首页资料文库正文

防火墙在网络中的作用十篇

时间：2023-10-19 17:11:06

防火墙在网络中的作用

防火墙在网络中的作用篇1

[关键字] 计算机网络、网络安全、防火墙

中图分类号:TP393 文献标识码:A 文章编号:1003-8809(2010)-08-0213-02

一.计算机网络

计算机网络是计算机技术和通信技术相结合的产物,它涉及到通信技术与计算机技术两个领域。对于如何定义计算机网络,多年来一直没有一个严格的定义,各种资料上的说法也不完全一致。目前一些较为权威的看法认为:

计算机网络就是实现计算机之间的通信交往、资源共享和协同工作,利用通信设备和线路将地理位置分散的各自具备自主功能的一组计算机有机地联系起来,在网络操作系统和通信协议的管理下的计算机复合系统。

二.网络安全

大部分接触网络的人都知道,网络中有一些别有用心的人,费尽心机闯入他人的计算机系统,其目的就是利用各种网络和系统所存在的漏洞,非法获得未授权的访问信息。可以说今天我们所处的信息时代,是病毒与黑客大行其道的时代,这样说似乎有些悲观,但今天的网络的确如此,从Internet到企业内网、从个人电脑到可上网的手机平台,没有地方是安全的。

而如今,攻击网络系统和窃取信息已经不需要什么高深的技巧。网络中有大量的攻击工具和攻击文章等资源,可以任意使用和共享。一些攻击程序不需要了解是如何运行的,只需要简单的执行就可以给网络造成巨大的威胁。甚至部分程序不需要人为的参与,非常智能化的扫描和破坏整个网络,给网络安全带来越来越多的隐患。

人们经历了一次又一次的病毒危机后,已经开始思考网络的安全了。我们可以通过很多网络工具、设备和策略来保护网络的安全。其中防火墙是最好的选择,现在任何一个企业组建网络都会考虑到购买防火墙,而且有越来越多的家庭用户在自己的电脑上甚至宽带接入端也加上了防火墙。防火墙可以防御网络中的各种威胁并做出及时的响应,阻止那些危险的连接和攻击行为,从而降低网络的整体风险。

三.防火墙

一)防火墙:防火墙是企业内部网和外部网或Internet之间所设立的执行访问控制策略的安全系统,它在内部网和外部网或Internet之间设置控制,以阻止外界对内部资源的非法访问,也可以防止内部对外部的不安全访问。设置防火墙的思想就是在内部、外部两个网络之间建立一个具有安全控制机制的安全控制点,通过允许、拒绝或重新定向经过防火墙的数据流,实现对内部网服务和访问的安全审计和控制。

二)防火墙的基本功能:

・强化网络安全策略,集中化的网络安全管理,

・记录和统计网络的访问活动;

・限制暴露用户点,控制对特殊站点的访问;

・网络安全策略检查。

通俗的说,防火墙的功能就是过滤内外网络间的数据包,限制所有不符合安全策略的数据包通过。即只允许核准了的合法的数据包进出,阻止不安全数据的传递。

三)防火墙的构成及所处位置:

通常,防火墙是一种由计算机硬件和软件组成的系统,一般情况下,内部网和外部网或Internet进行互联时,必须使用一个中间设备,这个设备可以是一台有访问控制策略的路由器(Route+ACL),也可以是一台多个网络接口的计算机,服务器等,而且该设备至少具有两条物理链路,一条通往外部网络,一条通往内部网络。如下图所示,是由路由器所兼做的防火墙。企业用户(即内部网用户)希望和其他用户(即外网用户)通信时,信息必须经过该设备;同样,其他用户希望访问企业网时,也必须经过该设备。显然,防火墙被设置在可信赖的内部网络和不可信赖的外部网络之间的设备,该设备是阻挡攻击者入侵的关口,也是防火墙实施的理想位置。

四)设立防火墙的目的:

很多人会问,使用防火墙的目的究竟是什么呢?

对于这个问题的回答是:防火墙的主要目的是保护一个网络不受来自另一个网络的攻击。通常,被保护的网络属于我们自己(如:某个企业的网络),或者是我们负责管理的网络,而所要防备的网络则是一个外部的网络,该网络是不可信赖的,因为可能有人会从该网络上对我们的网络发起攻击,破坏网络安全。防火墙对网络的保护工作是:拒绝未经授权的用户访问,阻止未经授权的用户存取敏感数据,同时允许合法用户不受妨碍地访问网络资源。

不同的防火墙侧重点不同。从某种意义上来说,它代表了一个网络的访问原则。如果某个网络决定设定防火墙,那么首先需要由网络决策人员及网络专家共同决定本网络的安全策略,即确定那些类型的信息允许通过防火墙,那些类型的信息不允许通过防火墙。防火墙的职责就是根据本单位的安全策略,对外部网络与内部网络交流的数据进行检查,符合的予以放行,不符合的拒之门外。

四.小结:

随着Internet应用的迅速发展和普及,为人们检索和共享信息资源提供了方便,但随之而来的是对信息资源的污染和破坏变得更容易了,为了保护数据和资源的安全,人们创建了防火墙。就像建筑防火墙或护城河能够保护建筑物及其内部资源安全或保护城市免受侵害一样,作为计算机网络,防火墙成为了与不可信任网络进行联络的唯一纽带,通过安装防火墙,就可以通过关注防火墙的安全来保护其内部的网络安全,减轻了网络和系统被用于非法和恶意攻击的风险。因此,可以说防火墙能够限制非法用户从一个被严格保护的设备上进入或离开,从而有效地阻止针对内部网的非法入侵。但由于防火墙只能对跨越边界的信息进行检测、控制,而对网络内部人员的攻击不具备防范能力,因此单独依靠防火墙来保护网络的安全性是不够的,还必须与入侵检测系统(IDS)、安全扫描等其他安全措施综合使用才能达到目的。

参考文献:

防火墙在网络中的作用篇2

关键词：计算机防火墙；网络安全保护；互联网

计算机的网络安全可以被定义为机密性、完整性和可用性。就保密性而言，只能访问授权信息；可用性指不减少计算机系统应用内存的情况下，仍然可以按照授权用户的要求提供服务。防火墙系统可以决定哪些计算机可以请求访问内部服务。来自计算机网络的信息必须通过防火墙，由防火墙判断是否予以通行。数据通过防火墙，必须获得授权码或者是防火墙已经授权的数据。―旦防火墙系统受到攻击或被突破，其数据是迂回的，则不能提供任何防护。

1.计算机防火墙定义及作用

1.1计算机防火墙的定义

通俗来讲，防火墙主要作用就是隔离开受保护的网络与不受保护的网络，通过类似于安检点的一种单一集中的安全检查点，审查并过滤所有从因特网到受保护网络的连接（反之亦然）。一些防火墙偏重于阻塞传输流量，而另一些防火墙则是允许传输流。这两种机制看起来似乎自相矛盾，但这种机制恰恰反映了防火墙的早期设计思路，也给后续防火墙的设计改良提供了方向。总的来说，防火墙可以被理解成简单的两种机制，一种机制是输电线路阻塞环流，另一个机制是允许传输流。因为防护墙最初的设计理念总是信任内部网络和不信任外部网络的，所以初始防火墙过滤的只是外部的交流信息，对于网络用户和内部网络的交流则不作要求。当前防火墙过滤机制的变化，不仅从外部网络通信连接过滤，连接请求从内部网络的用户还需要过滤数据包，防火墙保护仍然遵守安全政策需求的沟通。

1.2防火墙的作用

防火墙，字面意思是确保网络的安全。防火墙内部存储着大量的数据，这些数据可以提供系统反馈信息、允许程序运行、需要返回的信息。防火墙只允许那些默认允许应用程序访问，其本身也起到避免黑客对系统造成损害的作用。下面简单介绍一些防火墙的功能。

（1）过滤风险服务和非法用户，限制外来数据访问进入内部网络；（2）防止内部用户入侵国防网络设施；（3）只允许特定用户访问特定的网络站点；（4）为网络安全监测提供了方便；（5）防火墙的位置可以用来记录计算机程序对网络的访问；（6）可以用作部署NAT网络；（7）用于网络地址的位置变换，使用NAT技术，将有限的动态或静态IP地址与内部IP地址相对应，以节省地址空间。

2.计算机防火墙的分类和结构

2.1计算机防火墙的分类

当今时代网络通信取得了飞速发展，网络访问信息基础设施得以不断增加，防火墙技术也在不断发展。目前防火墙的精细分类和基础功能都已经趋于完善。其中内部网络防火墙技术按照不同的方式和预防侧重点可分为多种类型，包括过滤防火墙、应用防火墙和监控状态防火墙，双主机主机防火墙和主机防火墙过滤类型等等。包过滤防火墙功能应用在网络层，主要是检查每个数据包的数据流，根据数据包的源地址、目的地址和端口来判断是否允许数据包通过。

（1）应用程序在应用程序层服务器，其特点是完全“切断”网络流量，每个应用程序服务编制通过特殊的，实现监控、过滤、记录和报告的功能流的应用程序层。

（2）状态监视器是使用一个网关来实现网络安全战略的软件引擎，收集的数据在每一层要通过网络通信实现监控，一旦某次访问违反安全规则，安全报警系统将拒绝此次访问，录入系统警报当前网络状态。

（3）双主机主机防火墙和主机过滤防火墙所提供的是堡垒主机相应的服务。双主机主机防火墙通常是通过堡垒主机作为网关，网关防火墙软件并运行，保证网络通信，必须通过堡垒主机。防火墙和主机过滤器将连接路由器和外联网，并安装堡垒内部，使堡垒机外部网只有节点，确保内部网络从未经授权的用户。

（4）复合防火墙，将信息包过滤和服务有效地结合在一起，形成新的防火墙，主机名为堡垒主机，负责提供服务。

2.2计算机防火墙的结构

目前计算机常用的几种典型的防火墙系统通常采用以下结构：

（1）包过滤网关式防火墙。内部网络和外部网络之间的信息过滤器，它有两个网络接口，分别连接内部和外部网络，内部局域网（Local Area Network，LAN）和外部互联网直接通信，并能够完成两个网卡之间的IP数据包转发常见的路由功能，包过滤的过滤函数根据本地安全策略，确定哪些是可以通过网络接口的数据包，哪些数据包将被禁止，也就是说，信息包过滤网关相当于一个静态流量监控功能的路由器。这是包过滤防火墙的基本结构，包过滤防火墙价格低廉，人气很高，使用方便，但配置不当可能会导致防火墙网关机器和攻击数据包在允许范围内的服务和系统出现故障，等等。

（2）双孔式网关防火墙。它是一种替换式的网关防火墙过滤装置，它与包过滤式网关防火墙都是防火墙网络和内部网络之间的防护装置。同样有两个网络接口，连接到内部和外部的网络。不同的是，双孔式网关防火墙禁止IP转发功能，使内部和外部网络IP数据流完全阻塞，通过提供服务网关功能的实现。因为只有一个特定类型的协议可以请求服务处理，所以双孔式网关防火墙意识到“默认拒绝”的安全策略，具有很高的安全性。双孔式网关防火墙是一个典型的应用防火墙，它完全“切断”内部和外部的网络流量，达到更高层次的安全控制，这是类型应用防火墙的特点类型的包过滤防火墙。

这两个防火墙有一个共同点：都是通过防火墙与主机防火墙。如果突破防火墙主机，局域网络安全防御就被攻破了o

3.计算机防火墙技术应用

对于软件防火墙，公司经常使用微软IsAserVer软件。防火墙市场使用反响是很好的，但通过状态包过滤和链接，会让企业遭受新的攻击。信息包过滤允许保护网络数据和应用程序和电路为其服务，如果状态滤波器动态端口需要打开，与这些端口通信的数据端口最终将被关闭，需要将链路层安全动态信息包过滤，以保证安全性和易用性。同时通过防火还可以了解到其主要是记录和报告活动。使用这个记录和报告不仅可以简化用户，搜索用户组，也可以简化服务器，简化网络信息搜索，其通过使用接口、向导、模板和相应的管理工具可以直接为用户提供服务。

4.计算机防火墙的发展趋势分析

未来阶段的计算机系统有集中管理的发展趋势，其中最常用的是分层分布式安全管理的安全体系结构，它具有以下优点：管理结构可以降低管理成本，提高网络的安全性；集中管理系统对传统电脑的反应速度要求更高。这种类型的管理系统，可以提供一个良好的日志分析功能和审计功能，可以调整安全策略，合理降低网络安全威胁。

防火墙在网络中的作用篇3

关键词：防火墙技术；网络安全；应用探究

当前，随着社会的进步和科学的发展，以互联网为代表的先进技术逐渐深入人们的工作和生活，并带来了巨大的便利。而互联网技术作为一把“双刃剑”，其网络安全问题也时刻威胁着人们的生产生活，尽管其影响力大、破坏性强，但在入侵过程中却往往难以被人察觉。从本质来说，网络安全能够通过访问控制和通信安全两种服务来保障自身安全，而防火墙是网络入口的首要防线，这种服务要达到最佳效果，需要防火墙技术与加密技术联合防护。实践证明，防火墙技术的网络防御效果显著，并且能够广泛用于各个领域，有效保障网络安全。随着科学的发展，防火墙技术也会不断进步与发展，实时保障用户的网络安全。

1概述

1．1基本概念

所谓防火墙，就其概念而言来源于建筑学，意指防止火灾从建筑物燃烧至另一建筑物的阻碍物，而网络上防火墙意指防止网络入侵的阻挡技术。有些工程师将防火墙定义为：计算机系统中所有通信无论是由内部到外部或是外部到内部都必须经过的，并且只有内部访问权的通信方允许通过的技术。实质上，防火墙即为一种隔离控制技术，以增强系统内部网络的可靠性，保障用户安全为目的。

1．2基本功能

作为保障用户网络安全的重要技术，防火墙主要有以下基本功能：（1）防止用户内部信息的泄露。使用防火墙技术能够将计算机内部网络进行划分，隔离重点网，以防出现局部网不安全造成全局网不安全的现象。此外，防火墙技术通过对进入系统的用户身份进行严格验证，对网络进行相应技术加密，能够有效防止入侵者窃取用户数据信息。（2）增强网络安全策略。防火墙能够利用其执行站点的安全模式把保障系统安全的相应指令、加密等软件与防火墙连接在一起，与传统防护模式中各个系统主机共同处理网络安全的解决方式相比，显然这种集中管理模式保障安全显得更为方便、高效。（3）保障网络安全。主要表现在防火墙可以阻止不安全的进程，减小入侵风险，保障网络安全。此外，防火墙还能拒绝部分来自路由的攻击，并报告给网络管理员，以尽可能减少对其他用户造成麻烦的情况。（4）网络存取及访问监控审计。防火墙能有效记录网络活动并对可疑动作提供报警功能。为管理员提供谁在访问网络、在网络上做什么等信息，当发生可疑动作时，防火墙能进行适当的报警，并提供网络是否受到监测和攻击的详细信息。

2防火墙的分类

2.1电路级网关防火墙

电路级网关防火墙是目前较为常见的一种防火墙，其本质是一个用于监控客户机或服务器的通用服务器，它主要通过作用于OSI互联网模型中的会话层或者TCP协议的TCP层来实现其功用。这种防火墙技术虽然也可应用于多个协议，但缺陷在于对同一协议栈运行的不同应用无法及时识别，因此此类防火墙也就不用设置相应模块来应对不同的应用。在实际工作中，电路级网关防火墙的服务器会对客户端进行部分修改，当客户端发送相应的请求，服务器便对请求进行接收，并客户端完成网络的连接工作。可以看出，此类防火墙能够将网络信息进行隐藏，保障信息安全。

2.2应用级网关防火墙

应用级网关防火墙是一种应用服务器，主要在内、外部网络在进行网络交换申请服务时起连接的功能，其工作方式如下：（1）验证用户是否符合进入条件，如若验证成功，则将用户请求发送到内部网络的主机，此时也会对用户进行的操作进行实时监测；若发现危险或疑似危险则阻断访问。（2）当用户是由内部网络申请连接外部网络时，防火墙工作模式会先对内部网络发送的请求进行接收和检查，若合乎要求，防火墙将请求发送至外部网络。由此看出，这两种工作的工作方式恰好相反。应用级网关防火墙的优势在于方便配置、工作环境良好，它在内外网主机之间起连接作用，而不允许其直接连接，能够有效保障使用过程中的安全性。此外，这种服务器还能够对用户的操作记录得更加详尽。

2.3静态包过滤防火墙

静态包过滤防火墙作用于网格层，对进出内部网络的信息进行全面分析，再根据相应安全策略对信息过滤，其筛选Internet防火墙路由器内部网…堡垒主机原则是以所监测到的数据包的初始信息为基础，允许授权信息进出，限制危险信息进出。当前，路由器被广泛用于网络的信息传输，连接在内、外部网路之间，因此是影响网络安全的重要因素之一。而包过滤型防火墙就是一种专门对路由器产生作用的技术，因此从某种意义上说静态包过滤防火墙也是一种包过滤路由器。静态包过滤防火墙的优势在于简单实用，运行速度快，且透明性较高。这种防火墙技术的工作运用同应用层没有关系，这就意味着不用对用户主机的应用程序进行修改，配置和使用都显得较为方便。它的缺点在于这种防火墙需要对TCL、IP等相应协议有较深的认识；另外这种防火墙技术不能够对用户的操作进行鉴别。

2.4状态监测型防火墙

状态监测型防火墙的作用机制在于使用了在网关上执行网络安全策略的软件引擎来实现其作用和功能。这种防火墙工作在网络层与链路层之间，可以对网络通信进行跟踪监测，并对相关状态信息进行提取；此外，状态型监测防火墙还能对动态链接表中的状态和信息进行储存，并及时更新，通过信息积累不断为下面的通信检查提供数据支撑。状态监测型防火墙的另一大优势在于可以为类似NFS的基于端口动态分配协议的应用提供技术支持和类似DNS的无连接的协议提供应用支撑，相对而言，型网关防护墙和静态包过滤型防火墙则不能支持以上应用。综上所述，状态型防火墙能够有效减少端口开放时间，并提供相应服务支撑。它的缺点在于会默许内部主机与外部网络不通过第三方直接连接，对部分网络安全隐患难以起到防护作用；此外，状态监测型防火墙不能够对用户操作进行鉴别。

3防火墙在网络安全访问控制中的应用

3.1双宿主主机模式

双宿主主机模式是通过主机的使用来实现的，这台主机拥有用于连接内部网络和外部网络的两个接口。防火墙将双宿主网关置于内部网络和外部网络之间，以阻断IP层之间的数据传输。内部网络和外部网络的主机不能够直接进行通信，它们都只能与网关进行通信，而内部网络与外部网络的通信需要利用应用层的数据共享或服务达成。

3.2屏蔽主机模式

屏蔽主机防火墙主要由堡垒主机和过滤路由器两部分组成，其中堡垒主机位于内部网络，过滤器位于内部网络和外部网络之间。堡垒主机作为连接外部网络和内部网络的唯一通道，使得外部网络和内部网络都只能连接到堡垒主机，当内部网络有通信需求时，必须先到堡垒主机，堡垒主机再进行判断，并决定是否允许连接到外部网络。因此，入侵者要想实现对用户电脑的入侵，必须首先将主机攻克，方能到达内部网络，主机结构如图1所示。

3．3屏蔽子网模式

屏蔽子网包括堡垒主机以及两个包过滤器等部分，其内、外部网络主机间设置具有隔离功能的子网，以形成隔离区，设置屏蔽子网的作用在于防止MAIL、Web服务器等公共服务直接通过内外部网络。通常情况下，内、外部网络都能够访问屏蔽子网，而不允许穿过子网进行通信，这种配置使得当堡垒主机被攻克时，内部网络仍然可以受到来自包过滤路由器的保护。这种屏蔽子网防火墙的最大好处在于为计算机多提供一层防护，因为必须攻克两个路由器和一个网关才能成功入侵。

4防火墙未来发展趋势与展望

防火墙技术作为保障网络安全的重要举措之一，未来必将得到发展和更新。笔者认为未来的防火墙技术将朝着多元化、智能化、高速化方向发展，可全面保障用户信息、应用程序与操作过程的安全，且会具有如下新的优点：（1）高速性。现阶段，防火墙的运行速度不够快的问题突出，而随着科学技术的发展，防火墙将会更多与芯片技术相融合，利用芯片提升计算的速度和精度，最终成为以芯片技术为主的全硬件型网关，大幅度提升网络安全。（2）智能化。现阶段，网络安全威胁主要包括病毒传播、网络攻击、内容控制，其典型代表分别是蠕虫病毒和垃圾邮件。而目前防火墙对这些形式的威胁似乎没有明显效果，因此未来的防火墙技术一定是朝智能化方向发展的。（3）多元化。随着网络技术的不断发展，多种网络模式已被运用，未来的防火墙将会形成一种可随意伸缩的模块化解决方案，为不同网络设置不同技术的防火墙，为用户提供多元化的保障。

5结语

随着人们对网络技术的运用越来越多，依赖性越来越强，人们对网络安全也越加重视。实践表明，防火墙在保障网络安全方面成效显著。为应对复杂的网络安全威胁，防火墙技术需要不断地更新和发展，在保障网络安全这条隐蔽的道路上，人们需要做的仍然很多。只有人人注重网络安全，采用先进技术，才能形成全方位的防御体系，保护人们的信息资源。

作者:张林单位:中国航空动力机械研究所

参考文献

防火墙在网络中的作用篇4

［关键词］防火墙技术网络安全工作原理具体应用

如今计算机网络普遍存在于各个地区，无论是住宅还是企事业单位，都离不开对网络技术的应用。人们通过网络数据来了解实时信息以及处理日常事务。由于计算机网络具有一定的互传性和连通性，因此在数据传播的过程中无法保证安全性，导致隐私易受到侵害，而随着计算机网络的频繁使用，被入侵的概率也随之增加。据调查，有超过63％的计算机用户在2006年内曾被攻击和入侵。其中不仅包括企事业单位，也包括住宅以及学校等。因此，为防止侵入现象进一步扩大，必须利用防火墙来进行阻挡，以确保并提高公共网络或家庭网络的安全性。

一、防火墙概述及其工作原理

防火墙属于计算机程序的一种，它是能够将本地网络与外界网络进行隔离并且形成防御的一种可执行控制策略的系统。它能够对外界网络即将进入本地网络的数据及信息进行严格筛选和检查，通过对该数据的运行状况、类型以及具体内容进行过滤，将不明确或危险的不良数据隔离在外，对防火墙系统认为安全的数据允许传入本地网络中，有效实现其隔离性以及安全性。从逻辑上讲，防火墙既是一个分析器又是一个限制器，它要求所有进出网络的数据流都必须有安全策略和计划的确认及授权，并将内外网络在逻辑上分离。防火墙可以是纯硬件的，也可以是纯软件的，还可以是软硬件兼而有之的。

二、防火墙技术在网络安全中的应用

1．防火墙技术应用于网络安全屏障保护

由于企事业单位及其他单位需要利用网络技术来进行日常工作和档案储存管理，而一些外部人员会对其档案和相关资料进行窃取，侵害企事业单位及其他单位的利益。因此，该单位可以在内部网络和外界网络间建立防火墙，利用防火墙技术来阻挡外界入侵病毒或其他程序，保证内部程序和相关数据的安全。利用防火墙技术并按照防火墙技术特定的规则对外来数据进行识别和筛选，将危险数据挡在防火墙外，有效地降低外界入侵企事业单位或其他单位数据库的风险，从而避免了网络遭受基于路由的攻击和破坏，有效地保障了内部网络的安全性。

2．防火墙技术应用于网络安全的策略

部分特定单位的档案及相关资料较为机密，因此需要对防火墙进行加密或加固。此时该单位应对防火墙的配置进行加强，通过设置以防火墙为主的安全策略来提高对内部网络的保护。首先，应根据需要将口令、身份认证以及其他加密手段对防火墙进行设置，以此来提高防火墙的保护程度。其次，在控制面板上设定防火墙基础信息，利用将动态网址和静态网址转换的方法提高防火墙的安全性能。再次，将整个网络系统的安全策略应用添加到防火墙的安全策略当中，使各个安全策略稳定运作，最大限度地实施防火墙的防护功能。该形式不仅安全性强，且投入成本少，而起到的防护效果也有所提高。

3．防火墙技术应用于网络存取和访问监控

防火墙在网络中的作用篇5

关键词：网络防火墙技术；设计过程；问题

中图分类号：TP393.08 文献标识码：A文章编号：1007-9599 (2011) 19-0000-01

Network Firewall Technology and Design Process Related Issues

Shi Yang

(Xuzhou Port(Group)Co.,Ltd.Wanzhaigang Branch,Xuzhou221007,China)

Abstract:Network Security in the Information Age is now more and more sectors of society-wide attention and attention as an important security network security network firewall technology in practice more and play a position to defend the security role network security has become the patron saint.This paper analyzes the theory of the strong network of fire safety knowledge and practical experience,lessons and explore the network firewall network firewall design and operation of the process involved in issues related to exploration and research.

Keywords:Network firewall technology;Design process;Problem

一、网络防火墙的相关理论研究

随着和网络时代的到来，网络防火墙逐渐成为当前最为重要相关网络的防护手段，英文叫做“Firewall”。随着信息技术的不断发展，防火墙的过滤和防护机制的设计从最初的只注重外网的信息通讯防护和检测，对内网传输的绝对信任发展成为现在的不仅对于外网的通信需要进行有效过滤和排查，也需要对内部网络用户发出的数据或者通讯信息进行安全过滤，这样的设计和安排符合网络防火墙的基本设计初衷和安全的要求。由此可见，防火墙并不是完全封闭不可透过的，它存在的过滤机制可以让安全的通讯正常传输，而阻止具有破坏性的、危险的通讯，以保护网络安全。

网络防火墙作为网络安全的屏障具有自身特征：首先是网络防火墙具有本身坚固的抵御攻击的免疫能力，这也是防火墙能担当网络安全屏障的前提条件，只有防火墙自身具有完善的可以信任的安全防护系统，才谈得上为网络提供安全保证；其次，防火墙的工作原理和设计理念就是只有符合安全设置的数据和信号才能通过防火墙，才能顺利传输；最后，防火墙是所有信息传输的唯一通道，无论是内部网络还是外部网络传输的信号和数据都需要经过防火墙，这样防火墙才能起到真正过滤威胁，维护网络通信安全的作用。

网络防火墙通常情况下从软硬件的形式上来划分主要有硬件防火墙和软件防火墙两类；从防火墙的技术职能上来划分主要可分为“包过滤型”和“应用型”两大类；如果按防火墙的应用部署位置来划分主要由边界防火墙、个人防火墙和混合防火墙三大类；再从防火墙的结构上来划分主要有单一主机防火墙、路由器集成式防火墙和分布式防火墙三种。不同分类之下的防火墙通过在内部和外部网络的相关设置的检查点来检测和控制传输的数据和信号，将不同的网络隔离开来，互相区分，以保证内部信息和数据不会外泄和流失，强化了网络安全防护的效果，有效审查网络的相关活动，保证网络安全。

二、网络防火墙设计和运行中的相关问题研究

随着网络防火墙主要技术的不断发展变革，主要包括的技术有：包过滤，是防火墙最为传统、最基本的过滤技术之一；网络地址转换（NAT，Network Address Translate）；应用级网关（服务器）；电路级网关技术是会话层过滤的数据包，较之包过滤要高出两层左右；非军事化区（DMZ）在网络内部设置公开化的网络服务器设施，这样较比其他的防火墙要多一道防护；透明模式也叫做透明技，此技术使得用户也意识不到防火墙的存在；邮件转发技术使得外部网络只知道防火墙的域名或者IP地址，这样只能将信息和数据传输到防火墙在进行转发，以实现保护内网；堡垒主机经常配置相关网关服务，设置一个监测点，使所有内网的完全问题集中在一个主机上解决；阻塞路由器和屏蔽路由器，在内部网和内外网连接中起到防护作用；隔离域名服务器是可以起到保证受保护网络的IP地址不被外部网络侵害或者知悉；状态监视器是最新的防火墙技术，安全防护的性能最佳，功能最强大。

在网络防火墙设计结构模式的发展历程见证了不同时代的防火墙技术，这里主要介绍屏蔽路由器模式、屏蔽主机模式以及非军事区结构模式几种。

屏蔽主机模式，在发展的一定阶段的时候，防火墙技术在路由器后增加一道用于进行安全控制点的计算机，眨眼那个可靠的计算，只有侵害透过了路由和堡垒主机才能到达内网，加强了安全防护。

屏蔽路由器，较之屏蔽主机模式就略显单一，也是之前的防火墙技术不够完善的表现，这种防护策略是很原始、很单一，只限于在现有的硬件的基础上实现单一的防护，加之过滤包的过滤，是最简单的防火技术原理。

非军事区结构，在这个防火墙技术设计中，同时存在着两个防火墙系统，外部防火墙主要负责抵挡来自外部网络的侵害和攻击，内部防火墙主要负责管理DMZ对于内部网络的输入和访问。内部防火墙是对于内部网络的除了外部防火墙和堡垒主机之外的第三道安全屏障和防护，当外部防火墙被侵害而失效时，它还可以继续起到保护内部网络安全运行的功能。在这样涉及到防火墙安全结构里，一个黑客想要进攻内网，必须完全通过三个相互独立的防护区域（包括外部防火墙、内部防火墙和堡垒主机）才能实际到达内部局域网展开攻击。保护的强度和范围大大加大，网络的稳定性和安全性也就大大提升，当然，随之而来的，在这样的网络防火墙结构设计里，经济成本投入毋庸置疑的也是最大的。

三、结束语

网络信息时代，利用网络进行的经济活动和社会生活也越来越广泛和多样，带给人们社会生活的实际影响也就越来越大，因此，如何有效实现网络安全也就成为当今时代最为热点的问题。网络防火墙最为有效保护网络安全的技术，需要在实践里不断研究探索和发展完善。在经历了不同时代防火墙技术的发展之后，现如今的防火墙技术已经在一定程度上实现了有效保护内网安全和稳定的目的。但是，未来在具体的设计网络防火墙还是任重道远的，因而黑客在不断的进步和技术更新，自然，网络防火墙技术也相应地需要在网管设置、技术更新、屏蔽形式、硬软件设置和配备等多方面提升和完善，加大技术和资金投入，保证未来信息时代网络安全运行，为经济生产和社会生活保驾护航。

参考文献：

防火墙在网络中的作用篇6

关键词:网络信息安全;大型网络;硬件防火墙;三次握手;过滤;CPU负载

中图分类号:TP393文献标识码:A 文章编号:1009-3044(2010)05-1093-03

Analysis of Medium and Large role in the Network Hardware Firewall

WU Yi

(Nanjing Xiaozhuang University,Nanjing 211117,China)

Abstract: Network information security plays an important role in the firewall, while the hardware firewall on the large-scale network security is essential to study the hardware firewall will increase the weight of large network security. The hardware firewall works through the research, to understand why medium and large networks to use the hardware firewall, hardware firewall in the network to understand the working principle and process know that the hardware firewall basic configuration elements to consider to understand the hardware firewall purchase standards, enhance hardware firewall in the network awareness of the importance of information security.

Key words: network information is safe; large-scale network; fire wall of the hardware; three-way handshake; filter; CPU load

伴随着信息技术的发展,网络已经成为人们工作生活必不可少的工具,而网络信息安全也越来越受到人们的重视。防火墙技术的发展将促进防火墙成为网络安全的重要保障,而硬件防火墙会成为保护大中型网络信息安全的首选!

1 大中型网络为何选择硬件防火墙

软件防火墙是安装在计算机操作平台的软件产品,它通过在操作系统底层工作来实现管理网络和优化防御功能。

对于大中型网络来说,将软件防火墙装入内部网络的每台设备和内部服务器中来保护网络安全的工作量是巨大的,在实际操作比较困难。首先,大中型网络需要稳定高速运行,而基于操作系统的软件防火墙运行将会给CPU增加超重负荷,造成路由不稳定,势必影响网络。其次,大中型网络会是黑客们攻击的对象,面对高速密集的DOS(拒绝服务)攻击,显然,单凭软件防火墙本身承受能力是无法做到抵御黑客,保护网络安全的。再次,软件防火墙在兼容性方面不及硬件防火墙。正是软件防火墙存在这些缺点,在大中型网络中一般会采用硬件防火墙。

2 硬件防火墙的工作原理和网络安全防御策略

2.1 防火墙在网络中的位置

外部防火墙工作在外部网络和内部网络之间,这样的布署将内部网络和外部网络有效地隔离起来,已达到增加内部网络安全的目的。一般情况下,还要设立一个隔离区(DMZ),放入公开的服务器,让外网访问时,就能增加内网的安全。而内部防火墙保护隔离区对内网的访问安全,这样的综合布署将有效提高网络安全。

2.2 硬件防火墙的构成

硬件防火墙为了克服软件防火墙在大中型网络中的不足,对软件防火墙进行了改进。通过硬件和软件的结合来设计防火墙,硬件和软件部分都必须单独设计,将软件防火墙嵌入在硬件中同时,采用专门的操作系统平台(加入Linux系统,因为有些指令程序需要安装在Windows系统之中,而Windows稳定性不如Linux,如果在本身就很脆弱的系统平台中布署安全策略,这样的防火墙也会不安全),从而避免通用操作系统的安全性漏洞。对软硬件的特殊要求,使硬件防火墙的实际带宽与理论值基本一致,提高吞吐量、增加安全性,加快运行速度。将这样的硬件防火墙安装进入大中型网络,不仅在可以有效地保障内网与外网链接时的安全,而且可以保障内部网络中不同部门不同区域之间的安全。

2.3 大中型网络安全威胁来源

现今的网络使用的都是TCP/IP协议,TCP报文段传输最重要的就是报文段首部(segment header)里面的内容,客户端和服务端的服务响应都是与报文段首部的数据相关联,而三次握手能够实现也和报文段首部的数据相关,其安全性也取决于首部内容,因此黑客经常利用TCP/IP协议的漏洞对报文段首部下手从而实现有外网对内网进行攻击。

在大中型网络内部也有部门的划分,对于一些比较重要的部门就连内部网络其他部门也要授权后才能进行访问,这样就会最大限度保障网络的安全,因为有的大型网络的安全关系到国家社会的安全和稳定,所以如果在内部发生网络威胁将会带来更大的损失。

2.4 网络中的攻击手段

网络中主要的攻击手段就是对服务器实行拒绝服务攻击,用IP欺骗使服务器复位合法用户的连接,使其不能正常连接,还有就是迫使服务器缓冲区满,无法接受新的请求。

2.4.1 伪造IP欺骗攻击

IP欺骗中攻击者构造一个TCP数据,伪装自己的IP和一个合法用户IP相同,并且对服务器发送TCP数据,数据中包含复位链接位(RST),当发送的连接有错误时,服务器就会清空缓冲区中建立好的正确连接。这时,如果那个合法用户要再发送合法数据,服务器就不会为其服务,该用户必须重新建立连接。

2.4.2 SYN FLOOD攻击

SYN FLOOD是利用了TCP协议的缺陷,一个正常的TCP连接需要三次握手,首先客户端发送一个包含SYN标志的数据包,然后服务器返回一个SYN/ACK的应答包,表示客户端的请求被接受,最后客户端再返回一个确认包ACK,这样才完成TCP连接。在服务器端发送应答包后,如果客户端不发出确认,服务器会等待到超时,期间这些半连接状态都保存在一个空间有限的缓冲区队列(Backlog Queue)中。SYN FLOOD攻击就是利用服务器的连接缓冲区,使用一些特制的程序(可以设置TCP报文段的首部,使整个TCP报文与正常报文类似,但无法建立连接),向服务器端不断地成倍发送仅有SYN标志的TCP连接请求,当服务器接收的时候,都认为是没有建立起来的连接请求,于是为这些请求建立会话,排到缓冲区队列中,这样就会使服务器端的TCP资源迅速耗尽,当缓冲区队列满时,服务器就不再接收新的连接请求了。其他合法用户的连接都会被拒绝,导致正常的连接不能进入,甚至会导致服务器的系统崩溃。

2.4.3 ACK Flood攻击

用户和服务器之间建立了TCP连接后,所有TCP报文都会带有ACK标志位,服务器接受到报文时,会检查数据包中表示连接的数据是否存在,如果存在,在检查连接状态是否合法,合法就将数据传送给应用层,非法则服务器操作系统协议栈会回应RST包给用户。对于JSP服务器来说,小的ACK包冲击就会导致服务器艰难处理正常得连接请求,而大批量高密度的ACK Flood会让Apache或IIS服务器出现高频率的网卡中断和过重负载,最终会导致网卡停止响应。ACK Flood会对路由器等网络设备以及服务器造成影响。

2.4.4 UDP Flood攻击

UDP Flood攻击是利用UDP协议无连接的特点,伪造大量客户端IP地址向服务器发起UDP连接,一旦服务器有一个端口响应并提供服务,就会遭到攻击,UDP Flood会对视频服务器和DNS服务器等造成攻击。

2.4.5 ICMP Flood攻击

ICMP Flood通过Pin生的大量数据包,发送给服务器,服务器收到大量ICMP数据包,使CPU占用率满载继而引起该 TCP/IP 栈瘫痪,并停止响应 TCP/IP 请求,从而遭受攻击,因此运行逐渐变慢,进而死机。

除了以上几种攻击手段,在网络中还存在一些其他攻击手段,如宽带DOS攻击,自身消耗DOS攻击,将服务器硬盘装满,利用安全策略漏洞等等,这些需要硬件防火墙对其做出合理有效防御。

2.5 硬件防火墙防御攻击的策略

2.5.1 伪造IP欺骗攻击的防御策略

当IP数据包出内网时检验其IP源地址,每一个连接内网的硬件防火墙在决定是否允许本网内部的IP数据包发出之前,先对来自该IP数据包的IP源地址进行检验。如果该IP包的IP源地址不是其所在局域网内部的IP地址,该IP包就被拒绝,不允许该包离开内网。这样一来,攻击者至少需要使用自己的IP地址才能通过连接网关或路由器。这样过滤和检验内网发出数据包的IP源地址的方法基本可以做到预防伪造IP欺骗攻击。

2.5.2 SYN FLOOD攻击防御策略

硬件防火墙对于SYN FLOOD攻击防御基本上有三种,一是阻断新建的连接,二是释放无效连接,三是 SYN Cookie和Safe Reset技术。

阻断新建连接就是在防火墙发现连半开连接数阈值和新建连接数阈值被超时时,SYN FLOOD攻击检测发现攻击,暂时阻止客户向服务器发出的任何请求。防火墙能在服务器处理新建连接报文之前将其阻断,削弱了网络攻击对服务器的影响,但无法在服务器被攻击时有效提升服务器的服务能力。因此,一般配合防火墙SYN Flood攻击检测,避免瞬间高强度攻击使服务器系统崩溃。

释放无效链接是当服务器上半开连接过多时,要警惕冒充客户端的虚假IP发起无效连接,防火墙要在这些连接中识别那些是无效的,向服务器发送复位报文,让服务器进行释放,协助服务器恢复服务能力。

SYN Cookie和Safe Reset是验证发起连接客户的合法性。防火墙要保护服务器入口的关键位置,对服务器发出的报文进行严格检查。

2.5.3 ACK Flood攻击防御策略

防火墙对网络进行分析,当收包异常大于发包时,攻击者一般采用大量ACK包,小包发送,提高速度,这种判断方法是对称性判断,可以作为ACK Flood攻击的依据。防火墙建立hash表存放TCP连接状态,从而大致上知道网络状况。

2.5.4 UDP Flood攻击防御策略

UDP Flood攻击防御比较困难,因为UDP是无连接的,防火墙应该判断UDP包的大小,大包攻击则采用粉碎UDP包的方法,或者对碎片进行重组。还有比较专业的防火墙在攻击端口不是业务端口是丢弃UDP包,抑或将UDP也设一些和TCP类似的规则。

2.5.5 ICMP Flood攻击防御策略

对于ICMP Flood的防御策略,硬件防火墙采用过滤ICMP 报文的方法。

硬件防火墙还对网络中其他的一些攻击手段进行着安全有效的防御,保护着网络的安全。

3 硬件防火墙的配置考虑要素和选购标准

硬件防火墙是网络硬件设备,需要安装配置,网络管理人员应该要考虑实际应用中硬件规则的改变调整,配置参数也在不断改变。对于硬件防火墙的安全策略也应该考虑到,哪些数据流被允许,哪些不被允许,还有等等,还有授权的问题,外网域内网之间,内网里各个不同部门之间,还有DMZ区域和内网等,这些都需要照顾到。详尽的安全策略应该保证硬件防火墙配置的修改工作程序化,并能尽量避免因修改配置所造成的错误和安全漏洞。除此之外还要考虑CPU负载问题,过高的CPU负载可能是遭到网络DOS攻击。硬盘中保留日志记录也很重要,这对检查硬件防火墙有着重要作用,还要定期检查。

对于大中型网络来说,硬件防火墙相当重要,因此选购硬件防火墙也是很重要的。首先品牌很重要,好的硬件防火墙需要资金和技术作为后盾,大品牌大公司生产的技术相对来说会更好,而且售后服务也会更好。其次是安全性能,网络的安全是信息安全的生命,只有硬件防火墙本身安全,没有漏洞才能保护好大中型网络内部安全。再次,防火墙的数据处理能力是主要性能标准,尤其是在大型网络中,如果没有一定的数据吞吐量是无法完成保护网络安全的目的的。最后就是硬件防火墙的兼容性,良好的兼容性也是网络安全的重要前提。

综合来说,硬件防火墙在大中型网络中起到了保卫安全的重要作用,大中型网络的安全关乎到企业社会和国家的信息安全,因此通过理论研究硬件防火墙,对保障信息安全起着重要作用。

参考文献:

[1] W.Richard.Stevens TCP/IP详解[M].北京:机械工业出版社,2000.

[2] 杨晓红.浅析防火墙技术[J].科技资讯,2006.

[3] 李国友,曾派兴,张仕斌.对硬件防火墙技术的改进方案[J].计算机安全,2004.

[4] William R.Cheswick 防火墙与因特网安全[M].北京:机械工业出版社,2000.

防火墙在网络中的作用篇7

关键词：防火墙技术；网络；安全

1防火墙技术

防火墙是计算机网络安全必须用到的技术，其能够将计算机网络资源确保在安全范围内。这种技术的使用原理是要提前设置该保护目标，让其有规律地对计算机网络信息以及数据进行授权和限制，防火墙技术在使用过程中会主动记录网络信息与数据来源，其控制着计算机的运行条件与使用方法，以此杜绝外来攻击对计算机内部造成的影响，其可以在不同的角度与层面上来确保计算机网络资源的安全。防火墙技术在计算机网络信息安全中发挥着非常重要的作用。

2计算机网络安全中的防火墙技术

2.1服务器型

在防火墙技术中服务器型防火墙是通过在主机上运用的一种服务程序，直接面对计算机上特定的应用服务，因此也将它称为应用型防火墙。这种技术将参照计算机上的运行模式先进行设置服务器，之后再利用服务器展开信息交换模式，即外部网络想要与内部网络建立连接，就必须得通过服务器的转换，内部网络只接受服务器所提出的要求，拒绝外部网络连接的直接请求。把网络信息从内部网络传送到外部网络之后将带着正确的IP信息归来，因此黑客也正是利用服务器的这个特点，将病毒植于数据IP之中带到内部网络中来，这时，杀毒软件也利用同样的原理与防火墙联合将攻击者的IP信息路径进行分析，准确地找到攻击者IP的源头。由于服务器可以虚拟IP，这使攻击者IP找不到实用的信息，这样可以很好地保护计算机内部网络安全，再加上服务器还有中转的特性，能够很好地控制内部网络与外部网络的信息交换，从而大大提升了计算机网络的安全水平。服务器对网关具有很高的要求，要建立相应的网关层面，充分发挥网关的作用，使服务器的价值得到有效的运用，以此来实现计算机网络安全与稳定的维护和发展。

2.2包过滤型技术

这种包过滤技术是在传统的路由器中增加了分组过滤功能的防火墙，其能够在计算机网络中进行安全风险识别过滤，这种防火墙技术是一种最简单完全透明的过滤型技术。此技术在计算机传输信息过程中能获取数据来源地的IP，并且还能主动将该IP的数据信息掌握标记好。如果注册该技术与标记的IP相符，就存在着数据包有危险因素，此时就要将其中的安全隐患处理好才可以进行数据传输。包过滤技术将计算机传输路径进行划分工作，确定不同的传输路径，能够很好地保障计算机网络的传输安全，这种技术通常用于路由器以及主机等地方，可以根据计算机网络需求提供相应的安保需求。但是，这种技术也受本身的端口限制，因此在兼容性能上来说是比较差的。

2.3混合型技术

混合型防火墙技术在计算机网络安全中是效果最突出的一种复合技术，是把包过滤与服务器等诸多功能相结合形成的新型防火墙结构。这种技术可以很灵活的保障计算机网络的安全运行，此技术把单一的技术问题与漏洞进行了改善，是近年来计算机网络安全运行非常重视的一项技术研究。这种技术具有一定的灵活性，以动态的过滤方法打破信息交换的方式，智能的感应系统有效地提高了计算机网络信息传输的隐蔽性，提升了网络空间的安全水平。防火墙技术与复合技术二者双管齐下进行保护，形成了一种混合型的多方位层次度不同的防火墙系统，充分提高了防火墙的实时安保效果。

3防火墙技术的发展

3.1检测模式的转变

如今这种类型防火墙技术已成为计算机网络安全中最具代表性的一种防火墙模式。传统的防火墙都是在边界处以数据传输进行分隔安全管理，不能很好地对内部网络进行安全隐患提醒清除。因此，防火墙技术开始分布式结构转变，将每个网络节点进行覆盖保护，很好的确定了流量的方向，减少了计算机网络安全检测的难度，最大限度地提升了网络安全保护的强度，很好地改善了传统防火墙的缺陷与漏洞问题，让网络安全防御性得到升华，大大提升了计算机网络信息安全保障。

3.2功能改变

如今防火墙技术呈现出一种集多种功能于一体的设计趋势，其包括aaa、vpn，甚至是防病毒以及入侵检测等功能都被设计于防火墙之中，这样多功能技术的防火墙对网络信息管理带来了不少便捷。当然，这种扩展式网络管理首先要想到防火墙系统本身的安全性能不被破坏。

3.3性能提升

由于计算机网络应用逐渐丰富、流量也日益复杂，所以，在防火墙技术硬件性能上的要求也越来越高。当防火墙某个硬件性能达到一定瓶颈期的时候，我们可以把部分硬件进行升级处理，以此来达到网络安全的目的。因此，在未来防火墙技术软件中融入更先进的设计技术来衍生出更多专用平台来缓解防火墙性能要求是必不可少的技术研究。

4防火墙技术在计算机网络安全中的应用及策略

4.1访问策略中应用

访问策略对于计算机使用中的网络安全具有直接的影响作用，把配置通过详细的安排让访问策略对整个计算机的运行信息进行细致入微的分析统计，以此来建立起完善的防护系统。访问策略在网络安全执行保护的过程中会产生策略表，此表可以很好地将策略活动进行记录，然后防火墙技术会根据策略表来执行其应有的任务，真正有效地实现计算机网络安全保护的效果与目的。

4.2日志监控中应用

防火墙技术对保护日志进行分析，能够让人们掌握高价值的信息，在计算机运行的过程中，需要对日志进行重点保护，对于某个类型的日志进行全面的采集，这就使防火墙需要承担巨大的工作内容，因此需要合理地进行分门别类，将监管力度加大，使日志采集更具有便捷性，避免一些恶意屏蔽信息的现象出现。有时关键信息会隐藏在类别信息中，用户可以根据需求将有价值的信息提取出来，根据日志监控的基础，提升防火墙技术安全保护效果，以此让其更好地进行筛选，从而实现网络流量得到优化的目的。

4.3安全配置中应用

防火墙技术对于安全配置有着很高的要求，其最大的特点在于安全配置隔离区域之中的运行方式，即信息流由防火墙技术自动监控，通过对地址转换的利用，将内网信息IP流入外网时转换为公共IP信息，这样才能防止IP信息被追踪解析，这时安全配置会很好地发挥其隐藏IP、防止外网入侵等作用，为内网安全提供有力的保护。

防火墙在网络中的作用篇8

1．引言

防火墙技术是建立在现代通信网络技术和信息安全技术基础上的应用性安全技术，越来越多地应用于专用网络与公用网络的互连环境之中，尤以Internet网络为最甚。Internet的迅猛发展，使得防火墙产品在短短的几年内异军突起，很快形成了一个产业：1995年，刚刚面市的防火墙技术产品市场量还不到1万套；到1996年底，就猛增到10万套；据国际权威商业调查机构的预测，防火墙市场将以173%的复合增长率增长，今年底将达到150万套，市场营业额将从1995年的1.6亿美元上升到今年的9.8亿美元。

为了更加全面地了解Internet防火墙及其发展过程，特别是第四代防火墙的技术特色，我们非常有必要从产品和技术角度对防火墙技术的发展演变做一个详细的考察。

2. Internet防火墙技术简介

防火墙原是指建筑物大厦用来防止火灾蔓延的隔断墙。从理论上讲，Internet防火墙服务也属于类似的用来防止外界侵入的。它可以防止Internet上的各种危险(病毒、资源盗用等)传播到你的网络内部。而事实上，防火墙并不像现实生活中的防火墙，它有点像古代守护城池用的护城河，服务于以下多个目的：

1)限定人们从一个特定的控制点进入；

2)限定人们从一个特定的点离开；

3)防止侵入者接近你的其他防御设施；

4)有效地阻止破坏者对你的计算机系统进行破坏。

在现实生活中，Internet防火墙常常被安装在受保护的内部网络上并接入Internet，如图1所示。

图1 防火墙在Internet中的位置

从上图不难看出，所有来自Internet的传输信息或你发出的信息都必须经过防火墙。这样，防火墙就起到了保护诸如电子邮件、文件传输、远程登录、在特定的系统间进行信息交换等安全的作用。从逻辑上讲，防火墙是起分隔、限制、分析的作用，这一点同样可以从图1中体会出来。那么，防火墙究竟是什么呢?实际上，防火墙是加强Internet(内部网)之间安全防御的一个或一组系统，它由一组硬件设备(包括路由器、服务器)及相应软件构成。3. 防火墙技术与产品发展的回顾

防火墙是网络安全策略的有机组成部分，它通过控制和监测网络之间的信息交换和访问行为来实现对网络安全的有效管理。从总体上看，防火墙应该具有以下五大基本功能：

过滤进、出网络的数据；

管理进、出网络的访问行为；

封堵某些禁止行为；

记录通过防火墙的信息内容和活动；

对网络攻击进行检测和告警。

为实现以上功能，在防火墙产品的开发中，人们广泛地应用了网络拓扑、计算机操作系统、路由、加密、访问控制、安全审计等成熟或先进的技术和手段。纵观防火墙近年来的发展，可以将其划分为如下四个阶段(即四代)。

3.1 基于路由器的防火墙

由于多数路由器本身就包含有分组过滤功能，故网络访问控制可能通过路控制来实现，从而使具有分组过滤功能的路由器成为第一代防火墙产品。第一代防火墙产品的特点是：

1)利用路由器本身对分组的解析，以访问控制表(Access List)方式实现对分组的过滤；

2)过滤判断的依据可以是：地址、端口号、IP旗标及其他网络特征；

3)只有分组过滤的功能，且防火墙与路由器是一体的。这样，对安全要求低的网络可以采用路由器附带防火墙功能的方法，而对安全性要求高的网络则需要单独利用一台路由器作为防火墙。

第一代防火墙产品的不足之处十分明显，具体表现为：

路由协议十分灵活，本身具有安全漏洞，外部网络要探寻内部网络十分容易。例如，在使用FTP协议时，外部服务器容易从20号端口上与内部网相连，即使在路由器上设置了过滤规则，内部网络的20号端口仍可以由外部探寻。

路由器上分组过滤规则的设置和配置存在安全隐患。对路由器中过滤规则的设置和配置十分复杂，它涉及到规则的逻辑一致性。作用端口的有效性和规则集的正确性，一般的网络系统管理员难于胜任，加之一旦出现新的协议，管理员就得加上更多的规则去限制，这往往会带来很多错误。

路由器防火墙的最大隐患是：攻击者可以“假冒”地址。由于信息在网络上是以明文方式传送的，黑客(Hacker)可以在网络上伪造假的路由信息欺骗防火墙。

路由器防火墙的本质缺陷是：由于路由器的主要功能是为网络访问提供动态的、灵活的路由，而防火墙则要对访问行为实施静态的、固定的控制，这是一对难以调和的矛盾，防火墙的规则设置会大大降低路由器的性能。

可以说基于路由器的防火墙技术只是网络安全的一种应急措施，用这种权宜之计去对付黑客的攻击是十分危险的。

3.2 用户化的防火墙工具套

为了弥补路由器防火墙的不足，很多大型用户纷纷要求以专门开发的防火墙系统来保护自己的网络，从而推动了用户防火墙工具套的出现。

作为第二代防火墙产品，用户化的防火墙工具套具有以下特征：

1)将过滤功能从路由器中独立出来，并加上审计和告警功能；

2)针对用户需求，提供模块化的软件包；

3)软件可以通过网络发送，用户可以自己动手构造防火墙；

4)与第一代防火墙相比，安全性提高了，价格也降低了。

由于是纯软件产品，第二代防火墙产品无论在实现上还是在维护上都对系统管理员提出了相当复杂的要求，并带来以下问题：

配置和维护过程复杂、费时；

对用户的技术要求高；

全软件实现，使用中出现差错的情况很多。

3.3 建立在通用操作系统上的防火墙

基于软件的防火墙在销售、使用和维护上的问题迫使防火墙开发商很快推出了建立在通用操

作系统上的商用防火墙产品。近年来市场上广泛使用的就是这一代产品，它们具有如下一些

特点：

1)是批量上市的专用防火墙产品；

2)包括分组过滤或者借用路由器的分组过滤功能；

3)装有专用的系统，监控所有协议的数据和指令；

4)保护用户编程空间和用户可配置内核参数的设置；

5)安全性和速度大大提高。

第三代防火墙有以纯软件实现的，也有以硬件方式实现的，

它们已经得到了广大用户的认同。但随着安全需求的变化和使用时间的推延，仍表现出不少问题，比如：

1)作为基础的操作系统及其内核往往不为防火墙管理者所知，由于源码的保密，其安全性

无从保证；

2)由于大多数防火墙厂商并非通用操作系统的厂商，通用操作系统厂商不会对操作系统的

安全性负责；

3)从本质上看，第三代防火墙既要防止来自外部网络的攻击，还要防止来自操作系统厂商

的攻击；

4)在功能上包括了分组过滤、应用网关、电路级网关且具有加密鉴别功能；

5)透明性好，易于使用。

4. 第四代防火墙的主要技术及功能

第四代防火墙产品将网关与安全系统合二为一，具有以下技术功能。

4.1 双端口或三端口的结构

新一代防火墙产品具有两个或三个独立的网卡，内外两个网卡可不做IP转化而串接于内部与外部之间，另一个网卡可专用于对服务器的安全保护。

4.2 透明的访问方式

以前的防火墙在访问方式上要么要求用户做系统登录，要么需要通过SOCKS等库路径修改客户机的应用。第四代防火墙利用了透明的系统技术，从而降低了系统登录固有的安全风险和出错概率。

4.3 灵活的系统

系统是一种将信息从防火墙的一侧传送到另一侧的软件模块，第四代防火墙采用了两种机制：一种用于从内部网络到外部网络的连接；另一种用于从外部网络到内部网络的连接。前者采用网络地址转接(NIT)技术来解决，后者采用非保密的用户定制或保密的系统技术来解决。

4.4 多级过滤技术

为保证系统的安全性和防护水平，第四代防火墙采用了三级过滤措施，并辅以鉴别手段。在分组过滤一级，能过滤掉所有的源路由分组和假冒IP地址；在应用级网关一级，能利用FTP、SMTP等各种网关，控制和监测Internet提供的所有通用服务；在电路网关一级，实现内部主机与外部站点的透明连接，并对服务的通行实行严格控制。

4.5 网络地址转换技术

第四代防火墙利用NAT技术能透明地对所有内部地址做转换，使得外部网络无法了解内部网络的内部结构，同时允许内部网络使用自己编的IP源地址和专用网络，防火墙能详尽记录每一个主机的通信，确保每个分组送往正确的地址。

4.6 Internet网关技术

由于是直接串联在网络之中，第四代防火墙必须支持用户在Internet互联的所有服务，同时还要防止与Internet服务有关的安全漏洞，故它要能够以多种安全的应用服务器(包括FTP、Finger、mail、Ident、News、WWW等)来实现网关功能。为确保服务器的安全性，对所有的文件和命令均要利用“改变根系统调用(chroot)”做物理上的隔离。

在域名服务方面，第四代防火墙采用两种独立的域名服务器：一种是内部DNS服务器，主要处理内部网络和DNS信息；另一种是外部DNS服务器，专门用于处理机构内部向Internet提供的部分DNS信息。

在匿名FTP方面，服务器只提供对有限的受保护的部分目录的只读访问。在WWW服务器中，只支持静态的网页，而不允许图形或CGI代码等在防火墙内运行。在Finger服务器中，对外部访问，防火墙只提供可由内部用户配置的基本的文本信息，而不提供任何与攻击有关的系统信息。SMTP与POP邮件服务器要对所有进、出防火墙的邮件做处理，并利用邮件映射与标头剥除的方法隐除内部的邮件环境。Ident服务器对用户连接的识别做专门处理，网络新闻服务则为接收来自ISP的新闻开设了专门的磁盘空间。

4.7 安全服务器网络(SSN)

为了适应越来越多的用户向Internet上提供服务时对服务器的需要，第四代防火墙采用分别保护的策略对用户上网的对外服务器实施保护，它利用一张网卡将对外服务器作为一个独立网络处理，对外服务器既是内部网络的一部分，又与内部网关完全隔离，这就是安全服务器网络(SSN)技术。而对SSN上的主机既可单独管理，也可设置成通过FTP、Tnlnet等方式从内部网上管理。

SSN方法提供的安全性要比传统的“隔离区(DMZ)”方法好得多，因为SSN与外部网之间有防火墙保护，SSN与风部网之间也有防火墙的保护，而DMZ只是一种在内、外部网络网关之间存在的一种防火墙方式。换言之，一旦SSN受破坏，内部网络仍会处于防火墙的保护之下，而一旦DMZ受到破坏，内部网络便暴露于攻击之下。

4.8 用户鉴别与加密

为了减低防火墙产品在Tnlnet、FTP等服务和远程管理上的安全风险，鉴别功能必不可少。第四代防火墙采用一次性使用的口令系统来作为用户的鉴别手段，并实现了对邮件的加密。

4.9 用户定制服务

为了满足特定用户的特定需求，第四代防火墙在提供众多服务的同时，还为用户定制提供支持，这类选项有：通用TCP、出站UDP、FTP、SMTP等，如果某一用户需要建立一个数据库的，便可以利用这些支持，方便设置。

4.10 审计和告警

第四代防火墙产品采用的审计和告警功能十分健全，日志文件包括：一般信息、内核信息、核心信息、接收邮件、邮件路径、发送邮件、已收消息、已发消息、连接需求、已鉴别的访问、告警条件、管理日志、进站、FTP、出站、邮件服务器、名服务器等。告警功能会守住每一个TCP或UDP探寻，并能以发出邮件、声响等多种方式报警。

此外，第四代防火墙还在网络诊断、数据备份保全等方面具有特色。

5．第四代防火墙技术的实现方法

在第四代防火墙产品的设计与开发中，安全内核、系统、多级过滤、安全服务器、鉴别与加密是关键所在。

5.1 安全内核的实现

第四代防火墙是建立在安全操作系统之上的，安全操作系统来自对专用操作系统的安全加固和改造，从现在的诸多产品看，对安全操作系统内核的固化与改造主要从以下几个方面进行：

1)取消危险的系统调用；

2)限制命令的执行权限；

3)取消IP的转发功能；

4)检查每个分组的接口；

5)采用随机连接序号；

6)驻留分组过滤模[！]块；

7)取消动态路由功能；

8)采用多个安全内核。

5.2 系统的建立

防火墙不允许任何信息直接穿过它，对所有的内外连接均要通过系统来实现，为保证整个防火墙的安全，所有的都应该采用改变根目录方式存在一个相对独立的区域以安全隔离。

在所有的连接通过防火墙前，所有的要检查已定义的访问规则，这些规则控制的服务根据以下内容处理分组：

1)源地址；

2)目的地址；

3)时间；

4)同类服务器的最大数量。

所有外部网络到防火墙内部或SSN的连接由进站处理，进站要保证内部主机能够了解外部主机的所有信息，而外部主机只能看到防火墙之外或SSN的地址。

所有从内部网络SSN通过防火墙与外部网络建立的

连接由出站处理，出站必须确保完全由它代表内部网络与外部地址相连，防止内部网址与外部网址的直接连接，同时还要处理内部网络SSN的连接。5.3 分组过滤器的设计

作为防火墙的核心部件之一，过滤器的设计要尽量做到减少对防火墙的访问，过滤器在调用时将被下载到内核中执行，服务终止时，过滤规则会从内核中消除，所有的分组过滤功能都在内核中IP堆栈的深层运行，极为安全。分组过滤器包括以下参数。

1)进站接口；

2)出站接口；

3)允许的连接；

4)源端口范围；

5)源地址；

6)目的端口的范围等。

对每一种参数的处理都充分体现设计原则和安全政策。

5.4 安全服务器的设计

安全服务器的设计有两个要点：第一，所有SSN的流量都要隔离处理，即从内部网和外部网而来的路由信息流在机制上是分离的；第二，SSN的作用类似于两个网络，它看上去像是内部网，因为它对外透明，同时又像是外部网络，因为它从内部网络对外访问的方式十分有限。

SSN上的每一个服务器都隐蔽于Internet，SSN提供的服务对外部网络而言好像防火墙功能，由于地址已经是透明的，对各种网络应用没有限制。实现SSN的关键在于：

1)解决分组过滤器与SSN的连接；

2)支持通过防火墙对SSN的访问；

3)支持服务。

5.5 鉴别与加密的考虑

鉴别与加密是防火墙识别用户、验证访问和保护信息的有效手段，鉴别机制除了提供安全保护之外，还有安全管理功能，目前国外防火墙产品中广泛使用令牌鉴别方式，具体方法有两种一种是加密卡(Crypto Card)；另一种是Secure ID，这两种都是一次性口令的生成工具。



对信息内容的加密与鉴别则涉及加密算法和数字签名技术，除PEM、PGP和Kerberos外，目前国外防火墙产品中尚没有更好的机制出现，由于加密算法涉及国家信息安全和，各国有不同的要求。

6．第四代防火墙的抗攻击能力

作为一种安全防护设备，防火墙在网络中自然是众多攻击者的目标，故抗攻击能力也是防火墙的必备功能。在Internet环境中针对防火墙的攻击很多，下面从几种主要的攻击方法来评估第四代防火墙的抗攻击能力。

6.1 抗IP假冒攻击

IP假冒是指一个非法的主机假冒内部的主机地址，骗取服务器的“信任”，从而达到对网络的攻击目的。由于第四代防火墙已经将网内的实际地址隐蔽起来，外部用户很难知道内部的IP地址，因而难以攻击。

6.2 抗特洛伊木马攻击

特洛伊木马能将病毒或破坏性程序传入计算机网络，且通常是将这些恶意程序隐蔽在正常的程序之中，尤其是热门程序或游戏，一些用户下载并执行这一程序，其中的病毒便会发作。第四代防火墙是建立在安全的操作系统之上的，其内核中不能执行下载的程序，故而可以防止特洛伊木马的发生。必须指出的是，防火墙能抗特洛伊木马的攻击并不表明其保护的某个主机也能防止这类攻击。事实上，内部用户可以通过防火墙下载程序，并执行下载的程序。



6.3 抗口令字探寻攻击

在网络中探寻口令的方法很多，最常见的是口令嗅探和口令解密。嗅探是通过监测网络通信，截获用户传给服务器的口令字，记录下来，以便使用；解密是指采用强力攻击、猜测或截获含有加密口令的文件，并设法解密。此外，攻击者还常常利用一些常用口令字直接登录。

 第四代防火墙采用了一次性口令字和禁止直接登录防火墙措施，能够有效防止对口令字的攻击。

6.4 抗网络安全性分析

网络安全性分析工具是提供管理人员分析网络安全性之用的，一旦这类工具用作攻击网络的手段，则能够比较方便地探测到内部网络的安全缺陷和弱点所在。目前，SATA软件可以从网上免费获得，Internet Scanner可以从市面上购买，这些分析工具给网络安全构成了直接的威胁。第四代防火墙采用了地址转换技术，将内部网络隐蔽起来，使网络安全分析工具无法从外部对内部网络做分析。

6.5 抗邮件诈骗攻击

邮件诈骗也是越来越突出的攻击方式，第四代防火墙不接收任何邮件，故难以采用这种方式对它攻击，同样值得一提的是，防火墙不接收邮件，并不表示它不让邮件通过，实际上用户仍可收发邮件，内部用户要防邮件诈骗，最终的解决办法是对邮件加密。

7．防火墙技术展望

伴随着Internet的飞速发展，防火墙技术与产品的更新步伐必然会加强，而要全面展望防火墙技术的发展几乎是不可能的。但是，从产品及功能上，却又可以看出一些动向和趋势。下面诸点可能是下一步的走向和选择：

1)防火墙将从目前对子网或内部网管理的方式向远程上网集中管理的方式发展。

2)过滤深度会不断加强，从目前的地址、服务过滤，发展到URL(页面)过滤、关键字过滤和对ActiveX、Java等的过滤，并逐渐有病毒扫描功能。

3)利用防火墙建立专用网是较长一段时间用户使用的主流，IP的加密需求越来越强，安全协议的开发是一大热点。

4)单向防火墙(又叫做网络二极管)将作为一种产品门类而出现。

5)对网络攻击的检测和各种告警将成为防火墙的重要功能。

防火墙在网络中的作用篇9

关键词：Internet 网路安全防火墙过滤地址转换

1．引言

2. Internet防火墙技术简介

1)限定人们从一个特定的控制点进入；

2)限定人们从一个特定的点离开；

3)防止侵入者接近你的其他防御设施；

4)有效地阻止破坏者对你的计算机系统进行破坏。

在现实生活中，Internet防火墙常常被安装在受保护的内部网络上并接入Internet，如图1所示。

图1 防火墙在Internet中的位置

过滤进、出网络的数据；

管理进、出网络的访问行为；

封堵某些禁止行为；

记录通过防火墙的信息内容和活动；

对网络攻击进行检测和告警。

3.1 基于路由器的防火墙

1)利用路由器本身对分组的解析，以访问控制表(Access List)方式实现对分组的过滤；

2)过滤判断的依据可以是：地址、端口号、IP旗标及其他网络特征；

第一代防火墙产品的不足之处十分明显，具体表现为：

可以说基于路由器的防火墙技术只是网络安全的一种应急措施，用这种权宜之计去对付黑客的攻击是十分危险的。

3.2 用户化的防火墙工具套

为了弥补路由器防火墙的不足，很多大型用户纷纷要求以专门开发的防火墙系统来保护自己的网络，从而推动了用户防火墙工具套的出现。

作为第二代防火墙产品，用户化的防火墙工具套具有以下特征：

1)将过滤功能从路由器中独立出来，并加上审计和告警功能；

2)针对用户需求，提供模块化的软件包；

3)软件可以通过网络发送，用户可以自己动手构造防火墙；

4)与第一代防火墙相比，安全性提高了，价格也降低了。

由于是纯软件产品，第二代防火墙产品无论在实现上还是在维护上都对系统管理员提出了相当复杂的要求，并带来以下问题：

配置和维护过程复杂、费时；

对用户的技术要求高；

全软件实现，使用中出现差错的情况很多。

3.3 建立在通用操作系统上的防火墙

基于软件的防火墙在销售、使用和维护上的问题迫使防火墙开发商很快推出了建立在通用操

作系统上的商用防火墙产品。近年来市场上广泛使用的就是这一代产品，它们具有如下一些

特点：

1)是批量上市的专用防火墙产品；

2)包括分组过滤或者借用路由器的分组过滤功能；

3)装有专用的系统，监控所有协议的数据和指令；

4)保护用户编程空间和用户可配置内核参数的设置；

5)安全性和速度大大提高。

第三代防火墙有以纯软件实现的，也有以硬件方式实现的，它们已经得到了广大用户的认同

。但随着安全需求的变化和使用时间的推延，仍表现出不少问题，比如：

1)作为基础的操作系统及其内核往往不为防火墙管理者所知，由于源码的保密，其安全性

无从保证；

2)由于大多数防火墙厂商并非通用操作系统的厂商，通用操作系统厂商不会对操作系统的

安全性负责；

3)从本质上看，第三代防火墙既要防止来自外部网络的攻击，还要防止来自操作系统厂商

的攻击；

4)在功能上包括了分组过滤、应用网关、电路级网关且具有加密鉴别功能；

5)透明性好，易于使用。

4. 第四代防火墙的主要技术及功能

第四代防火墙产品将网关与安全系统合二为一，具有以下技术功能。

4.1 双端口或三端口的结构

新一代防火墙产品具有两个或三个独立的网卡，内外两个网卡可不做IP转化而串接于内部与外部之间，另一个网卡可专用于对服务器的安全保护。

4.2 透明的访问方式

4.3 灵活的系统

4.4 多级过滤技术

4.5 网络地址转换技术

4.6 Internet网关技术

4.7 安全服务器网络(SSN)

4.8 用户鉴别与加密

4.9 用户定制服务

4.10 审计和告警

此外，第四代防火墙还在网络诊断、数据备份保全等方面具有特色。

5．第四代防火墙技术的实现方法

在第四代防火墙产品的设计与开发中，安全内核、系统、多级过滤、安全服务器、鉴别与加密是关键所在。

5.1 安全内核的实现

1)取消危险的系统调用；

2)限制命令的执行权限；

3)取消IP的转发功能；

4)检查每个分组的接口；

5)采用随机连接序号；

6)驻留分组过滤模块；

7)取消动态路由功能；

8)采用多个安全内核。

5.2 系统的建立

在所有的连接通过防火墙前，所有的要检查已定义的访问规则，这些规则控制的服务根据以下内容处理分组：

1)源地址；

2)目的地址；

3)时间；

4)同类服务器的最大数量。

所有从内部网络SSN通过防火墙与外部网络建立的连接由出站处理，出站必须确保完全由它代表内部网络与外部地址相连，防止内部网址与外部网址的直接连接，同时还要处理内部网络SSN的连接。

5.3 分组过滤器的设计

1)进站接口；

2)出站接口；

3)允许的连接；

4)源端口范围；

5)源地址；

6)目的端口的范围等。

对每一种参数的处理都充分体现设计原则和安全政策。

5.4 安全服务器的设计

1)解决分组过滤器与SSN的连接；

2)支持通过防火墙对SSN的访问；

3)支持服务。

5.5 鉴别与加密的考虑



对信息内容的加密与鉴别则涉及加密算法和数字签名技术，除PEM、PGP和Kerberos外，目前国外防火墙产品中尚没有更好的机制出现，由于加密算法涉及国家信息安全和主权，各国有不同的要求。

6．第四代防火墙的抗攻击能力

6.1 抗IP假冒攻击

6.2 抗特洛伊木马攻击



6.3 抗口令字探寻攻击

 第四代防火墙采用了一次性口令字和禁止直接登录防火墙措施，能够有效防止对口令字的攻击。

6.4 抗网络安全性分析

6.5 抗邮件诈骗攻击

7．防火墙技术展望

1)防火墙将从目前对子网或内部网管理的方式向远程上网集中管理的方式发展。

2)过滤深度会不断加强，从目前的地址、服务过滤，发展到URL(页面)过滤、关键字过滤和对ActiveX、Java等的过滤，并逐渐有病毒扫描功能。

3)利用防火墙建立专用网是较长一段时间用户使用的主流，IP的加密需求越来越强，安全协议的开发是一大热点。

4)单向防火墙(又叫做网络二极管)将作为一种产品门类而出现。

5)对网络攻击的检测和各种告警将成为防火墙的重要功能。

防火墙在网络中的作用篇10

关键词：计算机网络安全技术；计算机网络；防火墙；网络安全；分析和探究

中图分类号：TP393.08

当今社会，是全球信息化快速发展的时代。随着科学技术的蓬勃发展，计算机的应用也日趋于普及。作为公共信息和数据交换的重要平台，计算机技术在方便人们生活的同时，其安全问题也越来越受到人们的广泛关注和重视，尤其是来自各种网页木马、钓鱼网站和病毒等方面的安全问题，更是对人们日常的通讯和数据传输等方面造成了潜在的威胁。对此，防火墙技术在抵御各种病毒、木马的入侵，保障用户终端信息安全以及提供安全可靠的网络环境上有着极为重要的作用。本文主要通过介绍计算机网络安全技术中的防火墙技术，包括防火墙的基本概念、类别划分和重要意义，以及防火墙的配置等方面。具体分析如下。

1 防火墙技术

1.1 防火墙的概念

防火墙，顾名思义，是一道“墙”。只不过这道墙不是我们通常说的物理上的墙，而是基于互联网建立起来的，用来控制网络用户的互访，以及防止外网用户非法入侵本地网络，访问本地网络资源的互联设备。通过防火墙能够隔离互联网风险区域和本地局域网的连接，但并不会妨碍本地局域网用户对互联网风险区域进行访问。同时，能够监控进出网络的通信量，抵制危险进程入侵本地网络，以免让用户终端系统设备受到损坏或用户信息泄露。

1.2 防火墙的作用

新形势下，随着现代科技的全面快速发展，网络入侵的手段也是越来越高超。同样，部分软件应用在配置上的不合理，或是选用不合适的口令，也很有可能成为网络入侵利用的手段。在这种情况下，防火墙同样起着重要的防御作用。通过禁止未授权应用程序软件在本机的使用，定期更新升级防火墙，从而为用户终端提供安全可靠的网络环境。通过对防火墙的讨论，防火墙大概有以下几个方面的作用。

（1）限制对网点的访问和封锁网点信息的泄露。防火墙能够检查进出用户终端的所有网络信息，当有未授权信息进入时，能够为网络安全起到把关作用，并只允许授权的通信通过。

（2）最大限度防止被保护子网的暴露。当一个网段发生问题时，可能会很快影响到整个网络的通信。针对这种现象，防火墙能够起到隔离网段与网段之间的通信，尤其是被保护网段相对其余网段更敏感时，防火墙发挥的作用更为突出。

（3）防火墙具有审计功能。由于防火墙能够有效记录用户终端在互联网上的活动，因此，任何经过防火墙的传输信息，尤其是网络入侵信息，都会被加以记录和总结，为终端用户提供查阅功能。

（4）防火墙能够强制安全策略。在访问互联网时，由于大部分服务存在不安全性，往往会对用户终端的安全造成不同程度上的威胁。对此，防火墙能够执行站点的安全策略，允许经过认可的不安全服务或符合规则的服务通过。同时，防火墙还能起到加密和解密进出网段信息、方便网络实施密钥管理的重要作用。

1.3 防火墙的基本类别

就目前的IT市场来看，通常防火墙技术主要有纯软件防火墙技术和物理防火墙技术两种。纯软件防火墙技术主要是基于瑞星杀毒、金山毒霸等杀毒软件研发出来的防火墙，物理防火墙技术则是指采用具体网络设备，设置在不同网络或是网络安全领域之间的一系列部件的组合。具体可以划分为包过滤防火墙、服务器和状态监控器等三种。

（1）包过滤防火墙。包过滤防火墙，通常是安装在网络层的路由器上，能够根据网络管理员设定的访问控制清单，有效筛选经过防火墙的所有传输信息的IP源地址、目标地址和封装协议及端口号等。但由于防火墙存在无法判断数据包来源、目标和端口等网络信息的局限性，对于恶意JAVA小程序病毒、电子邮件病毒等基于应用层的恶意入侵，无法进行识别，威胁到网络安全。

（2）服务器防火墙。服务器防火墙，即服务器，通常位于用户终端与服务器之间，能够完全地阻挡两者之间的数据交流。包括服务端程序和客户端程序两部分。相对于包过滤防火墙来说，服务器防火墙能够作用于应用层，且不提供直接的外部网络与内部服务器数据通道，安全性更高。

（3）状态监视防火墙。状态监视防火墙，能够通过检测模块对被监测数据的抽取及动态保存，方便日后制定安全决策。在网络配置和安全规定的基础上，该防火墙主要实现对用户访问请求的数据进行抽取分析，及时作出接纳、拒绝、鉴定或是加密等决定。当发现违反网络配置和安全规定的访问数据时，触发安全报警器，同时防火墙拒绝该访问，并向系统管理器报警。但状态监测防火墙配置较为复杂，且会影响网络信息传输速度的提高。就目前防火墙市场来看，通常采用应用网关集成包过滤技术。

1.4 防火墙的配置

配置防火墙，需要选用一台具备路由功能的PC机，PC机必须携带有以太网卡或串行卡等接口卡，通过以太网卡连通互联网，串行卡连通内部网络。配置完成后，内部网络与互联网络实现隔离。当外部网络向内部网络传输数据时，需要先经过防火墙，并受到来自防火墙的监测和数据记录，以此为内部网络提供安全的网络环境。在防火墙的选型上，通常用户应该选用具备高智能化、自动识别能力强和更新速度快的防火墙产品。这样不但能够避免频繁设置安全规则和处理安全警报，同时也提高了网络安全性能。此外，在参数的设置上，要求用户需要具备基本的网络知识，了解TCP/IP等各类协议提供的服务，做到准确判断应用程序和网络连接请求的危险程度，从而实现安全规则的正确配置。并通过病毒防护软件的配合使用，检测系统可能存在的病毒、木马或漏洞，进行及时杀毒和系统漏洞的修复，从而进一步为用户信息安全提供保障。

2 防火墙的展望

通过分析防火墙网络安全技术，在认识防火墙技术的基础知识和重要性的同时，了解防火墙技术中存在的不足和配置问题，进而推动防火墙技术的发展和完善。根据防火墙未来的发展，大概面临以下两点改变。

2.1 模式转变

在传统的防火墙技术中，大多数防火墙被用来防止外部网络的恶意攻击，而对于内部网络的安全隐患则考虑不全。因此，新时期下的防火墙技术，需要实现模式上的转变。就目前的防火墙发展趋势来看，越来越多的防火墙开始转换为分布式结构存在。通过分布式保护各网络节点，最大限度覆盖整个网络，从而加强了防火墙安全防护的强度。

2.2 功能扩展

就目前防火墙趋势来看，其功能也得到进一步的扩展。当前的防火墙主要朝着集成VPN、PKI和IPSec等功能，尤其是集成类似于病毒防护和入侵检测等主流功能的方向发展。通过防火墙技术和其他主流功能的相融合，不但能够从一定程度上简化防火墙的配置，同时也简化了用户对各功能设备的集中管理，提高了用户的管理能力。

参考文献：

[1]赵佳.略谈计算机网络安全与防火墙技术[J].科技信息（科学教研），2008，23.

[2]程博.我国目前计算机网络安全与防火墙技术探讨[J].改革与开放，2011，20.

[3]张瑞.计算机网络安全及防火墙技术分析[J].电脑知识与技术，2012，24.