策略來切實(shí)保護(hù)網(wǎng)絡(luò)安全至關(guān)重要。

2 防火墻實(shí)現(xiàn)及策略定義

2.1 防火墻配置環(huán)境。校園網(wǎng)絡(luò)環(huán)境與商業(yè)網(wǎng)絡(luò)環(huán)境的一個(gè)顯著區(qū)別是其有許多處于原始狀態(tài)的未經(jīng)設(shè)置的計(jì)算機(jī)用于教學(xué)目的，學(xué)生使用的計(jì)算機(jī)往往存在許多安全漏洞，但學(xué)生在上網(wǎng)時(shí)一般采用最直接和簡單的方式連接到互聯(lián)網(wǎng)。學(xué)生往往沒有能力去快速配置其教學(xué)用計(jì)算機(jī)來獲得一個(gè)安全的使用環(huán)境，這種缺少保護(hù)的方式和計(jì)算機(jī)環(huán)境正是黑客最喜歡攻擊的目標(biāo)。因此，減少遭受攻擊的最簡單的方式就是設(shè)置私有網(wǎng)絡(luò)，通過防火墻訪問互聯(lián)網(wǎng)。這種地址轉(zhuǎn)換方式隱藏了內(nèi)部網(wǎng)絡(luò)的結(jié)構(gòu)，同時(shí)在校園網(wǎng)絡(luò)公開地址不足時(shí)使用這種方式可以提供IP復(fù)用方式。同時(shí)，除了校園本身要設(shè)置中央防火墻外，內(nèi)網(wǎng)也應(yīng)架設(shè)獨(dú)立的防火墻，這將作為其第一個(gè)進(jìn)入的安全過濾點(diǎn)。這種防火墻配置方式相比于僅僅使用中央校園防火墻來說有更高的靈活性和更強(qiáng)保護(hù)能力。此外，因?yàn)檫@種內(nèi)網(wǎng)的防火墻級別較低，針對出現(xiàn)的緊急問題相比于中央防火墻而言可以進(jìn)行及時(shí)快速的防御和修復(fù)。為了實(shí)現(xiàn)這一目標(biāo)，我們將通過裝有Linux系統(tǒng)的主機(jī)上的ipchains這一包過濾軟件來進(jìn)行校園網(wǎng)絡(luò)安全保護(hù)。這一軟件由于是內(nèi)置于linux系統(tǒng)中的，因此完全無需額外的購買費(fèi)用，只需要單獨(dú)使用一臺電腦安裝linux系統(tǒng)和雙網(wǎng)卡。

2.2 防火墻的構(gòu)建。首先，校內(nèi)的某個(gè)計(jì)算機(jī)教室組成的局域網(wǎng)要連接到互聯(lián)網(wǎng)中，那么可以構(gòu)建一個(gè)雙宿主機(jī)型Linux包過濾防火墻。Linux主機(jī)配備用于與互聯(lián)網(wǎng)相連的網(wǎng)卡card0（具有公共網(wǎng)絡(luò)地址202.101.1.2）和card1用于與局域網(wǎng)（c類私有地址192.168.1.0）相連。Linux系統(tǒng)自帶有ipchains封包過濾軟件，可以通過鏈（規(guī)則列表）實(shí)現(xiàn)對報(bào)文的管理。鏈主要包括輸入鏈、輸出鏈、轉(zhuǎn)發(fā)鏈和用戶定義鏈。對于從互聯(lián)網(wǎng)進(jìn)入局域校園網(wǎng)的報(bào)文來說，其首先進(jìn)入輸入鏈經(jīng)過輸入鏈包含的規(guī)則檢查，被允許通過或拒絕通過，隨后還要經(jīng)過轉(zhuǎn)發(fā)鏈和輸出鏈的檢查。同時(shí)還可以設(shè)定用戶定義鏈來插入到這些鏈之間加強(qiáng)檢查的力度。

2.3 防火墻配置策略。由于我們采用的是linux系統(tǒng)內(nèi)置的ipchains包過濾軟件，對于這種類型的防火墻主要有兩種策略。第一種是首先拒絕所有報(bào)文通過，再規(guī)定可以通過的報(bào)文。第二種是先允許所有報(bào)文通過，再拒絕某些類型的報(bào)文通過。由于校園局域網(wǎng)主要是用于教學(xué)目的，其常用的軟件和所需的功能對于教師而言十分熟悉，因此我們選擇第一種策略。如此，鏈中包含的規(guī)則可以比較少，因此我們只要設(shè)定可以通過鏈的幾種報(bào)文。下面我們將對防火墻策略進(jìn)行設(shè)置。

首先刷新輸入鏈、輸出鏈和轉(zhuǎn)發(fā)鏈即刷新所有的防火墻規(guī)則。隨后可以設(shè)置默認(rèn)的防火墻規(guī)則，這里我們允許所有報(bào)文的輸入、輸出和轉(zhuǎn)發(fā)。接著設(shè)置本地環(huán)路規(guī)則，我們允許本地進(jìn)程之間的報(bào)文可以任意通過。然后通過對輸入、輸出鏈指定規(guī)則防止IP欺騙報(bào)文，其設(shè)置如下：

/sbin/ipchains -A input -j DENY

- i card0 -s 192.168.1.1/24

/sbin/ip chains -A input -j DENY

-i card0 -d 192.168.1.1/24

/sbin/ip chains -A output -j DENY

- i card0 -s 192.168.1.1/24

/sbin/ip chains -A output -j DENY

-i card0 -d 192.168.1.1/24

/sbin/ipchinas -A input -j DENY

- i card0 -s 202.101.1.25/32

/sbin/ipchinas -A output -j DENY

- i card0 -d 202.101.1.25/32

隨后我們禁止廣播包：

/sbin/ipchains -A input -j DENY

- i card1 -s 255.255.255.255

/sbin/ipchains -A input -j DENY

- i card1 -d 0.0.0.0

/sbin/ipchains -A output -j DENY

- i card1 -s 240.0.0.0/3

最后轉(zhuǎn)發(fā)內(nèi)部所有的報(bào)文，并啟動(dòng)網(wǎng)絡(luò)地址轉(zhuǎn)換功能，即開啟IP MASQ功能，這一規(guī)則定義是針對轉(zhuǎn)發(fā)鏈進(jìn)行的：

/sbin/ipchains -A forward -j ACCEPT

- i card0 -s 192.168.1.1/24

/sbin/ipchains -A forward -j ACCEPT

-i card0 -d 192.168.1.1/24

/sbin/ipchains -A forward -j MASQ

- i card1 -s 192.168.1.1/24

這一功能可以隱藏局域網(wǎng)的IP地址，即對于來自192.168.1.1/24網(wǎng)絡(luò)中的所有報(bào)文流向card0的進(jìn)行IP地址偽裝。并實(shí)現(xiàn)局域網(wǎng)公用一個(gè)公有地址連接互聯(lián)網(wǎng)的功能。通過上述步驟，便實(shí)現(xiàn)了基本的封包過濾防火墻設(shè)置。

3 結(jié)束語

（1）校園局域網(wǎng)絡(luò)通過基于linux系統(tǒng)的ipchains防火墻連接互聯(lián)網(wǎng)，通過使用IP MASQ網(wǎng)絡(luò)地址轉(zhuǎn)換服務(wù)功能不僅隱藏了內(nèi)網(wǎng)的地址，同時(shí)還節(jié)省了學(xué)校寶貴的IP地址資源。（2）構(gòu)建雙宿主機(jī)型linux防火墻僅需一立的電腦，而無需額外購買昂貴的硬件防火墻，即可擁有具有強(qiáng)大功能和靈活性的封包過濾防火墻。這對于沒有很高預(yù)算的學(xué)校來說十分合適。（3）合理的防火墻策略配置能夠建立起靈活而有效的網(wǎng)絡(luò)安全保護(hù)系統(tǒng)，無論從互聯(lián)網(wǎng)進(jìn)入校園局域網(wǎng)的報(bào)文會被檢查，從校園網(wǎng)進(jìn)入互聯(lián)網(wǎng)的報(bào)文也會被檢查。通過禁止IP欺騙、廣播包和IP MASQ功能，有效地保護(hù)了網(wǎng)絡(luò)的安全，實(shí)現(xiàn)了以防火墻為基礎(chǔ)對內(nèi)外網(wǎng)之間所有進(jìn)出的流量進(jìn)行檢查的功能。

參考文獻(xiàn)：

[1]馬振晗，賈軍保.密碼學(xué)與網(wǎng)絡(luò)安全[M].北京：清華大學(xué)出版社，2009.

[2]堯新遠(yuǎn).計(jì)算機(jī)信息管理技術(shù)在網(wǎng)絡(luò)安全中的應(yīng)用[J].軟件，2012（07）.

[3]張統(tǒng)豪.計(jì)算機(jī)信息管理技術(shù)在網(wǎng)絡(luò)安全中的應(yīng)用[J].計(jì)算機(jī)光盤軟件與應(yīng)用，2012（23）.

第2篇：防火墻在網(wǎng)絡(luò)中的應(yīng)用范文

防火墻的構(gòu)成上主要包括3個(gè)部分, 即限制器、分離器和分析器。防火墻是用于計(jì)算機(jī)防病毒的硬件, 安裝在互聯(lián)網(wǎng)與內(nèi)部網(wǎng)之間, 對互聯(lián)網(wǎng)信息進(jìn)入到內(nèi)部網(wǎng)可以起到門戶的作用, 對于不良信息進(jìn)行阻隔, 可以起到降低內(nèi)部網(wǎng)遭到病毒侵襲的發(fā)生率[1]。

可見, 防火墻技術(shù)事實(shí)上是隔離技術(shù)。如果外網(wǎng)信息傳遞中, 經(jīng)過防火墻檢測屬于安全信息, 就可以允許進(jìn)入到內(nèi)部網(wǎng)絡(luò)。防火墻是保證計(jì)算機(jī)安全運(yùn)行環(huán)境的重要屏障。防火墻技術(shù)所發(fā)揮的功能具體如下。

1.1 防火墻技術(shù)對網(wǎng)絡(luò)安全可以起到強(qiáng)化作用

防火墻技術(shù)對網(wǎng)絡(luò)安全可以起到強(qiáng)化作用, 體現(xiàn)在防火墻的設(shè)計(jì)方案、口令等都是根據(jù)計(jì)算機(jī)網(wǎng)絡(luò)的運(yùn)行需要量身定做的。

安裝防火墻后, 計(jì)算機(jī)可以過濾不安全信息, 使得網(wǎng)絡(luò)環(huán)境更為安全。防火墻可以禁止網(wǎng)絡(luò)數(shù)據(jù)信息系統(tǒng) (Network File System;縮寫:NFS) , 對網(wǎng)絡(luò)起到一定的保護(hù)作用, 不良企圖的分子就不會利用網(wǎng)絡(luò)數(shù)據(jù)信息系統(tǒng)攻擊內(nèi)部網(wǎng)。防火墻還可以拒絕各種類型的數(shù)據(jù)塊, 即網(wǎng)絡(luò)中交換與傳輸?shù)臄?shù)據(jù)單元, 即為報(bào)文 (message) , 可以進(jìn)行一次性發(fā)送, 由此提高了內(nèi)網(wǎng)的安全性。

如果發(fā)現(xiàn)有不良信息, 還可以及時(shí)通知管理員, 由此可以降低自身的損失率。

1.2 防火墻技術(shù)可以避免內(nèi)網(wǎng)信息出現(xiàn)泄露問題

防火墻技術(shù)可以將重點(diǎn)網(wǎng)段起到保護(hù)作用, 發(fā)揮隔離作用, 使得內(nèi)網(wǎng)之間的訪問受到限制。內(nèi)網(wǎng)的訪問人員得到有效控制, 對于經(jīng)過審查后存在隱患的用戶就可以通過防火墻技術(shù)進(jìn)行隔離, 使得內(nèi)網(wǎng)的數(shù)據(jù)信息更為安全[2]。

在內(nèi)網(wǎng)中, 即便是不被人注意的細(xì)節(jié)也會引起不良用戶的興趣而發(fā)起攻擊, 使得內(nèi)網(wǎng)的數(shù)據(jù)信息泄露, 這是由于內(nèi)網(wǎng)產(chǎn)生漏洞所導(dǎo)致的。

比如, Finger作為UNIX系統(tǒng)中的實(shí)用程序, 是用于查詢用戶的具體情況的。如果Finger顯示了用戶的真實(shí)姓名、訪問的時(shí)間, 不良用戶一旦獲得這些信息后, 就會對UNIX系統(tǒng)的使用程度充分了解。在網(wǎng)絡(luò)運(yùn)行狀態(tài)下, 不良用戶就會對UNIX系統(tǒng)進(jìn)行在線攻擊。

防火墻技術(shù)的應(yīng)用, 就可以避免這種網(wǎng)絡(luò)攻擊事件發(fā)生。域名系統(tǒng) (Domain Name System;縮寫DNS) 會被隱藏起來, 主機(jī)用戶真實(shí)姓名以及IP地址都不是真實(shí)的, 不良用戶即便攻擊, 防火墻技術(shù)發(fā)揮作用, 使得沒有授權(quán)的信息不會進(jìn)入到網(wǎng)絡(luò)環(huán)境中, 保護(hù)了網(wǎng)絡(luò)環(huán)境, 網(wǎng)絡(luò)安全性能有所提高[3]。

1.3 防火墻技術(shù)可以對網(wǎng)絡(luò)訪問的現(xiàn)象起到一定的監(jiān)督控制作用

計(jì)算機(jī)安裝防火墻后, 所有對主機(jī)的訪問都要接受防火墻的審查, 在防火墻技術(shù)的使用中, 完整的訪問記錄會被制作出來。

如果有可疑的現(xiàn)象存在, 防火墻就會啟動(dòng)報(bào)警系統(tǒng), 不良用戶的IP地址提供出來, 包括各種記錄的信息、網(wǎng)絡(luò)活動(dòng)狀態(tài)都會接受審計(jì), 而且還可以做出安全分析, 對于各種威脅也可以進(jìn)行詳細(xì)分析。通過使用防火墻技術(shù), 就可以使得不良用戶被抵擋在門外, 由此起到了預(yù)防隱患的作用[4]。

2 防火墻技術(shù)在計(jì)算機(jī)網(wǎng)絡(luò)安全中的應(yīng)用

2.1 采用防火墻技術(shù)對網(wǎng)絡(luò)數(shù)據(jù)信息進(jìn)行加密

采用防火墻技術(shù)對計(jì)算機(jī)數(shù)據(jù)信息實(shí)施保護(hù), 就是通過數(shù)據(jù)信息加密的方法對數(shù)據(jù)信息實(shí)施保護(hù)。

在數(shù)據(jù)信息進(jìn)行傳輸或者對數(shù)據(jù)信息存儲的過程中, 就可以采用加密的形式, 以保證數(shù)據(jù)信息在傳輸?shù)倪^程容易被識辨, 而且真實(shí)的信息被加密之后, 就會被錯(cuò)誤的信息所覆蓋, 不會被病毒所攻擊而導(dǎo)致信息缺失或者被篡改, 由此降低了被網(wǎng)絡(luò)病毒攻擊的幾率。

對數(shù)據(jù)信息采用防火墻技術(shù)實(shí)施保護(hù), 所使用的密碼是通過密碼算法計(jì)算出來的, 這些密碼可以是對稱的, 也可以是不對稱的。

對稱密碼所加密的數(shù)據(jù)信息, 加密的密碼與解密的密碼是相同的, 密碼的安全度不是很高, 所以密碼與數(shù)據(jù)信息的保密程度密切相關(guān);不對稱密碼對數(shù)據(jù)信息加密所采用的密碼與解密的密碼不同, 而解密密碼的安全度直接決定了數(shù)據(jù)信息的安全度[5], 所以不對稱密碼所發(fā)揮的保密作用會更好一些。

2.2 防火墻技術(shù)對域網(wǎng)系統(tǒng)安全運(yùn)行提供保護(hù)

應(yīng)用防火墻技術(shù)保護(hù)計(jì)算機(jī)網(wǎng)絡(luò), 是為了防止不良訪問者攻擊網(wǎng)絡(luò)。防火墻安裝在網(wǎng)絡(luò)系統(tǒng)的外部, 阻止來自外部網(wǎng)絡(luò)的病毒攻擊, 由此維護(hù)了內(nèi)部網(wǎng)絡(luò)環(huán)境的安全。

防火墻技術(shù)重在保證信息安全, 是基于網(wǎng)絡(luò)通信技術(shù)建立起來的。對于兩個(gè)網(wǎng)絡(luò)之間有不同的信任程度, 就可以使用防火墻這種防護(hù)設(shè)備, 由此避免了外來病毒的攻擊[6]。

防火墻技術(shù)發(fā)揮作用, 可以避免非法用戶訪問, 確保網(wǎng)絡(luò)處于安全穩(wěn)定的運(yùn)行狀態(tài), 維護(hù)了網(wǎng)絡(luò)信息以及網(wǎng)絡(luò)數(shù)據(jù)庫信息。

當(dāng)瀏覽網(wǎng)絡(luò)信息的過程中有不良信息被攔截的提示的時(shí)候, 就意味著在網(wǎng)絡(luò)上已經(jīng)安裝了防火墻, 對網(wǎng)絡(luò)起到了安全保護(hù)的作用, 對不良信息進(jìn)行了成功攔截。

防火墻技術(shù)的應(yīng)用, 不僅可以發(fā)揮攔截信息的功能, 還會阻攔垃圾信息并對垃圾信息自動(dòng)刪除, 避免產(chǎn)生信息擾而無法發(fā)揮其作用的現(xiàn)象。

防火墻安裝在局域網(wǎng)和互聯(lián)網(wǎng)之間, 當(dāng)信息在網(wǎng)絡(luò)之間傳輸?shù)臅r(shí)候, 防火墻就會檢驗(yàn)信息, 對局域網(wǎng)系統(tǒng)運(yùn)行實(shí)施了安全保護(hù)。

比如, 采用防火墻技術(shù)對校園網(wǎng)數(shù)據(jù)中心所接收的信息實(shí)時(shí)檢測。對于要通過防火墻的病毒, 防火墻技術(shù)就可以發(fā)揮病毒檢測作用, 對數(shù)據(jù)庫中心進(jìn)行防護(hù)。當(dāng)數(shù)據(jù)庫中心被攻擊, 防火墻技術(shù)就可以在線檢測, 有效地阻斷網(wǎng)絡(luò)型病毒的不良影響[7]。

3 結(jié)論

綜上所述, 計(jì)算機(jī)網(wǎng)絡(luò)是開放的空間, 在虛擬的網(wǎng)絡(luò)空間中實(shí)現(xiàn)信息共享, 這就為網(wǎng)絡(luò)型病毒的入侵提供了可利用的空間。

計(jì)算機(jī)網(wǎng)絡(luò)運(yùn)行中, 做好安全維護(hù)工作是非常必要的, 以在充分發(fā)揮計(jì)算機(jī)網(wǎng)絡(luò)的作用的同時(shí), 還可以提高信息傳播質(zhì)量。

計(jì)算機(jī)網(wǎng)絡(luò)運(yùn)行中, 由于安全維護(hù)不到位而存在問題, 就會給病毒以可乘之機(jī), 使得病毒會通過網(wǎng)絡(luò)運(yùn)行中所存在的系統(tǒng)漏洞而入侵到計(jì)算機(jī)系統(tǒng)中。為了避免由此導(dǎo)致的嚴(yán)重后果, 就需要對網(wǎng)絡(luò)型病毒進(jìn)行分析, 對防火墻技術(shù)充分利用, 做好計(jì)算機(jī)網(wǎng)絡(luò)的安全維護(hù)工作, 以避免計(jì)算機(jī)網(wǎng)絡(luò)遭到威脅。

參考文獻(xiàn)

[1]胡菊.計(jì)算機(jī)網(wǎng)絡(luò)安全方面問題的分析[J].中國電子商情 (科技創(chuàng)新) , 2014 (3) :15.

[2]姜可.淺談防火墻技術(shù)在計(jì)算機(jī)網(wǎng)絡(luò)信息安全中的應(yīng)用及研究[J].計(jì)算機(jī)光盤軟件與應(yīng)用, 2013 (4) :178-179.

[3]駱兵.計(jì)算機(jī)網(wǎng)絡(luò)信息安全中防火墻技術(shù)的有效運(yùn)用分析[J].信息與電腦 (理論版) , 2016 (4) :54-55.

[4]張武帥, 王東飛.防火墻技術(shù)在計(jì)算機(jī)網(wǎng)絡(luò)安全中的應(yīng)用探究[J].電腦知識與技術(shù), 2015 (31) :35-36.

[5]李國勝, 張靜薇.計(jì)算機(jī)網(wǎng)絡(luò)安全管理相關(guān)安全技術(shù)探析[J].科技創(chuàng)新導(dǎo)報(bào), 2013 (8) :215.

第3篇：防火墻在網(wǎng)絡(luò)中的應(yīng)用范文

關(guān)鍵詞：防火墻技術(shù)；網(wǎng)絡(luò)信息安全；應(yīng)用分析

一、計(jì)算機(jī)網(wǎng)絡(luò)安全及防火墻技術(shù)運(yùn)用分析

（一）計(jì)算機(jī)網(wǎng)絡(luò)信息安全分析

防火墻技術(shù)是指一個(gè)由軟件和硬件設(shè)備組合而成、在內(nèi)部網(wǎng)和外部網(wǎng)之間、專用網(wǎng)與公共網(wǎng)之間的界面上構(gòu)造的保護(hù)屏障，是一種用于保護(hù)計(jì)算機(jī)網(wǎng)絡(luò)安全的技術(shù)性措施。計(jì)算機(jī)網(wǎng)絡(luò)信息安全維護(hù)的主要途徑就是通過防火墻技術(shù)實(shí)現(xiàn)的，其可以有效的保護(hù)企業(yè)以及個(gè)人的計(jì)算機(jī)網(wǎng)絡(luò)安全，在計(jì)算機(jī)正常啟動(dòng)工作的過程中，防火墻技術(shù)能夠隨時(shí)監(jiān)控并且實(shí)時(shí)分析數(shù)據(jù)，偵查出數(shù)據(jù)中存在的不安全的信息，但是這種分析方式對時(shí)間方面要求比較嚴(yán)格，會有一段時(shí)間的延遲。

隨著我國社會主義的發(fā)展，網(wǎng)絡(luò)安全問題已經(jīng)成為社會大眾普遍關(guān)注的問題，關(guān)于計(jì)算機(jī)網(wǎng)絡(luò)信息安全問題，社會上提出了許多針對性保護(hù)措施。在日漸多樣化的網(wǎng)絡(luò)威脅中，雖然具有攻擊性的信息以及軟件不斷升級，但是我們的防火墻技術(shù)也在不斷的更新，事實(shí)上，防火墻技術(shù)的應(yīng)用十分廣泛，其主要是保障信息傳輸保密，以防外來攻擊造成內(nèi)部信息泄露，它的保護(hù)原理就是將信息進(jìn)行隔離，能夠在雙方信息交互的過程中形成保護(hù)屏障，既可以幫社會大眾過濾危險(xiǎn)信息，又可以提高計(jì)算機(jī)網(wǎng)絡(luò)安全保護(hù)的能力，能夠在最短的時(shí)間內(nèi)形成網(wǎng)絡(luò)安全保護(hù)措施，優(yōu)化整體的網(wǎng)絡(luò)環(huán)境，使得整個(gè)網(wǎng)絡(luò)系統(tǒng)的防御能力更加強(qiáng)大，能夠確保社會大眾的正常網(wǎng)絡(luò)運(yùn)行安全。

（二）防火墻技術(shù)運(yùn)用分析

當(dāng)前，我國網(wǎng)絡(luò)信息技術(shù)的迅速進(jìn)步使得人民大眾對計(jì)算機(jī)的運(yùn)用更加放心、更加廣泛，在對計(jì)算機(jī)的使用過程中，大家都對自己的信息是否安全非常關(guān)注，近階段，計(jì)算機(jī)技術(shù)已經(jīng)進(jìn)入到人們的生活、工作、休閑以及日常學(xué)習(xí)上，在各類服務(wù)過程中，不可避免的出現(xiàn)了許多的安全隱患，尤其是黑客的人侵以及病毒。

防火墻一共分為三種，傳統(tǒng)防火墻、分布式防火墻以及智能型防火墻。傳統(tǒng)的防火墻有兩種，一種是包過濾技術(shù)，另一種是服務(wù)器。包過濾技術(shù)指的就是通過路由器在計(jì)算機(jī)和外網(wǎng)之間的兩個(gè)接口之間的IP包進(jìn)行過濾，而服務(wù)器也被叫做應(yīng)用防火墻，通過應(yīng)用相關(guān)的服務(wù)對外網(wǎng)的鏈接以及視頻進(jìn)行安全檢測，當(dāng)外網(wǎng)的信息有威脅時(shí)，就會使用內(nèi)部網(wǎng)絡(luò)進(jìn)行服務(wù)。隨著網(wǎng)絡(luò)的升級和擴(kuò)容，傳統(tǒng)額防火墻已經(jīng)很難滿足現(xiàn)代人計(jì)算機(jī)的使用需求，分布式防火墻在高性能和靈活擴(kuò)展方面非常能夠滿足現(xiàn)社會的挑戰(zhàn)，能夠有效的防止其他各種被動(dòng)以及主動(dòng)的攻擊。智能防火墻是指正常程序和準(zhǔn)確判定病毒的程序，智能防火墻不會直接詢問用戶，當(dāng)有危險(xiǎn)的信息訪問計(jì)算機(jī)網(wǎng)絡(luò)時(shí)，才會請求使用者協(xié)助的防火墻，有效的改善了傳統(tǒng)防火墻頻繁報(bào)警的情況，設(shè)置了人侵檢測工具，能夠使人侵的人獲得權(quán)限前成功的被阻止。

二、防火墻技術(shù)在計(jì)算機(jī)網(wǎng)絡(luò)信息安全中的應(yīng)用

根據(jù)社會對防火技術(shù)在計(jì)算機(jī)網(wǎng)絡(luò)信息安全的數(shù)據(jù)整理分析，越來越多的人開始在計(jì)算機(jī)中使用防火墻技術(shù)，現(xiàn)如今網(wǎng)絡(luò)技術(shù)發(fā)展迅速，人們無論是在生活上還是學(xué)習(xí)上都離不開網(wǎng)絡(luò)，人們也會通過網(wǎng)絡(luò)渠道來獲取更多的對自己有幫助的信息，防火墻技術(shù)在計(jì)算機(jī)網(wǎng)絡(luò)信息安全中的應(yīng)用有以下幾點(diǎn)：

（一）包過濾防火墻

包過濾防火墻就是用一個(gè)軟件查看所流經(jīng)的數(shù)據(jù)包的包頭，通過這個(gè)來決定整個(gè)數(shù)據(jù)包的命運(yùn)，其一般只應(yīng)用于OSI七層模型中的網(wǎng)絡(luò)層數(shù)據(jù)。包過濾防火墻可以對連接啟動(dòng)狀態(tài)下的計(jì)算機(jī)自行進(jìn)行檢查，并且提前設(shè)定好邏輯思路，凡是能夠通過防火墻數(shù)據(jù)包的都要進(jìn)行最后的檢測分析，邏輯策略主要包括端口、地址和源地址等，當(dāng)數(shù)據(jù)包出現(xiàn)的信息與策略中中出現(xiàn)的條例不一致時(shí)，數(shù)據(jù)包就會通過檢測。但是如果數(shù)據(jù)包中出現(xiàn)的信息和策略中的條例一樣的時(shí)候，計(jì)算機(jī)網(wǎng)絡(luò)信息的數(shù)據(jù)就會被攔截下來，數(shù)據(jù)包被傳送的時(shí)候就會被分割成無數(shù)的小數(shù)據(jù)包，當(dāng)經(jīng)過防火墻的時(shí)候它們就會通過不同的路徑傳輸過去。

（二）應(yīng)用網(wǎng)關(guān)防火墻

應(yīng)用網(wǎng)關(guān)防火墻的安全性很高，并且已經(jīng)開始向應(yīng)用層發(fā)展，它的認(rèn)證是個(gè)人而不是設(shè)備，這一點(diǎn)與包過濾防火墻形成了鮮明的對比，它在數(shù)據(jù)傳輸時(shí)需要進(jìn)行驗(yàn)證，當(dāng)成功驗(yàn)證時(shí)，我們才能夠允許訪問網(wǎng)絡(luò)資源。一般情況下只有輸對口令、密碼以及用戶名等信息才會被認(rèn)證，所以我們沒有時(shí)間可以為黑客提供DOS攻擊，應(yīng)用網(wǎng)關(guān)防火墻還分為直通式網(wǎng)絡(luò)防火墻和連接網(wǎng)關(guān)防火墻，連接網(wǎng)關(guān)防火墻需要認(rèn)證許多的信息條款，并且可以通過截獲數(shù)據(jù)流量來進(jìn)行認(rèn)證，只有認(rèn)證成功才可以訪問服務(wù)器，其還可以對應(yīng)用層進(jìn)行保護(hù)，來提高應(yīng)用層的安全性，但是直通式的防火墻就不具備這一項(xiàng)功能。

（三）深層檢測防火墻

深層防火墻檢測就是針對防火墻產(chǎn)品所做的一系列的測試，測試的內(nèi)容涉及的較多，其中包括的測試有網(wǎng)絡(luò)環(huán)境、測試的方法、測試的工具以及測試的準(zhǔn)則等，這也是目前防火墻的發(fā)展趨勢。這項(xiàng)技術(shù)剛開始會對網(wǎng)絡(luò)信息進(jìn)行檢測，然后對流量的走向進(jìn)行跟蹤，深層檢測防火墻系統(tǒng)不只是停留在網(wǎng)絡(luò)層面，其還更加的注重應(yīng)用層面的網(wǎng)絡(luò)攻擊，使計(jì)算機(jī)網(wǎng)絡(luò)信息的安全性能和實(shí)用性能更高，應(yīng)用層網(wǎng)關(guān)實(shí)際上就是一個(gè)接受鏈接的程序，系統(tǒng)對其進(jìn)行嚴(yán)格認(rèn)證以后，才可以使用被傳過來的鏈接，通不過則被阻塞。

三、結(jié)語

就當(dāng)前的防火墻技術(shù)應(yīng)用來看，其所具有的時(shí)效性是其他網(wǎng)絡(luò)技術(shù)所無法替代的，優(yōu)勢作用極為明顯。但其依然具有廣闊的發(fā)展空間，單一的防火墻技術(shù)也并不一定能夠完全解決網(wǎng)絡(luò)中存在的安全問題。融合網(wǎng)絡(luò)數(shù)據(jù)檢查，整個(gè)網(wǎng)絡(luò)系統(tǒng)的監(jiān)控等都可以對網(wǎng)絡(luò)安全給予輔助，防火墻技術(shù)還需要在漏洞防御方面予以不斷深化，才能夠讓其作用更加明顯，才能夠讓防火墻技術(shù)得以真正推動(dòng)和發(fā)展。

參考文獻(xiàn)： 

[1]武強(qiáng).關(guān)于計(jì)算機(jī)網(wǎng)絡(luò)安全中防火墻技術(shù)的研究[J].電子世界，2016（08）：100+105. 

[2]郭麗麗.計(jì)算機(jī)網(wǎng)絡(luò)安全中防火墻技術(shù)的運(yùn)用分析[J].信息通信，2016（03）：198-199. 

[3]汪楠，張浩一種防火墻技術(shù)的網(wǎng)絡(luò)安全體系構(gòu)建研究[J].石家莊學(xué)院學(xué)報(bào)，2015，17（03）：44-48. 

第4篇：防火墻在網(wǎng)絡(luò)中的應(yīng)用范文

【關(guān)鍵詞】網(wǎng)絡(luò)安全;防火墻技術(shù);性能;發(fā)展趨勢

1引言

隨著網(wǎng)絡(luò)技術(shù)的飛速發(fā)展和網(wǎng)絡(luò)時(shí)代的到來,網(wǎng)絡(luò)安全問題變的越來越嚴(yán)重。由于網(wǎng)絡(luò)不安全造成的損失也越來越大,人們?yōu)榻鉀Q網(wǎng)絡(luò)安全問題投入的資金也越來越多。網(wǎng)絡(luò)安全是一個(gè)關(guān)系國家安全、社會穩(wěn)定的重要問題,網(wǎng)絡(luò)的安全已經(jīng)成為急需解決的問題。

為了保護(hù)網(wǎng)絡(luò)的安全,人們將防火墻這個(gè)概念運(yùn)用到了網(wǎng)絡(luò)世界里。它是內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間的一道柵欄,用以阻擋外部網(wǎng)絡(luò)的入侵,相當(dāng)于中世紀(jì)的護(hù)城河。防火墻是目前最為流行、使用最為廣泛的一種網(wǎng)絡(luò)安全技術(shù)。本文主要討論防火墻技術(shù),并對其發(fā)展趨勢作了初步的分析。

2防火墻技術(shù)

2.1 防火墻概述

防火墻是網(wǎng)絡(luò)之間一種特殊的訪問控制設(shè)施,是一種屏障,用于隔離Internet的某一部分,限制這部分與Internet其它部分之間數(shù)據(jù)的自由流動(dòng)。防火墻的位置被安裝在內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)之間,以在不可靠的互聯(lián)網(wǎng)絡(luò)中建立一個(gè)可靠的子網(wǎng)。防火墻作為保障內(nèi)部網(wǎng)絡(luò)安全的手段,它有助于建立一個(gè)網(wǎng)絡(luò)安全機(jī)制,并通過網(wǎng)絡(luò)配置、主機(jī)系統(tǒng)、路由器與身份認(rèn)證等手段來實(shí)現(xiàn)安全機(jī)制。一般說來防火墻主要有以下的功能:防火墻是網(wǎng)絡(luò)安全的屏障;防火墻可以強(qiáng)化網(wǎng)絡(luò)安全策略;對網(wǎng)絡(luò)存取和訪問進(jìn)行監(jiān)控審計(jì);防止內(nèi)部信息的外泄;安全策略檢查和實(shí)施NAT的理想平臺。

防火墻是兩個(gè)網(wǎng)絡(luò)之間的成分集合,它必須具有以下性質(zhì)才能起作用:

(1)從里向外或從外向里的流量都必須通過防火墻;

(2)只有本地安全策略放行的流量才能通過防火墻;

(3)防火墻本身是不可穿透的。

2.2 防火墻的類型

(1)IP級防火墻

IP級防火墻又稱為報(bào)文過濾或包過濾(packet filter)防火墻,它通常在路由軟件中實(shí)現(xiàn),工作在網(wǎng)絡(luò)層中,因此也稱網(wǎng)絡(luò)防火墻。依據(jù)防火墻內(nèi)事先設(shè)定的過濾規(guī)則,檢查數(shù)據(jù)流中每個(gè)數(shù)據(jù)包頭部,根據(jù)數(shù)據(jù)包的源地址、目的地址、TCP/UDP源端口號、TCP/UDP目的端口號及數(shù)據(jù)包頭中的各種標(biāo)志位等因數(shù)來確定是否允許數(shù)據(jù)包通過。使用這種類型的防火墻時(shí),內(nèi)部主機(jī)與外部主機(jī)之間存在直接的IP報(bào)文交互,即使防火墻停止工作也不影響其連通性。因此,IP防火墻具有簡單、方便、速度快,透明性好和不影響網(wǎng)絡(luò)的特點(diǎn)。但是IP防火墻只能根據(jù)IP地址和端口號來過濾報(bào)文,缺乏用戶日志和審計(jì)信息,缺乏用戶認(rèn)證機(jī)制,對過濾規(guī)則的完備性也難以得到檢驗(yàn),所以IP防火墻的安全性是比較差的。

(2)應(yīng)用級防火墻

應(yīng)用級防火墻又稱(proxy)防火墻。它通常作用在應(yīng)用層,直接對特定的應(yīng)用層進(jìn)行服務(wù)。這類防火墻通常是一臺封堵了內(nèi)外直接連接的雙穴主機(jī)(dual-home-host),為兩端的機(jī)器服務(wù)請求,也可以是一些可以訪問Internet并被內(nèi)部主機(jī)訪問的堡壘主機(jī)。防火墻能進(jìn)行安全控制和加速訪問,有效地實(shí)現(xiàn)防火墻內(nèi)外計(jì)算機(jī)系統(tǒng)的隔離,安全性好,以及實(shí)施較強(qiáng)的數(shù)據(jù)流監(jiān)控、過濾、記錄和報(bào)告等功能。其缺點(diǎn)是效率低,對于每一種應(yīng)用服務(wù)都必須為其設(shè)計(jì)一個(gè)軟件模塊來進(jìn)行安全控制,而每一種網(wǎng)絡(luò)應(yīng)用服務(wù)的安全問題各不相同,分析困難,實(shí)現(xiàn)也困難。

(3)鏈路級防火墻

鏈路級防火墻的工作原理、組成結(jié)構(gòu)與應(yīng)用級防火墻相似,但它并不針對專門的應(yīng)用協(xié)議,而是一種傳輸層的TCP(UDP)連接中繼服務(wù)。連接的發(fā)起方不直接與響應(yīng)方建立連接,而是與鏈路級防火墻交互,由它再與響應(yīng)方建立連接,并在此過程中完成用戶鑒別。在隨后的通信中維護(hù)數(shù)據(jù)的安全(如進(jìn)行數(shù)據(jù)加密)、控制通信的進(jìn)展。鏈路級防火墻提供的安全保護(hù)主要包括:對連接的存在時(shí)間進(jìn)行監(jiān)測,除去超出所允許的存在時(shí)間的連接,這可防止過大的郵件和文件傳送;建立允許的發(fā)起方表,提供鑒別機(jī)制;對傳輸?shù)臄?shù)據(jù)提供加密保護(hù)。

各種防火墻的性能比較如表2-1所示。

2.3 傳統(tǒng)防火墻的缺點(diǎn)

上述三種基本的防火墻技術(shù)都存在不足之處。比如IP級防火墻存在不能徹底防止地址欺騙、正常的數(shù)據(jù)包路由器無法執(zhí)行某些安全策略等不足,應(yīng)用級防火墻則有不能改進(jìn)低層協(xié)議的安全性、實(shí)現(xiàn)比較復(fù)雜等缺點(diǎn)。傳統(tǒng)的防火墻大多都采用報(bào)文過濾技術(shù)。在實(shí)際環(huán)境中,大多數(shù)的攻擊和越權(quán)訪問來自于內(nèi)部,而傳統(tǒng)的邊界防火墻無法對內(nèi)部網(wǎng)絡(luò)進(jìn)行有效的保護(hù)。首先,防火墻提供的是靜態(tài)防御,它的規(guī)則都必須事先設(shè)置,對于實(shí)時(shí)的攻擊或異常的行為不能做出實(shí)時(shí)反應(yīng)。其次,防火墻規(guī)則是一種粗顆粒的檢查,對一些協(xié)議細(xì)節(jié)無法做到完全解析。此外,防火墻防外不防內(nèi),對于內(nèi)部用戶的非法行為或已經(jīng)滲透的攻擊無法檢查和響應(yīng)。

3防火墻的發(fā)展趨勢

目前防火墻的安全性、效率和功能方面的矛盾還是比較突出。防火墻的技術(shù)結(jié)構(gòu),往往是安全高效率就低,效率高就會以犧牲安全為代價(jià)。未來的防火墻要求是高安全性和高效率。使用專門的芯片負(fù)責(zé)訪問控制功能、設(shè)計(jì)新的防火墻的技術(shù)架構(gòu)是未來防火墻的方向。

3.1 分布式防火墻

分布式防火墻是指那些駐留在網(wǎng)絡(luò)中的主機(jī),如服務(wù)器或臺式機(jī)并對系統(tǒng)自身提供安全防護(hù)的軟件產(chǎn)品,用以保護(hù)企業(yè)網(wǎng)絡(luò)中的關(guān)鍵結(jié)點(diǎn)服務(wù)器、數(shù)據(jù)及工作站免受非法入侵的破壞。布式防火墻仍然由中心定義策略,但由各個(gè)分布在網(wǎng)絡(luò)中的端點(diǎn)實(shí)施這些制定的策略。

分布式防火墻把Internet和內(nèi)部網(wǎng)絡(luò)均視為"不友好的"。它們對個(gè)人計(jì)算機(jī)進(jìn)行保護(hù)的方式如同邊界防火墻對整個(gè)網(wǎng)絡(luò)進(jìn)行保護(hù)一樣。對于Web服務(wù)器來說,分布式防火墻進(jìn)行配置后能夠阻止一些非必要的協(xié)議,如HTTP 和 HTTPS之外的協(xié)議通過,從而阻止了非法入侵的發(fā)生,同時(shí)還具有入侵檢測及防護(hù)功能。從廣義來講,分布式防火墻是一中新的防火墻體系結(jié)構(gòu),他包含網(wǎng)絡(luò)防火墻、主機(jī)防火墻、中心管理等產(chǎn)品。

3.2 防火墻聯(lián)動(dòng)

隨著人們安全意識的日益提高,防火墻、防病毒、入侵檢測、加密機(jī)等安全產(chǎn)品開始被大量部署在網(wǎng)絡(luò)中。由于缺少統(tǒng)一、聯(lián)動(dòng)的技術(shù),現(xiàn)有安全產(chǎn)品往往各自為政,沒能形成一個(gè)統(tǒng)一的整體。為了解決這一問題,防火墻聯(lián)動(dòng)技術(shù)正漸漸成為網(wǎng)絡(luò)安全領(lǐng)域的一個(gè)新興課題,引起眾多專家和安全廠商的關(guān)注。目前,應(yīng)用范圍較為廣泛的防火墻聯(lián)動(dòng)方式主要有以下幾種。

(1)與防病毒實(shí)現(xiàn)聯(lián)動(dòng)

病毒對網(wǎng)絡(luò)系統(tǒng)造成了巨大的破壞和威脅,構(gòu)建可靠的網(wǎng)絡(luò)防毒體系是網(wǎng)絡(luò)安全的必要保障。防火墻處于內(nèi)外網(wǎng)絡(luò)信息流的必經(jīng)之地,在網(wǎng)關(guān)一級就對病毒進(jìn)行查殺,成為網(wǎng)絡(luò)防病毒系統(tǒng)的重要一環(huán)。

(2)與入侵檢測實(shí)現(xiàn)聯(lián)動(dòng)

防火墻與入侵檢測系統(tǒng)聯(lián)動(dòng)是聯(lián)動(dòng)體系中重要的一環(huán),這是因?yàn)檫@兩種技術(shù)具有較強(qiáng)的互補(bǔ)性。目前,實(shí)現(xiàn)入侵檢測和防火墻之間的聯(lián)動(dòng)有兩種方式。一種是實(shí)現(xiàn)緊密結(jié)合,即把入侵檢測系統(tǒng)嵌入到防火墻中。第二種方式是通過開放接口來實(shí)現(xiàn)聯(lián)動(dòng)。

(3)與日志處理間實(shí)現(xiàn)聯(lián)動(dòng)

防火墻與日志處理之間的聯(lián)動(dòng),目前國內(nèi)廠商做的不多。比較有代表性的是Check Point的防火墻,它提供兩個(gè)API:LEA(Log Export API)和ELA(Event Logging API),允許第三方訪問日志數(shù)據(jù)。

4結(jié)束語

隨著Internet廣泛應(yīng)用和計(jì)算機(jī)科學(xué)技術(shù)的不斷發(fā)展,防火墻技術(shù)也在不斷的發(fā)展。但是在網(wǎng)絡(luò)日益嚴(yán)峻的今天,光有防火墻技術(shù)是遠(yuǎn)遠(yuǎn)不夠的,我們還得考慮其他的問題。不過防火墻作為網(wǎng)絡(luò)安全的第一道重要的屏障,如何提高防火墻的防護(hù)能力并保證系統(tǒng)的高速有效性將是一個(gè)隨網(wǎng)絡(luò)技術(shù)發(fā)展而要不斷研究的課題。

【參考文獻(xiàn)】

[1] 蔡永泉編著.計(jì)算機(jī)網(wǎng)絡(luò)安全[M].北京:北京航空航天大學(xué)出版社,2006.10

[2] 趙安軍,曾應(yīng)員,徐邦海,常春藤編著.網(wǎng)絡(luò)安全技術(shù)與應(yīng)用[M].北京:人民郵電出版社,2007.7

[3] 王代潮,曾德超.防火墻技術(shù)的演變及其發(fā)展趨勢分析[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用,2005(07)

第5篇：防火墻在網(wǎng)絡(luò)中的應(yīng)用范文

所謂網(wǎng)絡(luò)安全，實(shí)質(zhì)上也就是網(wǎng)絡(luò)上的信息安全。網(wǎng)絡(luò)安全所涉及的領(lǐng)域是非常廣泛的，但是在當(dāng)前許多的公用通信網(wǎng)絡(luò)中，都存在著各種各樣的安全漏洞和威脅，隨著網(wǎng)絡(luò)技術(shù)的不斷發(fā)展，各種各樣的網(wǎng)絡(luò)安全技術(shù)也相應(yīng)的出現(xiàn)了，比如說身份驗(yàn)證、訪問授權(quán)、加密解密技術(shù)、防火墻技術(shù)等等，雖然出現(xiàn)了許許多多的新的網(wǎng)絡(luò)安全技術(shù)，但是在眾多的網(wǎng)絡(luò)安全技術(shù)中，防火墻技術(shù)的應(yīng)用仍然最為廣泛。防火墻實(shí)質(zhì)上是一個(gè)系統(tǒng)，該系統(tǒng)位于兩個(gè)網(wǎng)絡(luò)之間，并且負(fù)責(zé)執(zhí)行控制策略，通過防火墻，可以使得內(nèi)部網(wǎng)絡(luò)與Internet或者其它的外部網(wǎng)絡(luò)相互隔離，從而有效的保護(hù)內(nèi)部網(wǎng)絡(luò)的安全。通過防火墻，主要可以實(shí)現(xiàn)對于不安全服務(wù)和非法用戶的過濾，同時(shí)還能夠有效的控制對站點(diǎn)的訪問，時(shí)刻監(jiān)視Internet安全，一旦出現(xiàn)安全風(fēng)險(xiǎn)，防火墻還可以起到及時(shí)預(yù)警的作用。

1防火墻技術(shù)概述

所謂的防火墻，指的是設(shè)置在兩個(gè)或者多個(gè)不同網(wǎng)絡(luò)或者網(wǎng)絡(luò)安全域之間信息的唯一出入口，所有的網(wǎng)絡(luò)信息要想進(jìn)入內(nèi)部網(wǎng)絡(luò)，必須要通過這一個(gè)出入口，因此防火墻成為了一個(gè)提供信息安全服務(wù)和實(shí)現(xiàn)網(wǎng)絡(luò)和信息安全的基礎(chǔ)設(shè)施，同時(shí)防火墻技術(shù)也成為了目前人們公認(rèn)的最有效的網(wǎng)絡(luò)安全保護(hù)手段。防火墻可以對訪問權(quán)限進(jìn)行有效的控制，從而實(shí)現(xiàn)對涉及用戶的操作進(jìn)行審查和過濾，從而有效的降低計(jì)算機(jī)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。

1.1計(jì)算機(jī)防火墻技術(shù)

防火墻技術(shù)之所以能夠?qū)崿F(xiàn)對計(jì)算機(jī)網(wǎng)絡(luò)的保護(hù)，主要就是因?yàn)榉阑饓梢詫?nèi)部網(wǎng)絡(luò)與互聯(lián)網(wǎng)進(jìn)行分離，正是因?yàn)榉阑饓τ兄軓?qiáng)的隔離性，所以才使得防火墻技術(shù)在計(jì)算機(jī)網(wǎng)絡(luò)安全領(lǐng)域中被廣泛的加以運(yùn)用。一般在對防火墻進(jìn)行使用的過程中，所依靠的都是包的外源地址和數(shù)據(jù)包協(xié)議，通過它們來對防火墻進(jìn)行設(shè)置，從而實(shí)現(xiàn)有效的隔離。除此之外，防火墻的實(shí)現(xiàn)還可以通過服務(wù)器的軟件，但是這種方式在實(shí)際應(yīng)用中較為少見。在防火墻技術(shù)出現(xiàn)之初，它的功能僅僅局限于對主機(jī)的限制和對網(wǎng)絡(luò)訪問控制加以規(guī)范，但經(jīng)過多年的發(fā)展，防火墻的功能也進(jìn)一步的得到了完善，當(dāng)前，防火墻已經(jīng)可以完成解密和加密等功能，除此之外，還能夠?qū)崿F(xiàn)對文件的壓縮和解壓，從而使得計(jì)算機(jī)網(wǎng)絡(luò)安全得到了有效的保證。

1.2防火墻的主要功能

隨著網(wǎng)絡(luò)技術(shù)的不斷發(fā)展，防火墻的功能已經(jīng)變得十分豐富，其功能主要有以下幾個(gè)方面：第一，防火墻可以對本機(jī)的數(shù)據(jù)進(jìn)行有效的篩選和過濾，通過對信息的篩選和過濾，可以有效的避免非法信息以及各種網(wǎng)絡(luò)病毒的攻擊和入侵，從而保證計(jì)算機(jī)信息的安全；第二，防火墻還可以對網(wǎng)絡(luò)中一些特殊的站點(diǎn)進(jìn)行較為嚴(yán)格的規(guī)范，因?yàn)樵谶@些站點(diǎn)中往往存在著可以對計(jì)算機(jī)網(wǎng)絡(luò)安全進(jìn)行破壞的一些病毒文件，所以通過對這些站點(diǎn)的規(guī)范，可以有效避免人們因?yàn)闊o意操作而給計(jì)算機(jī)網(wǎng)絡(luò)帶來的風(fēng)險(xiǎn)；第三，防火墻還能夠較為徹底的對一些不安全訪問進(jìn)行攔截，外部人員如果想進(jìn)入內(nèi)部網(wǎng)絡(luò)，必須先要經(jīng)過防火墻的審查，只有審查合格，防火墻才會允許進(jìn)入，但是在防火墻的審查過程中，是有著非常多的環(huán)節(jié)的，如果任何一個(gè)環(huán)節(jié)的審查出現(xiàn)了問題，該訪問將會被防火墻過濾，從而有效的減少了網(wǎng)絡(luò)安全問題的出現(xiàn)；第四，防火墻還可以對網(wǎng)絡(luò)運(yùn)行中所產(chǎn)生的各種信息數(shù)據(jù)加以保護(hù)，如果防火墻發(fā)現(xiàn)了網(wǎng)絡(luò)中出現(xiàn)有威脅網(wǎng)絡(luò)安全的非法活動(dòng)，防火墻將于第一時(shí)間發(fā)出警報(bào)，并且采取相應(yīng)的措施來對其進(jìn)行處理，有效的避免網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。

2防火墻的常用技術(shù)及其在網(wǎng)絡(luò)安全中的應(yīng)用

2.1數(shù)據(jù)包過濾技術(shù)及其應(yīng)用

數(shù)據(jù)包過濾技術(shù)主要分為組過濾和包過濾兩種，數(shù)據(jù)包過濾技術(shù)是一種較為通用的防火墻技術(shù)，并且它也較為廉價(jià)和有效。數(shù)據(jù)包過濾技術(shù)主要是在計(jì)算機(jī)網(wǎng)絡(luò)的網(wǎng)絡(luò)層和傳輸層發(fā)揮作用。它可以通過對分組包的源、宿地址、端口號機(jī)協(xié)議類型和標(biāo)志確定是否允許其通過。而該技術(shù)所依據(jù)的信息主要是來源于IP、TCP或者UDP包頭。包過濾的主要優(yōu)點(diǎn)就在于其對于用戶來說是完全透明的，處理速度也非常的快，而且十分易于維護(hù)，因此在使用的過程中較為方便，通常包過濾都是被作為網(wǎng)絡(luò)安全的第一道防線。但是包過濾路由器一般都是沒有用戶的使用記錄的，所以我們也就不能夠看到入侵者的攻擊記錄，而且隨著計(jì)算機(jī)技術(shù)的不斷發(fā)展，攻破一個(gè)單純的包過濾式防火墻對于現(xiàn)代的黑客來說也較為簡單。當(dāng)前的黑客往往都采用“IP地址欺騙”的方式來攻破包過濾式防火墻，所以為了進(jìn)一步的提升網(wǎng)絡(luò)的安全性，現(xiàn)在已經(jīng)將包過濾技術(shù)作為網(wǎng)絡(luò)安全的第一道防線，而進(jìn)一步發(fā)展起來了技術(shù)。

2.2服務(wù)技術(shù)及其應(yīng)用

服務(wù)技術(shù)是在數(shù)據(jù)包過濾技術(shù)之后發(fā)展起來的，但現(xiàn)在服務(wù)技術(shù)已經(jīng)成為了防火墻技術(shù)中使用頻率較高的一種技術(shù)，而且服務(wù)技術(shù)也擁有非常高的安全性能。服務(wù)軟件往往是運(yùn)行在一臺主機(jī)上的，通過在這一臺主機(jī)上的運(yùn)行來構(gòu)成服務(wù)器，并且負(fù)責(zé)對客戶的請求進(jìn)行截獲，然后再依據(jù)它的安全規(guī)則來決定該請求是否可以得到允許。如果得到了服務(wù)器的允許，該請求才能夠被進(jìn)一步的傳遞給真正的防火墻。一般而言，服務(wù)器是外部可以見到的唯一的防火墻實(shí)體，所以說服務(wù)器對于內(nèi)部用戶而言是完全透明的。除此之外，服務(wù)器還可以對協(xié)議特定的訪問規(guī)則進(jìn)行應(yīng)用，從而來執(zhí)行基于用戶身份和報(bào)文分組內(nèi)容的訪問控制。這種防火墻技術(shù)可以對網(wǎng)絡(luò)信息的交換進(jìn)行完全的控制，并且還可以記錄整個(gè)會話的過程，有著很高的靈活性和安全性。但是服務(wù)技術(shù)也有著自身的缺陷，那就是有可能會對網(wǎng)絡(luò)的性能造成一定的影響，而且對于每一個(gè)服務(wù)器都要進(jìn)行一次模塊的設(shè)計(jì)，并且建立起相應(yīng)的網(wǎng)關(guān)層，所以其實(shí)現(xiàn)往往較為復(fù)雜。

2.3狀態(tài)監(jiān)測技術(shù)及其應(yīng)用

狀態(tài)檢測技術(shù)是一種在網(wǎng)絡(luò)層來實(shí)現(xiàn)防火墻功能的技術(shù)，狀態(tài)監(jiān)測技術(shù)所使用的是在網(wǎng)關(guān)上執(zhí)行安全策略的軟件模塊，這個(gè)模塊被稱為監(jiān)測引擎。監(jiān)測引擎不同于服務(wù)器，不會對網(wǎng)絡(luò)的正常運(yùn)行造成任何影響。并且監(jiān)測引擎還可以采用抽取有關(guān)數(shù)據(jù)的方法來對網(wǎng)絡(luò)通信的各層進(jìn)行檢測，抽取相應(yīng)的狀態(tài)信息，然后動(dòng)態(tài)的加以保存并將其作為以后執(zhí)行安全策略的一個(gè)參考。除此之外，監(jiān)測引擎還可以支持多種協(xié)議及應(yīng)用程序，還可以有效的實(shí)現(xiàn)應(yīng)用和服務(wù)的擴(kuò)充。相比于之前的兩種防火墻技術(shù)而言，狀態(tài)監(jiān)測技術(shù)可以更好地對用戶的訪問請求進(jìn)行處理，因?yàn)闋顟B(tài)監(jiān)視器會抽取有關(guān)數(shù)據(jù)來進(jìn)行分析，然后再通過對網(wǎng)絡(luò)配置和相應(yīng)的安全規(guī)定的結(jié)合，來做出相應(yīng)的接納、拒絕、身份認(rèn)證、報(bào)警或者給該通信加密等一系列的處理動(dòng)作。

作者:李慧清 單位:內(nèi)蒙古化工職業(yè)學(xué)院

引用：

[1]趙俊.淺談?dòng)?jì)算機(jī)防火墻技術(shù)與網(wǎng)絡(luò)安全[J].成都航空職業(yè)技術(shù)學(xué)院學(xué)報(bào)：綜合版，2012.

第6篇：防火墻在網(wǎng)絡(luò)中的應(yīng)用范文

一、從防火墻的軟、硬件形式來分的話,防火墻可以分為軟件防火墻和基于硬件防火墻以及芯片級防火墻。

軟件防火墻:這類防火墻必需運(yùn)行在特定的計(jì)算機(jī)上,而且需要操作系統(tǒng)支持,大致又可分為網(wǎng)絡(luò)版和個(gè)人版,一般而言網(wǎng)絡(luò)版(或稱企業(yè)版)需要網(wǎng)絡(luò)操作系統(tǒng),個(gè)人版一般安裝在企業(yè)中的客戶端操作系統(tǒng)之上。網(wǎng)絡(luò)版軟件主要有checkpoint、ISA 2004 企業(yè)版等,可將它們安裝在一個(gè)企業(yè)的接入口,來有效的對內(nèi)部局域網(wǎng)和Internet進(jìn)行隔離。個(gè)人版有很多,如天網(wǎng)個(gè)人防火墻、Kaspersky Anti-Hacker、瑞星個(gè)人防火墻等,安裝在各自的計(jì)算機(jī)上來保護(hù)你的電腦。

基于硬件防火墻:所謂基于硬件,是相對芯片級而言的,這類防火墻的硬件在現(xiàn)在市面上流行的主要是采用PC構(gòu)架的兼容機(jī),然后在此硬件之上安裝經(jīng)過處理(或稱經(jīng)過精簡)的操作系統(tǒng),主要是采用Linux這類操作系統(tǒng)進(jìn)行相應(yīng)的安全優(yōu)化而來。值得注意的是此類防火墻和軟件防火墻一樣采用的依然是別人的內(nèi)核,因此依然會受到你所安裝的操作系統(tǒng)本身的安全性影響?；谟布阑饓σ话阒辽賾?yīng)具備三個(gè)端口,分別接內(nèi)網(wǎng),外網(wǎng)和DMZ區(qū)(非軍事化區(qū)),現(xiàn)在一些新的硬件防火墻往往擴(kuò)展了端口,常見四端口防火墻一般將第四個(gè)端口做為配置口、管理端口。很多防火墻還可以進(jìn)一步擴(kuò)展端口數(shù)目等。象servgate、聯(lián)想網(wǎng)御等都屬于此類防火墻。

芯片級防火墻:它是基于專用的防火墻硬件平臺,所采用專用的ASIC芯片、并為此硬件平臺量身定做專用的操作系統(tǒng);精簡的指令系統(tǒng)使它的運(yùn)行速度遠(yuǎn)高于前兩種防火墻,而且處理能力更強(qiáng),性能更高,并且更安全;當(dāng)然價(jià)格相對比較高。這類防火墻主要有NetScreen、FortiNet、Pix等。

二、依據(jù)防范的方式和側(cè)重點(diǎn)的不同,可分為數(shù)據(jù)包過濾型、應(yīng)用級網(wǎng)關(guān)型、服務(wù)型、規(guī)則型四種。

包過濾型:或稱網(wǎng)絡(luò)級防火墻。包過濾(Packet Filtering)主要是在網(wǎng)絡(luò)層和傳輸層對數(shù)據(jù)包進(jìn)行選擇,它根據(jù)數(shù)據(jù)包頭源地址,目的地址、端口號和協(xié)議類型等標(biāo)志確定是否允許通過。選擇的依據(jù)是根據(jù)各自設(shè)置的具體要求來進(jìn)行,通常此操作被稱為訪問控制表(Access Control Table),只有滿足過濾條件的數(shù)據(jù)包才被轉(zhuǎn)發(fā)到相應(yīng)的目的地,其余數(shù)據(jù)包則被從數(shù)據(jù)流中丟棄。此類防火墻配置簡單,價(jià)格便宜,易于安裝和使用,一般都是和路由器聯(lián)合使用,由于以上特點(diǎn),很多廠商都在原有的路由器基礎(chǔ)上增加了包過濾功能,這樣便大大降低了成本。但這類防火墻缺點(diǎn)也很明顯:第一是一旦非法訪問攻破防火墻,即可對主機(jī)上的所有軟件系統(tǒng)進(jìn)行攻擊;第二是IP包頭信息容易被竊取和假冒。

應(yīng)用級網(wǎng)關(guān):應(yīng)用級網(wǎng)關(guān)(Applicaion Level Gateways)是在網(wǎng)絡(luò)應(yīng)用層上建立協(xié)議過濾和轉(zhuǎn)發(fā)功能。它能夠檢查進(jìn)出的數(shù)據(jù)包,通過網(wǎng)關(guān)復(fù)制傳遞數(shù)據(jù),防止在受信任服務(wù)器和客戶機(jī)與不受信任的主機(jī)間直接建立聯(lián)系。應(yīng)用級網(wǎng)關(guān)能夠理解應(yīng)用層上的協(xié)議,能夠做復(fù)雜一些的訪問控制,并做精細(xì)的注冊和稽核。它針對特別的網(wǎng)絡(luò)應(yīng)用服務(wù)協(xié)議即數(shù)據(jù)過濾協(xié)議,并且能夠?qū)?shù)據(jù)包分析并形成相關(guān)的報(bào)告。應(yīng)用網(wǎng)關(guān)對某些易于登錄和控制所有輸出輸入的通信的環(huán)境給予嚴(yán)格的控制,以防有價(jià)值的程序和數(shù)據(jù)被竊取。 在實(shí)際工作中,應(yīng)用網(wǎng)關(guān)一般由專用工作站系統(tǒng)來完成。但每一種協(xié)議需要相應(yīng)的軟件,使用時(shí)工作量大,效率不如網(wǎng)絡(luò)級防火墻。 應(yīng)用級網(wǎng)關(guān)有較好的訪問控制,是目前最安全的防火墻技術(shù),但實(shí)現(xiàn)困難,而且有的應(yīng)用級網(wǎng)關(guān)缺乏“透明度”。在實(shí)際使用中,用戶在受信任的網(wǎng)絡(luò)上通過防火墻訪問Internet時(shí),經(jīng)常會發(fā)現(xiàn)存在延遲并且必須進(jìn)行多次登錄(Login)才能訪問Internet或Intranet。所以雖是高安全產(chǎn)品,但實(shí)際在企業(yè)中的應(yīng)用并不理想。

服務(wù):又稱電路級網(wǎng)關(guān)。服務(wù)(Proxy Server)是設(shè)置在Internet網(wǎng)關(guān)的專用應(yīng)用級代碼,它主要是針對包過濾和應(yīng)用級網(wǎng)關(guān)技術(shù)存在的缺點(diǎn)而引入的。這種服務(wù)準(zhǔn)許網(wǎng)管員允許或拒絕特定的應(yīng)用程序或一個(gè)應(yīng)用的特定功能。包過濾技術(shù)和應(yīng)用網(wǎng)關(guān)是通過特定的邏輯判斷來決定是否允許特定的數(shù)據(jù)包通過,一旦判斷條件滿足,防火墻內(nèi)部網(wǎng)絡(luò)的結(jié)構(gòu)和運(yùn)行狀態(tài)便“暴露”在外來用戶面前,這就引入了服務(wù)的概念,即防火墻內(nèi)外計(jì)算機(jī)系統(tǒng)應(yīng)用層的“鏈接”由兩個(gè)終止于服務(wù)的“鏈接”來實(shí)現(xiàn),這就成功地實(shí)現(xiàn)了防火墻內(nèi)外計(jì)算機(jī)系統(tǒng)的隔離。同時(shí),服務(wù)還可用于實(shí)施較強(qiáng)的數(shù)據(jù)流監(jiān)控、過濾、記錄和報(bào)告等功能。服務(wù)技術(shù)主要通過專用計(jì)算機(jī)硬件(如工作站)來承擔(dān),這導(dǎo)致防火墻的最大缺點(diǎn)就是速度相對比較慢,當(dāng)用戶對內(nèi)外部網(wǎng)絡(luò)網(wǎng)關(guān)的吞吐量要求比較高時(shí),防火墻就會成為內(nèi)外部網(wǎng)絡(luò)之間的瓶頸。

規(guī)則檢查防火墻:該防火墻結(jié)合了包過濾防火墻、服務(wù)和應(yīng)用級網(wǎng)關(guān)的特點(diǎn)。它同包過濾防火墻一樣,規(guī)則檢查防火墻能夠在網(wǎng)絡(luò)層上通過IP地址和端口號過濾進(jìn)出的數(shù)據(jù)包。它象服務(wù)一樣,能夠檢測是否是特許包。又象應(yīng)用級網(wǎng)關(guān)一樣,可以在應(yīng)用層上檢查數(shù)據(jù)包的內(nèi)容,查看這些內(nèi)容是否能符合企業(yè)網(wǎng)絡(luò)的安全規(guī)則。規(guī)則檢查防火墻雖然集成前三者的特點(diǎn),但是不同于前三種,從理論上就能比應(yīng)用級在過濾數(shù)據(jù)包上更有效。

三、防火墻的選購

防火墻并不是萬能的,不是說有了它就是安全了,并不是有了它就能提高上網(wǎng)的速度了;當(dāng)我們在準(zhǔn)備應(yīng)用防火墻技術(shù)時(shí),得考慮以下幾點(diǎn):第一是防火墻是不能防病毒的,同時(shí)也不能防垃圾郵件的,盡管有不少的防火墻產(chǎn)品聲稱其具有這功能,無非是增加了相應(yīng)的幾個(gè)模塊,這在一定程度上使防火墻增加了數(shù)據(jù)處理的負(fù)擔(dān)。第二是防火墻在處理數(shù)據(jù)時(shí)的延時(shí),(所謂防火墻的延時(shí),即數(shù)據(jù)轉(zhuǎn)換或處理時(shí)所損耗的時(shí)間)一旦延時(shí)超過了網(wǎng)絡(luò)數(shù)據(jù)通信所規(guī)定的時(shí)間,將無法支持實(shí)時(shí)服務(wù)的請求,現(xiàn)在要使這個(gè)延時(shí)達(dá)到最小,只能是購買高性能的設(shè)備,當(dāng)然這樣的話將需要更多的資金來支持。

第7篇：防火墻在網(wǎng)絡(luò)中的應(yīng)用范文

關(guān)鍵詞： 防火墻 病毒 企業(yè)網(wǎng)安全

一、防火墻的相關(guān)知識

防火墻就是一個(gè)位于計(jì)算機(jī)和它所連接的網(wǎng)絡(luò)之間的軟件。該計(jì)算機(jī)流入流出的所有網(wǎng)絡(luò)通信均要經(jīng)過防火墻。它對流經(jīng)它的網(wǎng)絡(luò)通信進(jìn)行掃描，這樣能夠過濾掉一些攻擊，以免其在目標(biāo)計(jì)算機(jī)上被執(zhí)行，還能禁止特定端口的流出通信，封鎖特洛伊木馬，禁止來自特殊站點(diǎn)的訪問，從而防止來自不明入侵者的所有通信。防火墻一般安裝在內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)之間，集中所有互聯(lián)網(wǎng)流量，因此對其要求極高，一旦發(fā)生故障必須能迅速恢復(fù)。

二、選擇防火墻需要注意的問題

作為企業(yè)信息安全保護(hù)最基礎(chǔ)的硬件，防火墻在企業(yè)整體防范體系中占據(jù)至關(guān)重要的地位。一款反應(yīng)和處理能力不強(qiáng)的防火墻，不但保護(hù)不了企業(yè)的信息安全，反而會成為安全的最大隱患，所以，選擇防火墻必須謹(jǐn)慎。

1.應(yīng)購買具有品牌優(yōu)勢、質(zhì)量信得過的產(chǎn)品。廠商的持續(xù)開發(fā)能力以及升級和維護(hù)能力非常重要。目前對國內(nèi)安全產(chǎn)品的認(rèn)證有四種：中國信息安全產(chǎn)品測評認(rèn)證中心的認(rèn)證（針對企業(yè)應(yīng)用），國家保密局測評認(rèn)證中心的認(rèn)證（針對政府網(wǎng)應(yīng)用）、公安部計(jì)算機(jī)信息安全產(chǎn)品質(zhì)量監(jiān)督檢驗(yàn)中心（獲得銷售許可），以及中國人民信息安全測評認(rèn)證中心（針對軍隊(duì)使用）。

2.在性能方面只選適合的，不一定選最高的，除了要考慮產(chǎn)品本身應(yīng)該安全可靠，還要考慮防火墻性能的穩(wěn)定，并應(yīng)有良好的擴(kuò)展性與適應(yīng)性，方便管理和控制也是必須考慮的。除此之外還要注意防火墻的基本性能，如效率與安全防護(hù)能力、網(wǎng)絡(luò)吞吐量、提供專業(yè)的數(shù)量，以及與其他信息安全產(chǎn)品的聯(lián)動(dòng)等問題。

3.價(jià)格并非越貴越好。不同價(jià)格的防火墻保證的安全程度也不同。硬件防火墻因?yàn)楸溶浖阑饓Ψ€(wěn)定和效率更高，一般價(jià)格也要高一些。對于有條件的企業(yè)來說，最好選擇整套企業(yè)級的防火墻解決方案。

4.用戶在選擇防火墻時(shí)，除了考慮性能與價(jià)格外，還應(yīng)考慮廠商提供的售后服務(wù)。一旦使用中遇到用戶解決不了的問題或故障時(shí)，廠商應(yīng)及時(shí)響應(yīng)、快速解決問題。

三、防火墻的分類

防火墻有很多種分類方法：依據(jù)采用的技術(shù)的不同，防火墻產(chǎn)品可分為軟件防火墻、硬件防火墻和軟硬一體化防火墻；按照應(yīng)用對象的不同，防火墻產(chǎn)品可分為企業(yè)級防火墻與個(gè)人防火墻；根據(jù)防御方式的不同，防火墻產(chǎn)品又可分為包過濾型（Packet Filtering）防火墻、應(yīng)用級網(wǎng)關(guān)型（Application Level Gateway）防火墻和服務(wù)型（Proxy Service）防火墻，等等。

四、應(yīng)對企業(yè)中的網(wǎng)絡(luò)安全隱患

擁有諸多用戶和諸多有問題的復(fù)雜服務(wù)的大企業(yè)更具挑戰(zhàn)性?！坝袉栴}的”服務(wù)是指貌似簡單但實(shí)際上需要防火墻開放多個(gè)端口的服務(wù)，譬如VoIP和NetMeeting。這兩種服務(wù)都需要為25種以上的不同服務(wù)開放端口，所以就應(yīng)該使用應(yīng)用網(wǎng)關(guān)防火墻，或者僅限于嚴(yán)格控制的環(huán)境（譬如，從內(nèi)部網(wǎng)絡(luò)、某一組IP地址啟動(dòng)服務(wù)、只在特定時(shí)間段進(jìn)行）。此外，如果在復(fù)雜的大型環(huán)境安裝防火墻，應(yīng)該使用支持集中式防火墻管理和配置功能的防火墻，譬如PIX、CyberGuard、Firebox、FireWall-1、NetScreen和Sidewinder G2。

對應(yīng)用層數(shù)據(jù)進(jìn)行加密，已經(jīng)被廣泛地應(yīng)用于各種場合，以提高數(shù)據(jù)的安全性。如在郵箱系統(tǒng)中，就采用了SSL的加密機(jī)制。用戶可以選擇是否要對郵件的內(nèi)容進(jìn)行加密。若用戶選擇SSL加密的話，則在郵件發(fā)送的時(shí)候，郵箱系統(tǒng)會自動(dòng)對整封郵件在應(yīng)用層面上進(jìn)行加密。

這就對深度檢測防火墻提出了新的挑戰(zhàn)，防火墻必須有對應(yīng)用層數(shù)據(jù)進(jìn)行加密、解密的能力。因?yàn)橄褚恍┎《距]件，其往往隱藏在郵件的附件中，也就是隱藏在應(yīng)用層的數(shù)據(jù)中。而因?yàn)閷?yīng)用層的數(shù)據(jù)采取了加密處理，所以一般防火墻不能夠辨別應(yīng)用層數(shù)據(jù)中是否存在著病毒文件。只有防火墻能夠?qū)?yīng)用層數(shù)據(jù)進(jìn)行解密、加密的能力，才能夠判斷數(shù)據(jù)包中是否含有應(yīng)用層的攻擊信息。所以，如果防火墻的深度檢測功能不能夠?qū)ζ髽I(yè)中的關(guān)鍵應(yīng)用，如郵件系統(tǒng)，提供深度檢測安全性的話（即對應(yīng)用層數(shù)據(jù)進(jìn)行解密后的檢測），則整個(gè)深度檢測就會失去其存在的意義。換句話說，深度檢測只能夠檢測未經(jīng)過加密處理的應(yīng)用層數(shù)據(jù)，其效果就會大大的打折扣。

在企業(yè)的關(guān)鍵應(yīng)用中，一般郵件系統(tǒng)中會實(shí)現(xiàn)應(yīng)用層的數(shù)據(jù)加密。除了這個(gè)應(yīng)用外，企業(yè)可能在VPN、FTP服務(wù)器、OA服務(wù)器中也實(shí)現(xiàn)了類似SSL的加密機(jī)制。根據(jù)了解，只要能夠在互聯(lián)網(wǎng)上進(jìn)行訪問的信息化應(yīng)用，一般都會在應(yīng)用層上對數(shù)據(jù)加密，以提高數(shù)據(jù)的安全性。通過對應(yīng)用層數(shù)據(jù)加密，可以有效地防止攻擊者通過網(wǎng)絡(luò)偵聽的手段竊取公司的機(jī)密數(shù)據(jù)。

1.能否有效解決應(yīng)用層字符串匹配問題

在針對應(yīng)用層的攻擊中，很多是通過字符串的匹配不當(dāng)來實(shí)現(xiàn)的。如典型的欺騙IDS攻擊，就是通過這個(gè)字符串不匹配而完成的。

有時(shí)候?yàn)榱肆私饽撤N請求的安全策略是否被啟用，防火墻通常會根據(jù)請求的信息與自身的安全策略來進(jìn)行匹配。一旦條件匹配，防火墻就采用對應(yīng)的安全策略。非法攻擊者會利用各種手段，對用戶的請求信息進(jìn)行偽裝，企圖讓字符串不匹配，以達(dá)到越過安全設(shè)備的目的?？梢院唵我稽c(diǎn)來理解：當(dāng)客戶端想通過防火墻的時(shí)候，客戶端的數(shù)據(jù)會向防火墻發(fā)送一個(gè)請求。在這個(gè)請求信息中，會包含是否需要采用某種安全策略的信息，而這些信息都是通過一些特定的字符串來表示的。當(dāng)防火墻收到請求信息時(shí)，就會把這些字符串跟自身的進(jìn)行對比。若符合，則采取某種安全策略，如加密等；若不符合，則不會采用安全策略，而以普通的方式轉(zhuǎn)發(fā)。

如此，只要攻擊者對請求者的請求信息進(jìn)行隨意的更改，就可能導(dǎo)致請求信息字符串與防火墻中的字符串不匹配，從而繞過安全設(shè)備，進(jìn)行一些非法的勾當(dāng)。為了解決這個(gè)字符串匹配問題，深度檢測技術(shù)設(shè)計(jì)了一種“正?；夹g(shù)”。通過這種技術(shù)，能夠讓深度檢測識別隱藏在URL編碼、Unicode數(shù)據(jù)中的應(yīng)用層攻擊行為，以提高應(yīng)用層數(shù)據(jù)的安全性。

2.能否判斷協(xié)議的一致性

數(shù)據(jù)要在網(wǎng)絡(luò)上傳輸，都必須遵守一定的規(guī)范。在網(wǎng)絡(luò)上，數(shù)據(jù)的交通法規(guī)就是各種應(yīng)用層協(xié)議，如HTTP、SMTP、FTP協(xié)議等。這些協(xié)議都有全球統(tǒng)一的規(guī)范。如果員工發(fā)送一封郵件，則應(yīng)用層的數(shù)據(jù)必須符合SMTP協(xié)議的規(guī)范。

但是，很多攻擊者就利用這些規(guī)范來對企業(yè)網(wǎng)絡(luò)進(jìn)行攻擊。如在郵件中，會插入FTP協(xié)議的內(nèi)容。當(dāng)用戶查看郵件內(nèi)容的時(shí)候，在不知情的情況下，系統(tǒng)自動(dòng)從FTP服務(wù)器上下載木馬、病毒等非法軟件，實(shí)現(xiàn)應(yīng)用層的攻擊。所以，深度檢測技術(shù)既然能夠檢測應(yīng)用層的數(shù)據(jù)，則我們就希望它好事做到底，能夠進(jìn)一步判斷協(xié)議的一致性。也就是說，其應(yīng)用層中的數(shù)據(jù)所采用的協(xié)議跟其所聲明的協(xié)議類型是否一致。如果不一致的話，則防火墻就需要過濾這個(gè)數(shù)據(jù)包，并向管理員提出警告。如果一致的話，就順利轉(zhuǎn)發(fā)。

3.PIX防火墻

為了在組織中高效使用防火墻，需要一個(gè)安全策略來確認(rèn)被保護(hù)網(wǎng)絡(luò)的所有數(shù)據(jù)包只能通過防火墻傳遞到非保護(hù)網(wǎng)絡(luò)。這樣就能控制誰能訪問網(wǎng)絡(luò)，訪問什么服務(wù)，及如何利用PIX防火墻的功能實(shí)現(xiàn)你的安全策略。

本文為全文原貌 未安裝PDF瀏覽器用戶請先下載安裝 原版全文

圖1顯示了PIX防火墻如何保護(hù)內(nèi)部網(wǎng)絡(luò)安全地訪問Internet。

在這個(gè)結(jié)構(gòu)中，PIX防火墻在被保護(hù)網(wǎng)絡(luò)和非保護(hù)網(wǎng)絡(luò)之間形成了一個(gè)邊界。被保護(hù)網(wǎng)絡(luò)和非保護(hù)網(wǎng)絡(luò)之間的所有數(shù)據(jù)包流量必須經(jīng)過防火墻以遵循一定的安全策略。被保護(hù)網(wǎng)絡(luò)通常能訪問Internet。PIX防火墻讓你將諸如Web、SNMP、E-mail等服務(wù)放置在被保護(hù)網(wǎng)絡(luò)中，以控制外部用戶的對這些服務(wù)的訪問。

服務(wù)系統(tǒng)也能放置在Perimeter網(wǎng)絡(luò)中（圖1）。PIX防火墻也能控制和監(jiān)視Inside網(wǎng)絡(luò)或Outside網(wǎng)絡(luò)對這些服務(wù)系統(tǒng)的訪問。

典型的Inside網(wǎng)絡(luò)就是一個(gè)組織自己的內(nèi)部Intranet網(wǎng)絡(luò)，外部網(wǎng)絡(luò)就是Internet。但是，PIX防火墻也能在Intranet網(wǎng)絡(luò)中使用以隔離或保護(hù)一組內(nèi)部的計(jì)算機(jī)系統(tǒng)。Perimeter網(wǎng)絡(luò)能和Inside網(wǎng)絡(luò)一樣進(jìn)行安全配置。PIX防火墻的Inside、Perimeter和Outside接口能監(jiān)聽RIP路由更新消息，如果需要，所有的接口能廣播一個(gè)缺省的RIP路由。

PIX防火墻能在兩個(gè)或多個(gè)網(wǎng)絡(luò)之間防止非授權(quán)的連接，即PIX防火墻能保護(hù)一個(gè)或多個(gè)網(wǎng)絡(luò)，與外部的、非保護(hù)的網(wǎng)絡(luò)隔離，防止非授權(quán)訪問。這些網(wǎng)絡(luò)間的所有連接都能被PIX防火墻控制。

當(dāng)向外連接的數(shù)據(jù)包（Outbound Packets）到達(dá)PIX防火墻的被保護(hù)接口時(shí)（Inside Interface），PIX防火墻檢查先前的數(shù)據(jù)包是否是來自此主機(jī)。如果沒有，PIX防火墻就在它的狀態(tài)表為新的連接建立一個(gè)轉(zhuǎn)換槽（translation slot）。通過網(wǎng)絡(luò)地址轉(zhuǎn)換（NAT）或端口地址轉(zhuǎn)換（PAT）的分配，這個(gè)槽包括內(nèi)部IP地址和一個(gè)唯一的全局IP地址。PIX防火墻這時(shí)轉(zhuǎn)換這個(gè)數(shù)據(jù)包的源IP地址（source IP）為這個(gè)唯一的全局IP地址，并按需修改其他字段，然后轉(zhuǎn)發(fā)這個(gè)數(shù)據(jù)包到合適的非保護(hù)接口。

當(dāng)向內(nèi)連接的數(shù)據(jù)包（Inbound Packets）到達(dá)PIX防火墻的非保護(hù)接口時(shí)（Outside Interface），它必須先經(jīng)過PIX防火墻的安全檢查。如果數(shù)據(jù)包檢查通過，則PIX防火墻移走這個(gè)數(shù)據(jù)包的目的IP地址（Destination IP），插入內(nèi)部的IP地址。這樣，這個(gè)數(shù)據(jù)包被轉(zhuǎn)發(fā)到被保護(hù)接口。

轉(zhuǎn)換內(nèi)部地址，動(dòng)態(tài)轉(zhuǎn)換對在Internet上不需要固定地址的桌面計(jì)算機(jī)是非常有用的。使用非NIC（Network Information Center）注冊的IP地址的內(nèi)部網(wǎng)絡(luò)主機(jī)通過在PIX防火墻中的地址轉(zhuǎn)換能直接訪問Internet上的標(biāo)準(zhǔn)TCP/IP程序，而不需要特定的客戶程序。PIX防火墻支持能為每個(gè)內(nèi)部主機(jī)提供一個(gè)全局唯一網(wǎng)絡(luò)地址的網(wǎng)絡(luò)地址轉(zhuǎn)換（NAT），和為許多內(nèi)部主機(jī)提供一個(gè)共享的全局唯一網(wǎng)絡(luò)地址的端口地址轉(zhuǎn)換（PAT）。NAT和PAT能轉(zhuǎn)換為多達(dá)64K主機(jī)地址。

PIX防火墻中的另一個(gè)地址轉(zhuǎn)換是靜態(tài)轉(zhuǎn)換。靜態(tài)轉(zhuǎn)換能有效地移動(dòng)一個(gè)內(nèi)部的、非注冊主機(jī)到防火墻中的虛網(wǎng)。這對一個(gè)需要映射到外部Internet網(wǎng)關(guān)的內(nèi)部主機(jī)是非常有用的，如SMTP服務(wù)器。

防火墻在網(wǎng)絡(luò)中是一個(gè)邏輯裝置，用來保護(hù)內(nèi)部的網(wǎng)絡(luò)不受來自Internet的侵害。嚴(yán)格意義的防火墻，就是一個(gè)或一組系統(tǒng)，用來在兩個(gè)或多個(gè)網(wǎng)絡(luò)間加強(qiáng)訪問控制。它的目的在于把那些不信任的網(wǎng)絡(luò)隔離在特定的網(wǎng)絡(luò)之外，但又不影響正常工作。其核心思想就是在不安全的網(wǎng)間網(wǎng)環(huán)境中構(gòu)造一個(gè)相對安全的子網(wǎng)環(huán)境。因此當(dāng)我們掌握一定技術(shù)后，便可以充分利用防火墻的技術(shù)，阻止一切危害企業(yè)網(wǎng)安全的隱患，使企業(yè)網(wǎng)絡(luò)正常運(yùn)行，信息安全得到保證。

參考文獻(xiàn)：

［1］劉曉輝.網(wǎng)絡(luò)基礎(chǔ).機(jī)械工業(yè)出版社，2007.

［2］馬亮，杜愷琳.局域網(wǎng)組網(wǎng)技術(shù)與維護(hù)管理.電子工業(yè)出版社，2009.

第8篇：防火墻在網(wǎng)絡(luò)中的應(yīng)用范文

本文將從相關(guān)技術(shù)、選購要素、選購策略三個(gè)方面進(jìn)行介紹。

防火墻的分類

防火墻有許多種形式，有的以軟件形式運(yùn)行在普通計(jì)算機(jī)之上，有的以硬件形式單獨(dú)實(shí)現(xiàn)，有的以固件形式設(shè)計(jì)在路由器之中?？傮w來說，防火墻可分為四大類：包過濾防火墻、應(yīng)用級網(wǎng)關(guān)和狀態(tài)監(jiān)視器、復(fù)合型防火墻。

1　包過濾防火墻

一般在路由器上實(shí)現(xiàn)。工作原理為系統(tǒng)在網(wǎng)絡(luò)層檢查數(shù)據(jù)包，與應(yīng)用層無關(guān)。因此系統(tǒng)具有很好的傳輸性，可擴(kuò)展能力強(qiáng)，但較容易被黑客所攻破。

在Intemet上，所有信息均被分割成許多一定長度的信息包，包中包含發(fā)送者及接收者的IP地址信息，當(dāng)這些信息包被送上Intemet時(shí)，路由器會讀取接收者的IP并選擇一條合適的物理線路發(fā)送出去，信息包可能經(jīng)由不同的路線抵達(dá)目的地，當(dāng)所有的包抵達(dá)目的地后將被重新組裝還原。

包過濾式防火墻會檢查所有通過信息包中的IP地址，并按照系統(tǒng)管理員給定的過濾規(guī)則進(jìn)行過濾，以屏蔽掉沒被規(guī)則批準(zhǔn)的信息。

包過濾防火墻的優(yōu)點(diǎn)為，其對用戶來說是透明的，處理速度快且易于維護(hù)，因此通常會被作為網(wǎng)絡(luò)的第一道防線。其缺點(diǎn)為：由于沒有用戶使用記錄，因此管理者難以獲得入侵者的攻擊記錄；系統(tǒng)配置較為繁瑣；可阻擋外部用戶進(jìn)入內(nèi)網(wǎng)，但不通知管理者何人進(jìn)入了內(nèi)部系統(tǒng)，或何人從內(nèi)部網(wǎng)進(jìn)入了Internet；可以阻止外部用戶對私有網(wǎng)絡(luò)的訪問，卻不能記錄內(nèi)部用戶的訪問。

包過濾防火墻最大的弱點(diǎn)是不能鑒別用戶級別及防止IP地址的盜用。因此。攻破一個(gè)單純的包過濾式防火墻相對簡單，“IP地址欺騙”及“同步風(fēng)暴”是黑客攻擊包過濾防火墻時(shí)較常用的手段。

2　應(yīng)用級網(wǎng)關(guān)

應(yīng)用級網(wǎng)關(guān)即服務(wù)器。工作原理為，通過檢查所有應(yīng)用層信息包，并將檢查的內(nèi)容信息放入決策過程，從而提高網(wǎng)絡(luò)的安全性，缺點(diǎn)是伸縮性較差。

應(yīng)用級網(wǎng)關(guān)適用于特定的Internet服務(wù)，如HTTP、FTP等等。服務(wù)器常運(yùn)行在兩個(gè)網(wǎng)絡(luò)之間，對于用戶來說其像是一臺服務(wù)器，而對于外部服務(wù)器來說，它又是一臺客戶機(jī)。當(dāng)服務(wù)器接收到用戶對某個(gè)站點(diǎn)的訪問請求時(shí)，會檢查該請求是否符合規(guī)定，如果規(guī)則允許用戶訪問該站點(diǎn)，服務(wù)器將進(jìn)入該站點(diǎn)取回所需信息再轉(zhuǎn)發(fā)給用戶。服務(wù)器通常擁有一個(gè)高速緩存，這個(gè)緩存用于存儲用戶經(jīng)常訪問站點(diǎn)的內(nèi)容，當(dāng)不同用戶訪問同一站點(diǎn)時(shí)，服務(wù)器直接將緩存內(nèi)容發(fā)出即可。

應(yīng)用級網(wǎng)關(guān)的安全性高于單一包過濾，且會詳細(xì)記錄所有的訪問狀態(tài)信息，但應(yīng)用級網(wǎng)關(guān)也存在一些不足之處：如它會使訪問速度變慢；應(yīng)用級網(wǎng)關(guān)需要對每一個(gè)特定的Intemet服務(wù)安裝相應(yīng)的服務(wù)軟件，用戶不能使用未被服務(wù)器支持的服務(wù)；針對每一類服務(wù)需要使用不同的客戶端軟件，伸縮性較差；并非所有的Intemet應(yīng)用軟件都可以使用服務(wù)器等。

3　狀態(tài)監(jiān)測防火墻

工作原理為，使用了一個(gè)在網(wǎng)關(guān)上執(zhí)行網(wǎng)絡(luò)安全策略的監(jiān)測引擎軟件模塊，在不影響網(wǎng)絡(luò)正常運(yùn)行的前提下，采用抽取有關(guān)數(shù)據(jù)的方法對網(wǎng)絡(luò)通信的各層實(shí)施監(jiān)測。安全性高，且監(jiān)測引擎支持多種協(xié)議及應(yīng)用程序，很容易實(shí)現(xiàn)對應(yīng)用及服務(wù)的升級。

與前兩種防火墻不同，當(dāng)用戶的訪問請求到達(dá)網(wǎng)關(guān)操作系統(tǒng)前，狀態(tài)監(jiān)視器會抽取有關(guān)數(shù)據(jù)進(jìn)行分析，結(jié)合網(wǎng)絡(luò)配置和安全規(guī)定做出接納、拒絕、身份認(rèn)證、報(bào)警或給該通信加密等處理動(dòng)作。

該產(chǎn)品的優(yōu)點(diǎn)為，一旦某個(gè)訪問違反安全規(guī)定，就會被拒絕報(bào)告有關(guān)狀態(tài)并進(jìn)行日志記錄；可自動(dòng)監(jiān)測無連接狀態(tài)的遠(yuǎn)程過程調(diào)用(RPC)和用戶數(shù)據(jù)報(bào)(UDP)等端口信息，安全性能大大提升。其劣勢為，配置較復(fù)雜。降低了網(wǎng)絡(luò)速度，為了解決這一問題，目前一些防火墻產(chǎn)品嘗試通過采用面向?qū)ο蟮膱D形用戶界面(GUI)來定義安全策略規(guī)。以簡化配置過程。

4　復(fù)合型防火墻

復(fù)合型防火墻為綜合了狀態(tài)檢測與透明的新一代防火墻，其基于ASIC架構(gòu)，將防病毒、內(nèi)容過濾整合到防火墻中，實(shí)現(xiàn)了安全性能的新突破。

常規(guī)的防火墻不能防止隱蔽在網(wǎng)絡(luò)流量里的攻擊，復(fù)合型防火墻通過在網(wǎng)絡(luò)界面對應(yīng)用層進(jìn)行掃描，將防病毒、內(nèi)容過濾與防火墻結(jié)合起來，體現(xiàn)出網(wǎng)絡(luò)與信息安全發(fā)展的一種新思路。其通過在網(wǎng)絡(luò)邊界實(shí)施OSI第七層內(nèi)容掃描，實(shí)現(xiàn)了實(shí)時(shí)在網(wǎng)絡(luò)邊緣部署病毒防護(hù)、內(nèi)容過濾等應(yīng)用層安全服務(wù)措施。

選購要素

防火墻作為網(wǎng)絡(luò)安全體系的基礎(chǔ)及核心控制設(shè)備，貫穿于受控網(wǎng)絡(luò)通信的整個(gè)主干線，其不但對通過受控千線的所有通信行為進(jìn)行安全處理，同時(shí)也承擔(dān)著繁重的通信任務(wù)，用戶在選購時(shí)，應(yīng)主要從以下幾個(gè)方面進(jìn)行分析和比較。

1　安全性

選擇防火墻時(shí)不但應(yīng)關(guān)注其如何控制連接及防火墻能支持多少種服務(wù)等功能，更應(yīng)關(guān)注其自身的健壯性。

2　可靠性

從系統(tǒng)設(shè)計(jì)上，提高可靠性的措施一般為提高本身部件的強(qiáng)健性、增大設(shè)計(jì)閾值和增加冗余部件，因此要求系統(tǒng)須有較高的生產(chǎn)標(biāo)準(zhǔn)及設(shè)計(jì)冗余度。

3　靈活性

即對通信行為的有效控制，其要求防火墻設(shè)備有一系列不同級別、可滿足不同用戶各類安全控制需求的控制能力。

4　經(jīng)濟(jì)性

用戶應(yīng)根據(jù)自己的安全需求考慮采用那種產(chǎn)品，除考慮價(jià)格因素外，管理、維護(hù)及消耗材料的費(fèi)用等也應(yīng)考慮在內(nèi)。

5　高性能

作為影響網(wǎng)絡(luò)性能的瓶頸，防火墻性能是用戶在選購時(shí)必須重點(diǎn)考察的指標(biāo)。一般的衡量指標(biāo)主要包括：網(wǎng)絡(luò)吞吐量、丟包率、延遲、連接數(shù)等。

6　豐富的功能

安全策略中往往有些特殊需求(如網(wǎng)絡(luò)地址轉(zhuǎn)Q、雙重DNS、擬專用網(wǎng)絡(luò)、掃毒等功能等)，這些功能并不是每一個(gè)防火墻產(chǎn)品均可以提供，因此性能的豐富性也應(yīng)是選擇防火墻的考慮因素之一。

7　配置的方便性

在網(wǎng)絡(luò)人口及出口處安裝新的網(wǎng)絡(luò)設(shè)備是每個(gè)網(wǎng)管員的噩夢，而支持透明通信的防火墻，在安裝時(shí)不需要對原網(wǎng)絡(luò)配置做任何改動(dòng)，所做的工作只相當(dāng)于安裝一個(gè)網(wǎng)橋或Hub。

8　管理的簡便性

對于防火墻類訪問控制設(shè)備，除不斷進(jìn)行安全控制策略調(diào)整外，還須對業(yè)務(wù)系統(tǒng)訪問控制進(jìn)行頻繁調(diào)整。

選購策略

防火墻的選擇要從需求出發(fā)，結(jié)合實(shí)際情況制訂選購的策略，應(yīng)盡量避免一味的對高參數(shù)、新產(chǎn)品的追求，注重產(chǎn)品的性價(jià)比和適用性，下面筆者針對一些實(shí)際情況介紹一點(diǎn)經(jīng)驗(yàn)。

1　不要輕信“外來和尚”

在網(wǎng)絡(luò)安全，甚至是計(jì)算機(jī)領(lǐng)域，我們完全不用崇洋。很多國內(nèi)防火墻產(chǎn)品不僅功能較為全面，很容易應(yīng)用，且服務(wù)本地化，性價(jià)比非常好。

2　按需選擇性能指標(biāo)

選擇產(chǎn)品時(shí)一定要有前瞻性，產(chǎn)品最好能適應(yīng)1～2年后網(wǎng)絡(luò)的擴(kuò)展需求，在資金有限的情況下，還應(yīng)仔細(xì)衡量一下，哪些指標(biāo)對自己是最有用的。如有些用戶片面追求最大并發(fā)連接數(shù)，認(rèn)為并發(fā)連接數(shù)越大越好，其實(shí)這是一些廠商的誤導(dǎo)，對于百兆防火墻來說，100萬的并發(fā)連接對于應(yīng)用已綽綽有余，其他的指標(biāo)的選擇也一樣，按需選擇才是根本。

3　科學(xué)分析功能需求

第9篇：防火墻在網(wǎng)絡(luò)中的應(yīng)用范文

關(guān)鍵詞：內(nèi)部網(wǎng)絡(luò)；外部網(wǎng)絡(luò)；平安

一、防火墻功用概述

防火墻是一個(gè)維護(hù)安裝，它是一個(gè)或一組網(wǎng)絡(luò)設(shè)備安裝。通常是指運(yùn)轉(zhuǎn)特別編寫或更改正操作系統(tǒng)的計(jì)算機(jī)，它的目的就是維護(hù)內(nèi)部網(wǎng)的訪問平安。防火墻能夠裝置在兩個(gè)組織構(gòu)造的內(nèi)部網(wǎng)與外部的Internet之間，同時(shí)在多個(gè)組織構(gòu)造的內(nèi)部網(wǎng)和Internet之間也會起到同樣的維護(hù)作用。它主要的維護(hù)就是增強(qiáng)外部Internet對內(nèi)部網(wǎng)的訪問控制，它主要任務(wù)是允許特別的銜接經(jīng)過，也能夠阻止其他不允許的銜接。防火墻只是網(wǎng)絡(luò)平安戰(zhàn)略的一局部，它經(jīng)過少數(shù)幾個(gè)良好的監(jiān)控位置來停止內(nèi)部網(wǎng)與Internet的銜接。防火墻的中心功用主要是包過濾。其中入侵檢測，控管規(guī)則過濾，實(shí)時(shí)監(jiān)控及電子郵件過濾這些功用都是基于封包過濾技術(shù)的。防火墻的主體功用歸結(jié)為以下幾點(diǎn)：依據(jù)應(yīng)用程序訪問規(guī)則可對應(yīng)用程序連網(wǎng)動(dòng)作停止過濾；對應(yīng)用程序訪問規(guī)則具有自學(xué)習(xí)功用；可實(shí)時(shí)監(jiān)控，監(jiān)視網(wǎng)絡(luò)活動(dòng)；具有日志，以記載網(wǎng)絡(luò)訪問動(dòng)作的細(xì)致信息；被攔阻時(shí)能經(jīng)過聲音或閃爍圖標(biāo)給用戶報(bào)警提示。

防火墻僅靠這些中心技術(shù)功用是遠(yuǎn)遠(yuǎn)不夠的。中心技術(shù)是根底，必需在這個(gè)根底之上參加輔助功用才干流利的工作。而完成防火墻的中心功用是封包過濾。在邏輯上，防火墻是一個(gè)別離器，一個(gè)限制器，也是一個(gè)剖析器，有效地監(jiān)控了內(nèi)部網(wǎng)和Internet之間的任何活動(dòng)，保證了內(nèi)部網(wǎng)絡(luò)的平安（見圖1）。

二、防火墻主要技術(shù)特性

應(yīng)用層采用Winsock2SPI停止網(wǎng)絡(luò)數(shù)據(jù)控制、過濾；中心層采用NDISHOOK停止控制，特別是在Windows2000下，此技術(shù)屬微軟未公開技術(shù)。

此防火墻還采用兩種封包過濾技術(shù)：

一是應(yīng)用層封包過濾，采用Winsock2SPI；

二是中心層封包過濾，采用NDIS_HOOK。Winsock2SPI工作在API之下、Driver之上，屬于應(yīng)用層的范疇。應(yīng)用這項(xiàng)技術(shù)能夠截獲一切的基于Socket的網(wǎng)絡(luò)通訊。采用Winsock2SPI的優(yōu)點(diǎn)是十分明顯的：其工作在應(yīng)用層以DLL的方式存在，編程、測試便當(dāng)；跨Windows平臺，能夠直接在Windows98/ME/NT/2000/XP上通用，Windows95只需裝置上Winsock2for95，也能夠正常運(yùn)轉(zhuǎn)；效率高，由于工作在應(yīng)用層，CPU占用率低；封包還沒有依照低層協(xié)議停止切片，所以比擬完好。而防火墻正是在TCP/IP協(xié)議在windows的根底上才得以完成。在構(gòu)筑防火墻維護(hù)網(wǎng)絡(luò)之前，需求制定一套完好有效的平安戰(zhàn)略，這種平安戰(zhàn)略普通分為兩層：網(wǎng)絡(luò)效勞訪問戰(zhàn)略和防火墻設(shè)計(jì)謀略。

三、網(wǎng)絡(luò)效勞訪問戰(zhàn)略

網(wǎng)絡(luò)效勞訪問戰(zhàn)略是一種高層次的、詳細(xì)到事情的戰(zhàn)略，主要用于定義在網(wǎng)絡(luò)中允許的或制止的網(wǎng)絡(luò)效勞，還包括對撥號訪問以及SLIP/PPP銜接的限制。這是由于對一種網(wǎng)絡(luò)效勞的限制可能會促運(yùn)用戶運(yùn)用其他的辦法，所以其他的途徑也應(yīng)遭到維護(hù)。網(wǎng)絡(luò)效勞訪問戰(zhàn)略不但應(yīng)該是一個(gè)站點(diǎn)平安戰(zhàn)略的延伸，而且關(guān)于機(jī)構(gòu)內(nèi)部資源的維護(hù)也起全局的作用。這種戰(zhàn)略可能包括許多事情，從文件切碎條例到病毒掃描程序，從遠(yuǎn)程訪問到挪動(dòng)介質(zhì)的管理。

四、防火墻的設(shè)計(jì)謀略

防火墻的設(shè)計(jì)謀略是詳細(xì)地針對防火墻，擔(dān)任制定相應(yīng)的規(guī)章制度來施行網(wǎng)絡(luò)效勞訪問戰(zhàn)略。在制定這種戰(zhàn)略之前，必需理解這種防火墻的性能以及缺陷、TCP/IP本身所具有的易攻擊性和風(fēng)險(xiǎn)。防火墻普通執(zhí)行以下兩種根本戰(zhàn)略中的一種：除非明白不允許，否則允許某種效勞；除非明白允許，否則將制止某項(xiàng)效勞。

執(zhí)行第一種戰(zhàn)略的防火墻在默許狀況下允許一切的效勞，除非管理員對某種效勞明白表示制止。執(zhí)行第二種戰(zhàn)略的防火墻在默許狀況下制止一切的效勞，除非管理員對某種效勞明白表示允許。防火墻能夠施行一種寬松的戰(zhàn)略（第一種），也能夠施行一種限制性戰(zhàn)略（第二種），這就是制定防火墻戰(zhàn)略的動(dòng)手點(diǎn)。一個(gè)站點(diǎn)能夠把一些必需的而又不能經(jīng)過防火墻的效勞放在屏蔽子網(wǎng)上，和其他的系統(tǒng)隔離。

五、設(shè)計(jì)時(shí)需求思索的問題

為了肯定防火墻設(shè)計(jì)謀略，進(jìn)而構(gòu)建完成戰(zhàn)略的防火墻，應(yīng)從最平安的防火墻設(shè)計(jì)謀略開端，即除非明白允許，否則制止某種效勞。戰(zhàn)略應(yīng)該處理以下的問題：需求什么效勞；在哪里運(yùn)用這些效勞；能否應(yīng)當(dāng)支持撥號入網(wǎng)和加密等效勞；提供這些效勞的風(fēng)險(xiǎn)是什么；若提供這種維護(hù)，可能會招致網(wǎng)絡(luò)運(yùn)用上的不便當(dāng)?shù)蓉?fù)面影響，這些影響會有多大，能否值付出這種代價(jià)；和可用性相比，站點(diǎn)的平安性放在什么位置。