前言：想要寫出一篇令人眼前一亮的文章嗎？我們特意為您整理了5篇防火墻技術(shù)的研究范文，相信會為您的寫作帶來幫助，發(fā)現(xiàn)更多的寫作思路和靈感。

防火墻技術(shù)的研究范文第1篇

關(guān)鍵詞：因特網(wǎng)；網(wǎng)絡(luò)安全；計算機防火墻技術(shù)

中圖分類號：TP393.08 文獻標識碼：A 文章編號：1007-9599 （2012） 16-0000-02

計算機防火墻是一種獲取安全性方法的形象說法，它由硬件設(shè)備和軟件組合而成、在專用網(wǎng)絡(luò)和公共網(wǎng)絡(luò)之間、內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間的界面上構(gòu)造一個保護屏障，使得不同的網(wǎng)絡(luò)之間建立一個安全網(wǎng)關(guān)，以保護內(nèi)部專門網(wǎng)絡(luò)，使其免受非法用戶的入侵[1]。

計算機防火墻的主要功能有：過濾掉不安全服務(wù)和非法用戶[2]；控制對特殊站點的訪問；提供監(jiān)視Internet安全和預(yù)警的方便端點。其功能主要體現(xiàn)在訪問控制，內(nèi)容控制，全面的日志；集中管理，自身的安全和可用性；流量控制，NAT，VPN等方面。

目前防火墻技術(shù)正在朝著智能化和分布化的方向發(fā)展，其中智能防火墻技術(shù)對數(shù)據(jù)的識別是通過利用記憶、概率、統(tǒng)計和決策的智能方法來進行的，以實現(xiàn)訪問控制。智能防火墻采用新的數(shù)學(xué)方法，消除了匹配檢查所需要的海量計算，高效發(fā)現(xiàn)網(wǎng)絡(luò)行為的特征值，直接進行訪問控制，可以很好的解決目前存在的網(wǎng)絡(luò)安全問題。智能防火墻技術(shù)是計算機防火墻技術(shù)發(fā)展的必然趨勢[3，4]。

1 計算機防火墻的分類及其原理

計算機防火墻根據(jù)工作機制的不同可分為包過濾防火墻、應(yīng)用型防火墻、網(wǎng)絡(luò)地址翻譯及復(fù)合型防火墻。

1.1 包過濾防火墻

包過濾防火墻技術(shù)中預(yù)先設(shè)定有包過濾規(guī)則，包過濾防火墻工作在網(wǎng)絡(luò)層，接收到的每個數(shù)據(jù)包都要同包過濾規(guī)則進行比較，然后決定該數(shù)據(jù)包是通過還是阻塞。

包過濾防火墻又分為無狀態(tài)包過濾和有狀態(tài)檢查包過濾。無狀態(tài)包過濾防火墻是最原始的防火墻，它是根據(jù)每個包頭部的信息來決定是否要將包繼續(xù)傳輸，從而增強安全性。其安全程度相對較低，它的內(nèi)部網(wǎng)絡(luò)很容易暴露，進而容易遭受攻擊。在通信中，無法維持足夠的信息來決定是否應(yīng)該放棄這個包，因為任何一條不完善的過濾規(guī)則都會給網(wǎng)絡(luò)黑客可乘之機。但是有狀態(tài)檢查包過濾其可以記住經(jīng)過防火墻的所有通信狀態(tài)，并依據(jù)其記錄下來的狀態(tài)信息數(shù)據(jù)包的允許與否。動態(tài)包過濾防火墻是目前最流行的防火墻技術(shù)。

1.2 應(yīng)用型防火墻

是指服務(wù)器利用偵聽網(wǎng)絡(luò)內(nèi)部客戶的服務(wù)請求，然后將這些請求發(fā)到外部的網(wǎng)絡(luò)中；當服務(wù)器從公共服務(wù)器處接收到響應(yīng)后，其再將響應(yīng)返回給原始的客戶，其與原始的公共服務(wù)器所起的作用是一樣的[3]。

應(yīng)用級技術(shù)采用在OSI的最高層檢查每一個IP包，進而獲得安全策略。應(yīng)用技術(shù)雖然在一定程度上保證了網(wǎng)絡(luò)的安全，但是它對每一種服務(wù)都需要，且它工作在協(xié)議棧高層，執(zhí)行效率明顯降低，有時會成為網(wǎng)絡(luò)的瓶頸。

1.3 網(wǎng)絡(luò)地址翻譯

網(wǎng)絡(luò)地址翻譯將專用網(wǎng)絡(luò)中的ip地址轉(zhuǎn)換成在因特網(wǎng)上使用的全球唯一的公共ip地址。盡管最初設(shè)計nat的目的是為了增加在專用網(wǎng)絡(luò)中可使用的ip地址數(shù)，但是它有一個隱蔽的安全特性，如內(nèi)部主機隱蔽等。這在一定程度上保證了網(wǎng)絡(luò)安全。nat實際上是一個基本的，一個主機代表內(nèi)部所有主機發(fā)出請求，并代表外部服務(wù)器對內(nèi)部主機進行響應(yīng)等。但nat工作在傳輸層，因此它還需要使用低層和高層服務(wù)來保證網(wǎng)絡(luò)的安全。

1.4 復(fù)合型防火墻

出于更高安全性的要求，有些開發(fā)商常把包過濾的方法與應(yīng)用的方法結(jié)合起來，開發(fā)出復(fù)合型的防火墻產(chǎn)品，這種復(fù)合型的防火墻用以下兩種方式實現(xiàn)網(wǎng)絡(luò)安全維護功能：（1）通過屏蔽主機防火墻體系結(jié)構(gòu)，使分組過濾路由器或防火墻與互聯(lián)網(wǎng)相連，同時在內(nèi)部網(wǎng)絡(luò)安裝一個堡壘機，利用對過濾規(guī)則的設(shè)置，使堡壘機成為互聯(lián)網(wǎng)上其他網(wǎng)絡(luò)訪問所能到達的唯一節(jié)點，確保內(nèi)部網(wǎng)絡(luò)不受未授權(quán)的外部用戶的攻擊。（2）通過屏蔽子網(wǎng)防火墻體系結(jié)構(gòu)，將堡壘機安裝在一個內(nèi)部子網(wǎng)內(nèi)，同時在這一子網(wǎng)的兩端安裝兩個分組過濾路由器，使這一子網(wǎng)與互聯(lián)網(wǎng)及內(nèi)部網(wǎng)絡(luò)分離，進而確保這一子網(wǎng)不受未授權(quán)的外部用戶的攻擊。在結(jié)構(gòu)中，堡壘機和分組過濾路由器共同構(gòu)成了整個屏蔽子網(wǎng)防火墻體系的安全基礎(chǔ)。

2 常見網(wǎng)絡(luò)攻擊方式及網(wǎng)絡(luò)安全策略

2.1 網(wǎng)絡(luò)攻擊方式

2.1.1 病毒

盡管某些防火墻產(chǎn)品提供了在數(shù)據(jù)包通過時進行病毒掃描的功能，但仍然很難將所有的病毒阻止于網(wǎng)絡(luò)之外，黑客欺騙用戶下載某個程序，從而使惡意代碼進入到計算機內(nèi)網(wǎng)。應(yīng)對策略：設(shè)置網(wǎng)絡(luò)安全等級，對于未經(jīng)安全檢測的下載程序，嚴格阻止其任務(wù)執(zhí)行[5]。

2.1.2 口令字

窮舉與嗅探是口令字的兩種攻擊方式。窮舉是通過外部網(wǎng)絡(luò)的攻擊對防火墻的口令字進行猜測。嗅探通過監(jiān)測內(nèi)部網(wǎng)絡(luò)來獲取主機給防火墻的口令字。應(yīng)對策略：通過設(shè)計使主機和防火墻通過單獨接口進行通信或是采用一次性口令等。

2.1.3 郵件

借助郵件進行的網(wǎng)絡(luò)攻擊方式日益明顯，垃圾郵件的制造者通過復(fù)制方式，把一條消息變成幾百幾萬份消息，并將其發(fā)送到很多人，當郵件被收到并打開時，惡意代碼便進入到計算機系統(tǒng)。應(yīng)對策略：打開防火墻上的過濾功能，在內(nèi)網(wǎng)主機上采取相應(yīng)阻止措施。

2.1.4 IP地址

黑客通過利用與內(nèi)部網(wǎng)絡(luò)相似的IP地址，能夠避開服務(wù)器的檢測，從而進入到內(nèi)部網(wǎng)進行攻擊。應(yīng)對策略：打開內(nèi)核的rp_filter功能，把具有內(nèi)部地址但是是來自網(wǎng)絡(luò)外部的數(shù)據(jù)包全部丟棄；同時把IP地址和計算機的MAC綁定，擁有相應(yīng)MAC地址的用戶才能使用被綁定的IP地址進行網(wǎng)絡(luò)訪問[5]。

2.2 網(wǎng)絡(luò)安全策略

2.2.1物理安全策略

物理安全策略的目的有：（1）保護計算機、服務(wù)器、打印機等硬件設(shè)備與通信鏈路不受到人為破壞與搭線攻擊等。（2）驗證用戶身份與使用權(quán)限，防止越權(quán)操作。（3）為計算機系統(tǒng)提供良好的工作環(huán)境。（4）建立安全管理制度，防止發(fā)生非法進入計算機控制室以及偷竊破壞活動等[6]。

目前，物理安全的防護措施主要有：（1）傳導(dǎo)發(fā)射進行防護。如：在信號線與電源線上加裝濾波器，使導(dǎo)線與傳輸阻抗間的交叉耦合減到最小。（2）對輻射進行防護。主要采取電磁屏蔽措施與干擾措施，在計算機系統(tǒng)工作時，通過利用屏蔽裝置或者干擾裝置來產(chǎn)生一種噪聲，該噪聲輻射到空中，能夠掩蓋計算機系統(tǒng)的信息特征與工作頻率。

2.2.2 訪問控制策略

作為最重要的網(wǎng)絡(luò)安全策略之一，訪問控制是確保網(wǎng)絡(luò)安全運行的技術(shù)策略，其主要任務(wù)是指保護網(wǎng)絡(luò)資源不被非常訪問和非法使用。防火墻技術(shù)就是網(wǎng)絡(luò)安全訪問控制策略在實踐中主要的應(yīng)用。

2.2.3 網(wǎng)絡(luò)安全管理策略

為了保證網(wǎng)絡(luò)安全，除了采用物理安全策略和訪問控制策略之外，加強網(wǎng)絡(luò)的安全管理，制訂有關(guān)規(guī)章制度，對于確保網(wǎng)絡(luò)安全、可靠地運行，能起到十分有效的作用。

3 結(jié)論

隨著互聯(lián)網(wǎng)網(wǎng)絡(luò)技術(shù)的快速發(fā)展，網(wǎng)絡(luò)安全方面的問題必將引起人們越來越多的重視。計算機防火墻技術(shù)是用來維護網(wǎng)絡(luò)安全的一種重要措施和手段，它主要作用是：拒絕未經(jīng)授權(quán)的用戶訪問相關(guān)數(shù)據(jù)，阻止未經(jīng)授權(quán)的用戶存儲或下載敏感數(shù)據(jù)，同時也要確保合法用戶訪問網(wǎng)絡(luò)資源不受影響。防火墻目的在于為用戶提供信息的保密，認證和完整性保護機制，使網(wǎng)絡(luò)中的服務(wù)，數(shù)據(jù)以及系統(tǒng)免受侵擾和破壞。相信，隨著新的計算機安全問題的出現(xiàn)和科學(xué)技術(shù)的進一步發(fā)展，計算機防火墻也將獲得進一步的改進。

參考文獻：

[1] Richard Tibbs， Edward Oakes. 防火墻與VPN原理與實踐[M].清華大學(xué)出版社，2008.

[2]閻慧.防火墻原理與技術(shù)[M].機械工業(yè)出版社，2004.

[3]王艷.淺析計算機安全[J].電腦知識與技術(shù)，2010，5：1054-1055.

[4]欒江.計算機防火墻發(fā)展現(xiàn)狀及應(yīng)用前景[J].信息與電腦，2010，6：17.

[5]周立.計算機防火墻技術(shù)原理分析及應(yīng)用展望[J].硅谷，2008，10：49-50.

防火墻技術(shù)的研究范文第2篇

關(guān)鍵詞：防火墻 入侵檢測 聯(lián)動

中圖分類號：TP393.08 文獻標識碼：A 文章編號：1007-9416（2015）05-0000-00

1 技術(shù)簡介

（1）防火墻技術(shù) 防火墻是在內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)之間實施安全防范的系統(tǒng)，是一種訪問控制機制。通常安裝在被保護的內(nèi)部網(wǎng)與互聯(lián)網(wǎng)的連接點上，從互聯(lián)網(wǎng)或從內(nèi)部網(wǎng)上產(chǎn)生的活動都必須經(jīng)過防火墻，如電子郵件、文件傳輸、遠程登錄或其他的特定活動等。它通過建立一整套規(guī)則和策略來監(jiān)測、限制、轉(zhuǎn)換跨越防火墻的數(shù)據(jù)流，實現(xiàn)保護內(nèi)部網(wǎng)絡(luò)的目的。

（2）入侵檢測系統(tǒng) 入侵檢測系統(tǒng)是一個能夠?qū)W(wǎng)絡(luò)或計算機系統(tǒng)的活動進行實時監(jiān)控的系統(tǒng)，它能夠發(fā)現(xiàn)并報告網(wǎng)絡(luò)或系統(tǒng)中存在的可疑跡象，為網(wǎng)絡(luò)管理員及時采取對策提供有價值的信息。

2 防火墻與入侵檢測系統(tǒng)聯(lián)動的原理

防火墻是遏制攻擊的一種手段，但它存在一些明顯的不足：一是防火墻保護的是網(wǎng)絡(luò)邊界安全，對網(wǎng)絡(luò)內(nèi)部主動發(fā)起的攻擊行為無法阻止。二是防火墻是根據(jù)靜態(tài)的策略進行訪問檢查，根據(jù)管理員定義的過濾規(guī)則對進出網(wǎng)絡(luò)的信息流進行過濾和控制的，無法根據(jù)情況的變化進行動態(tài)調(diào)整，對于隱藏于正常訪問后的網(wǎng)絡(luò)攻擊卻無能為力，因為防火墻不能正確識別這種攻擊。三是正確配置防火墻訪問規(guī)則比較困難。

聯(lián)動本質(zhì)上是安全產(chǎn)品之間一種信息互通的機制，其理論基礎(chǔ)是：安全事件的意義不是局部的，將安全事件及時通告給相關(guān)的安全系統(tǒng)， 有助于從全局范圍評估安全事件的威脅，并在適當?shù)奈恢貌扇幼?。只要在某個節(jié)點發(fā)生了安全事件，無論是一個簡單系統(tǒng)捕捉到的原始事件，還是一些具有分析能力的系統(tǒng)“判斷”出來的，它都可能需要將這個事件通過某種機制傳遞給相關(guān)的系統(tǒng)，因此“聯(lián)動”是安全產(chǎn)品間實現(xiàn)互操作的一種表現(xiàn)。聯(lián)動系統(tǒng)具有幾種基本特性：一是有效性，針對具體的入侵行為，聯(lián)動采取的響應(yīng)措施應(yīng)該能夠有效阻止入侵的延續(xù)和最大限度降低系統(tǒng)損失；二是及時性，要求系統(tǒng)能夠及時地采取有效響應(yīng)措施，盡最大可能地縮短從入侵發(fā)現(xiàn)到響應(yīng)執(zhí)行的時間；三是合理性，響應(yīng)措施的選擇應(yīng)該在技術(shù)可行的前提下，綜合考慮法律、道德、制度、代價、資源約束等因素，采用合理可行的響應(yīng)措施；四是安全性，聯(lián)動系統(tǒng)的作用在于保護網(wǎng)絡(luò)及主機免遭非法入侵，顯然它自身的安全性是最基本的要求。

總之，防火墻與入侵檢測系統(tǒng)進行聯(lián)動就是為了實現(xiàn)動、靜結(jié)合，防火墻提供靜態(tài)防護，而入侵檢測系統(tǒng)提供動態(tài)防護。因此防火墻和入侵檢測系統(tǒng)的結(jié)合，構(gòu)建一個動態(tài)的防御體系，將一切已知的可能的攻擊行為進行阻斷，給網(wǎng)絡(luò)帶來全面的防護。

3 防火墻與入侵檢測系統(tǒng)聯(lián)動在內(nèi)網(wǎng)中的實現(xiàn)

（1）網(wǎng)絡(luò)結(jié)構(gòu) 防火墻和入侵檢測系統(tǒng)在單位內(nèi)網(wǎng)中的部署如圖1 所示。

當防火墻和入侵檢測系統(tǒng)實現(xiàn)聯(lián)動后，若單位內(nèi)網(wǎng)的用戶區(qū)域有攻擊行為發(fā)生時，入侵檢測系統(tǒng)會檢測到該攻擊行為，馬上通知防火墻，防火墻會阻斷該攻擊行為，以確保服務(wù)器區(qū)及整個網(wǎng)絡(luò)的數(shù)據(jù)信息安全。

（2） 聯(lián)動系統(tǒng)的功能模塊 聯(lián)動系統(tǒng)由入侵檢測、聯(lián)動控制和防火墻三大模塊組成，總體框架如圖2 所示。當數(shù)據(jù)流經(jīng)過防火墻過濾后，進入內(nèi)網(wǎng)，入侵檢測系統(tǒng)將其捕獲，然后經(jīng)過解碼、預(yù)處理，再交由檢測引擎進行檢測。檢測引擎將當前數(shù)據(jù)與已初始化的規(guī)則鏈進行匹配，當檢測到有匹配數(shù)據(jù)時，即檢測到攻擊行為，交給聯(lián)動控制模塊。聯(lián)動控制模塊判斷是否需要聯(lián)動，若需要，則啟動防火墻接口組件改變防火墻過濾規(guī)則，進行實時阻斷。

聯(lián)動系統(tǒng)主要由如下功能模塊組成：①IDS接口組件。它主要用于統(tǒng)一入侵檢測系統(tǒng)報警格式。它負責將不同的報警格式翻譯為聯(lián)動系統(tǒng)所能理解的統(tǒng)一格式，使系統(tǒng)具有良好的擴展性。②聯(lián)動控制模塊。該模塊是聯(lián)動系統(tǒng)的核心，由分析組件、策略日志、策略響應(yīng)組件和策略響應(yīng)信息庫組成。當IDS接口組件把轉(zhuǎn)換為統(tǒng)一格式的入侵信息傳遞到分析組件后，該組件調(diào)用策略日志的入侵檢測系統(tǒng)可信性數(shù)據(jù)，包括誤報/漏報率等信息，根據(jù)這些信息生成可信性矩陣，判斷是否需要聯(lián)動。若需要，則提交給策略響應(yīng)組件，此組件從策略響應(yīng)信息庫中選擇具體響應(yīng)策略并將其傳給防火墻接口組件。在此過程中，首先制定一個初步的響應(yīng)策略并執(zhí)行實現(xiàn)聯(lián)動。但是開始時的響應(yīng)策略未必是最優(yōu)響應(yīng)，通過評估響應(yīng)策略，并把響應(yīng)策略的不同響應(yīng)效果存儲于響應(yīng)策略信息庫中，當系統(tǒng)遇到相同類型入侵時就可以調(diào)用具有最佳響應(yīng)效果的策略并執(zhí)行，使系統(tǒng)能夠隨著運行時間的增長而逐漸提高抗入侵能力，實現(xiàn)系統(tǒng)的自適應(yīng)性。③防火墻接口組件。它主要負責接收策略響應(yīng)組件發(fā)來的信息，生成新的防火墻規(guī)則，引起防火墻動作。其設(shè)計重點是正確修改防火墻規(guī)則集，防止防火墻規(guī)則集自身產(chǎn)生異?；螂[患。防火墻技術(shù)的基礎(chǔ)是包過濾技術(shù)，其依據(jù)就是一條條的防火墻規(guī)則，將通過防火墻的數(shù)據(jù)包與防火墻規(guī)則集中的規(guī)則逐條比較，遇到匹配規(guī)則就按規(guī)則中定義的動作處理，若沒有匹配規(guī)則則按防火墻缺省策略處理。這就意味著配置防火墻規(guī)則時必須謹慎處理防火墻規(guī)則的順序以及它們之間的關(guān)系，未經(jīng)正確性檢驗的規(guī)則集中很可能含有無效規(guī)則甚至沖突規(guī)則，從而導(dǎo)致預(yù)期的安全目標不能實現(xiàn)。既然需要通過聯(lián)動修改防火墻規(guī)則，防火墻接口就必須正確地修改防火墻規(guī)則，確保對防火墻的修改不會與其現(xiàn)有的策略產(chǎn)生沖突。目前防火墻接口組件主要著眼于解決接收入侵信息并將其翻譯為防火墻可以理解的規(guī)則，然后發(fā)送給防火墻進行相應(yīng)處理。

（3）聯(lián)動在單位內(nèi)網(wǎng)中的實施過程 防火墻與入侵檢測系統(tǒng)之間的聯(lián)動主要是通過開放接口來實現(xiàn)，即防火墻或者入侵檢測系統(tǒng)開放一個接口供對方使用，雙方按照固定的SSL協(xié)議進行通信，完成網(wǎng)絡(luò)安全事件的傳輸。這種方式比較靈活，不影響防火墻和入侵檢測系統(tǒng)的性能。

①防火墻的聯(lián)動配置 根據(jù)單位內(nèi)網(wǎng)的網(wǎng)絡(luò)安全需求配置好了訪問策略，對不同區(qū)域之間的訪問進行了控制。防火墻根據(jù)這些定義的策略對網(wǎng)絡(luò)的信息流進行過濾和控制，但對于隱藏于正常訪問后的網(wǎng)內(nèi)主動發(fā)起的攻擊卻無法識別，因此需要和入侵檢測系統(tǒng)進行聯(lián)動，通過入侵檢測系統(tǒng)及時發(fā)現(xiàn)其策略之外的攻擊行為，通知防火墻進行訪問控制，以保證網(wǎng)內(nèi)的信息安全。

防火墻聯(lián)動的配置過程為：在防火墻管理器中選擇“入侵防御”的“IDS聯(lián)動”菜單，將彈出“IDS聯(lián)動配置”對話框，在對話框里輸入防火墻和入侵檢測系統(tǒng)的IP地址后將自動生成一個聯(lián)動密鑰文件，然后將防火墻產(chǎn)生的密鑰保存為.key文件，以便將該密鑰導(dǎo)入到入侵檢測系統(tǒng)中去。②入侵檢測系統(tǒng)的聯(lián)動配置 入侵檢測系統(tǒng)由管理控制中心、網(wǎng)絡(luò)引擎和顯示中心組成。管理控制中心主要是進行用戶、組件、多級、策略任務(wù)、系統(tǒng)更新、日志維護等方面的管理。網(wǎng)絡(luò)引擎是由策略驅(qū)動的網(wǎng)絡(luò)監(jiān)聽和分析系統(tǒng)，采用旁路偵聽方式全面?zhèn)陕牼W(wǎng)上信息流，進行實時分析，將分析結(jié)果與網(wǎng)絡(luò)引擎上運行的策略集相匹配，執(zhí)行報警、阻斷、日志等功能，完成對控制中心指令的接收和響應(yīng)工作。顯示中心主要是進行入侵事件定位、入侵風險評估、流量監(jiān)測等。入侵檢測系統(tǒng)的聯(lián)動配置過程為：在“組件管理”中選擇“聯(lián)動設(shè)置”，將彈出“聯(lián)動信息設(shè)置”的對話框，在對話框中輸動的防火墻設(shè)備名稱、IP地址及端口號，然后將防火墻自動生成的密鑰文件導(dǎo)入，與防火墻的聯(lián)動配置完成。入侵檢測系統(tǒng)時時對單位內(nèi)網(wǎng)的各種事件進行著監(jiān)測。侵檢測系統(tǒng)和防火墻進行了聯(lián)動后，當它檢測到單位內(nèi)網(wǎng)防火墻策略之外的攻擊行為的時候，就會馬上通知防火墻，防火墻立即會對該行為進行阻斷，增強了網(wǎng)絡(luò)的安全防御能力。

4 結(jié)語

綜上所述，防火墻和入侵檢測系統(tǒng)的功能特點和局限性決定了它們彼此非常需要對方，且不可能相互取代，防火墻側(cè)重于控制，而入侵檢測系統(tǒng)則側(cè)重于主動發(fā)現(xiàn)入侵的信號。防火墻不能檢測出攻擊行為，對單位內(nèi)網(wǎng)內(nèi)部主動發(fā)起的攻擊行為無法阻止，一些攻擊會利用防火墻合法的通道進入網(wǎng)絡(luò)。而入侵檢測系統(tǒng)檢測到攻擊行為，如不能及時有效地阻斷或者過濾，這種攻擊行為仍將對單位內(nèi)網(wǎng)內(nèi)部安全造成危害。因此，防火墻和入侵檢測系統(tǒng)之間十分合適建立緊密的聯(lián)動關(guān)系，以將兩者的能力充分發(fā)揮出來，相互彌補不足，相互提供保護。從信息安全整體防御的角度出發(fā)，這種聯(lián)動是十分必要的，它能夠極大地提高單位內(nèi)網(wǎng)安全體系的防護能力。

參考文獻

防火墻技術(shù)的研究范文第3篇

關(guān)鍵詞：IPv6；分布式防火墻 ；Linux

引言

隨著Internet的快速發(fā)展，網(wǎng)絡(luò)安全問題是人們最為關(guān)注的問題，基于IPv4協(xié)議邊界式防火墻存在著日益突出的問題，主要體現(xiàn)在IP地址空間缺乏和骨干路由器中路由表“爆炸”的等突出問題。邊界式防火墻在保護企業(yè)內(nèi)部網(wǎng)絡(luò)的情況下，確實是一種有效的網(wǎng)絡(luò)安全技術(shù)，而隨著網(wǎng)絡(luò)應(yīng)用規(guī)模的日益擴大，它的缺陷也不斷呈現(xiàn)出來，很難實現(xiàn)網(wǎng)絡(luò)的安全性和網(wǎng)絡(luò)性能的均衡性。為了彌補IPv4和傳統(tǒng)邊界式防火墻的缺陷性及網(wǎng)絡(luò)安全性等問題，此文提出了基于Linux的IPv6分布式防火墻網(wǎng)絡(luò)體系架構(gòu)的設(shè)計與實現(xiàn)。IPv6作為下一代互聯(lián)網(wǎng)的基礎(chǔ)協(xié)議存在很多優(yōu)勢。IPv6解決了IPv4存在的地址空間缺乏和路由表“爆炸”等問題，并且在安全性、移動性以及QoS等方面有著強有力的支持，IPv6協(xié)議由于包頭設(shè)計得更加合理，使得路由器在處理數(shù)據(jù)包時更加快捷。此外，IPv6將IPSec集成到了協(xié)議內(nèi)部，使得IPSec不再單獨存在等等。

1 分布式防火墻網(wǎng)絡(luò)體系結(jié)構(gòu)

1.1分布式防火墻技術(shù)

分布式防火墻分為安全策略管理服務(wù)器[Server]、客戶端防火墻[Client]兩部分. 安全策略管理服務(wù)器主要負責安全策略、用戶、日志、審計等管理作用。該服務(wù)器是集中管理控制中心，統(tǒng)一制定和分發(fā)安全策略，負責管理系統(tǒng)日志、多主機的統(tǒng)一管理，使終端用戶“零”負擔。客戶端防火墻主要作用于各個服務(wù)器、工作站、個人計算機上，按照安全策略文件的內(nèi)容，必須通過包過濾、特洛伊木馬過濾和腳本過濾的三層過濾檢測，保護計算機在正常情況下連接網(wǎng)絡(luò)時不會受到黑客惡意的入侵與攻擊，從而大大提高了網(wǎng)絡(luò)安全性能。多臺基于主機但集中管理與配置的防火墻組成了分布式防火墻。在分布式防火墻中，安全策略仍然被集中定義，但是在每一個單獨的網(wǎng)絡(luò)端點（如主機、路由器）上實施。

分布式防火墻包括安全策略語言、安全策略機制及應(yīng)用、實施安全策略機制。安全策略的法則嚴格地規(guī)定了允許通過的通訊文件和禁止通過的通訊的文件，它可以在多種類型的情況下應(yīng)用，還必須有權(quán)利委派和身份鑒別的功能。策略制定之后就可以至網(wǎng)絡(luò)端點上去了。在傳輸過程中，策略系統(tǒng)必須保證策略法則的完整性、真實性。策略有多種形式，可以直接“推”到終端系統(tǒng)上，可以由終端按照需求截取，也可以提供給用戶（以證書的形式）。策略實施機制系統(tǒng)在主機上，在處理進出的通訊之前，它需要查詢本地策略才能做出允許或者禁止的決定。

1.2分布式防火墻體系架構(gòu)

圖1分布式防火墻體系架構(gòu)

針對邊界式防火墻的缺陷，提出了“分布式防火墻”（Distributed Firewalls）作為新的防火墻體系結(jié)構(gòu)，因為它主要負責網(wǎng)絡(luò)邊界、每個子網(wǎng)和網(wǎng)絡(luò)內(nèi)部每一個節(jié)點之間的安全防護，所以分布式防火墻為一個完整的體系，而不僅僅是單一的產(chǎn)品。依據(jù)它所需完成的功能，包括三部分：網(wǎng)絡(luò)防火墻（Network Firewall）、主機防火墻（Host Firewall）、中心管理（Central Managerment），如圖1所示。

（1）網(wǎng)絡(luò)防火墻（Network Firewall）

網(wǎng)絡(luò)防火墻一般是純軟件方式，有時候需要硬件的支持。它作用于外部網(wǎng)與內(nèi)部網(wǎng)之間，及內(nèi)部網(wǎng)下各個小子網(wǎng)之間的防護，這也是與傳統(tǒng)邊界式防火墻不同之處，這樣以來整個網(wǎng)絡(luò)的安全防護體系就會更加全面、可靠。

網(wǎng)絡(luò)防火墻包括入侵檢測模塊、防火墻模塊和管理模塊。入侵檢測模塊所用的是snort_inLine，防火墻模塊在Linux環(huán)境下所用的是基于Netfilter框架的Iptables，為了使網(wǎng)絡(luò)防火墻更好的安全防護整個網(wǎng)絡(luò)，防火墻模塊和入侵檢測模塊內(nèi)嵌式互動，防火墻實時截取網(wǎng)絡(luò)數(shù)據(jù)包，假如是信賴的網(wǎng)段或主機的數(shù)據(jù)包，就直接通過網(wǎng)絡(luò)防火墻，減少入侵檢測系統(tǒng)的匹配次數(shù)；如果不是，數(shù)據(jù)包通過內(nèi)核態(tài)至用戶態(tài)，入侵檢測系統(tǒng)接收到數(shù)據(jù)包再檢測，如果發(fā)現(xiàn)入侵，就通知防火墻截斷，如果沒有發(fā)現(xiàn)入侵，就依照防火墻配置的法則處理。管理模塊包含數(shù)據(jù)發(fā)送程序(向管理中心發(fā)送防火墻和入侵檢測系統(tǒng)日志)、數(shù)據(jù)接受程序(接受管理中心發(fā)放的法則)兩部分，數(shù)據(jù)發(fā)送程序的作用是：先與自己機器的SSH端口建立TCP連接，之后從日志文件讀出一行數(shù)據(jù)發(fā)送，直到文件完成。數(shù)據(jù)接受程序的作用是： 監(jiān)聽SSH端口，把接收到的法則代替原來的法則，讓它運用新的法則。

（2）主機防火墻（Host Firewall）

與網(wǎng)絡(luò)防火墻的設(shè)計一樣，主要對網(wǎng)絡(luò)中的服務(wù)器和桌面機進行防護，這是在邊界式防火墻安全體系方面的改進。它主要作用于同一內(nèi)部子網(wǎng)之間的工作站與服務(wù)器之間，來確保內(nèi)部網(wǎng)絡(luò)服務(wù)器的安全，這樣就安全防護應(yīng)用層了，比起網(wǎng)絡(luò)層來更加全面。

主機防火墻由防火墻模塊、主機管理模塊組成，防火墻模塊在Linux環(huán)境下用的是基于Netfilter框架的Iptables，按照管理中心的安全策略過濾數(shù)據(jù)包；主機管理模塊包括數(shù)據(jù)發(fā)送程序(向管理中心發(fā)送日志)、數(shù)據(jù)接受程序(接受管理中心發(fā)放的法則)兩部分，數(shù)據(jù)發(fā)送程序的作用是：先與自己機器的SSH端口建立TCP連接，之后從日志文件讀出一行數(shù)據(jù)發(fā)送，直到文件完成。數(shù)據(jù)接受程序的作用是： 監(jiān)聽SSH端口，把接收到的法則代替原來的法則，讓它運用新的法則。

（3）管理中心（Managerment Central）

它作為服務(wù)器軟件，主要負責總體安全策略的策劃、管理、分發(fā)及日志的匯總，還有遠程管理、系統(tǒng)設(shè)置、系統(tǒng)安全等其它輔助功能。它也是在邊界式防火墻功能的一個完善。它具有智能管理的功能，提高了防火墻的安全防護靈活性、管理性。網(wǎng)絡(luò)防火墻和主機防火墻把日志發(fā)送給日志分析系統(tǒng)之后保存到日志文件之中，網(wǎng)絡(luò)管理維護中心發(fā)放法則給網(wǎng)絡(luò)防火墻和主機防火墻，管理中心與主機防火墻和邊界防火墻之間的通信必須通過身份驗證之后運用openssH數(shù)據(jù)安全通道加密通訊，這樣管理中心與主機防火墻和網(wǎng)絡(luò)防火墻的通信才會更加安全。此外管理中心還有用戶圖形界面(GUI)功能，負責管理網(wǎng)絡(luò)中的所有端點、制定和分發(fā)安全策略，而且要分析從主機防火墻、網(wǎng)絡(luò)防火墻接收的日志，依據(jù)分析的結(jié)果再修改安全策略。

2主機防火墻的設(shè) 計與實現(xiàn)

Linux廣泛地應(yīng)用到世界各地服務(wù)器網(wǎng)絡(luò)當中，由于它是開源的。Linux版本2.4內(nèi)核中已采用了Netfilter的防火墻框架，而且內(nèi)核中還支持IPv6協(xié)議棧。所以此文采用Linux作為目標環(huán)境下的系統(tǒng)的開發(fā)和運行平臺。

2.1主機管理模塊

主機管理模塊包括數(shù)據(jù)發(fā)送程序(向管理中心發(fā)送日志)、數(shù)據(jù)接受程序(接受管理中心發(fā)放的法則)兩部分，數(shù)據(jù)發(fā)送程序的作用：首先要跟自己機器的SSH端口建立TCP連接，之后從日志文件讀出一行數(shù)據(jù)再發(fā)送，直到文件完成。數(shù)據(jù)接受程序的作用：監(jiān)聽SSH端口，把接收到的法則代替原來的法則，讓它運用新的法則。

2.2主機防火墻模塊

Linux版本2.4內(nèi)核中集成了Netfilter框架，基于Linux平臺下，該框架具有新的網(wǎng)絡(luò)安全功能：網(wǎng)絡(luò)數(shù)據(jù)包過濾、狀態(tài)保持、NAT及抗攻擊等。Iptables作為Netfilter框架在用戶空間的配置工具的任務(wù)：負責從用戶命令行界面接收命令之后轉(zhuǎn)化成內(nèi)核認識的結(jié)構(gòu)體，調(diào)用相應(yīng)的內(nèi)核操作函數(shù)，將法則插入到內(nèi)核中去。運用Iptables，一定在編譯Linux內(nèi)核時(版本一定比2.4大)選擇跟Netfilter相關(guān)的內(nèi)核模塊。Netfilter作為內(nèi)核空間的實現(xiàn)模塊，Iptables作為用戶空間的控制命令解析器，只有它們合起來才能完成整體的工作。因此首先必須對內(nèi)核進行裁剪和編譯，選擇與Netfilter相關(guān)的項目，（位于“Networking options”子項下）。

Netfilter是由一系列基于協(xié)議棧的鉤子組成，這些鉤子都對應(yīng)某一具體的協(xié)議。Netfilter支持IPv4、IPv6與IPx等協(xié)議，具有協(xié)議對應(yīng)的鉤子函數(shù)。這些鉤子函數(shù)在數(shù)據(jù)包通過協(xié)議棧的幾個關(guān)鍵點時被調(diào)用，協(xié)議棧把數(shù)據(jù)包與鉤子標號作為參數(shù)傳遞給Netfilter鉤子；可以編寫內(nèi)核模塊來注冊一個或多個鉤子，以掛鉤自己的處理函數(shù)，這樣當數(shù)據(jù)包被傳遞給某個鉤子時，內(nèi)核就會依次調(diào)用掛鉤在這個鉤子上的每一個處理函數(shù)，這些處理函數(shù)就能對數(shù)據(jù)包進行各種處理（修改、丟棄或傳遞給用戶進程等）；接收到的數(shù)據(jù)包，用戶進程也可以對它進行各種處理。一個IPV6數(shù)據(jù)包在通過Netfilter防火墻框架時，它將經(jīng)過如圖2所示的流程。

圖2 IPv6網(wǎng)絡(luò)數(shù)據(jù)包處理流程

每一個IPv6數(shù)據(jù)包經(jīng)過Netfilter框架時，必須通過5個鉤子函數(shù)處理：

（1）HOOK1（NF_IP6_PRE_ROUTING），數(shù)據(jù)包在抵達路由之前經(jīng)過這個鉤子。目前，在這個鉤子上只對數(shù)據(jù)包作包頭檢測處理，一般應(yīng)用于防止拒絕服務(wù)攻擊和NAT；（2）HOOK2（NF_IP6_LOCAL_IN），目的地為本地主機的數(shù)據(jù)包經(jīng)過這個鉤子。防火墻一般建立在這個鉤子上；（3）HOOK3（NF_IP6_FORWARD），目的地非本地主機的數(shù)據(jù)包經(jīng)過這個鉤子；（4）HOOK4（NF_IP6_POST_ROUTING），數(shù)據(jù)包在離開本地主機之前經(jīng)過這個鉤子，包括源地址為本地主機和非本地主機的；（5）HOOK5（NF_IP6_LOCAL_OUT），本地主機發(fā)出的數(shù)據(jù)包經(jīng)過這個鉤子。

IP網(wǎng)絡(luò)數(shù)據(jù)包處理流程：數(shù)據(jù)報從左邊進入系統(tǒng)，進行IPv6校驗以后，數(shù)據(jù)報經(jīng)過第一個鉤子NF_IP_PRE_ROUTING注冊函數(shù)進行處理；然后就進入路由代碼，其決定該數(shù)據(jù)包是需要轉(zhuǎn)發(fā)還是發(fā)給本機的；若該數(shù)據(jù)包是發(fā)被本機的，則該數(shù)據(jù)經(jīng)過鉤子NF_IP6_LOCAL_IN注冊函數(shù)處理以后然后傳遞給上層協(xié)議；若該數(shù)據(jù)包應(yīng)該被轉(zhuǎn)發(fā)則它被NF_IP6_FORWARD注冊函數(shù)處理；經(jīng)過轉(zhuǎn)發(fā)的數(shù)據(jù)報經(jīng)過最后一個鉤子NF_IP6_POST_ROUTING注冊函數(shù)處理以后，再傳輸?shù)骄W(wǎng)絡(luò)上。

本地產(chǎn)生的數(shù)據(jù)經(jīng)過鉤子函數(shù)NF_IP6_LOCAL_OUT注冊函數(shù)處理以后，進行路由選擇處理，然后經(jīng)過NF_IP6_POST_ROUTI NG注冊函數(shù)處理以后發(fā)送到網(wǎng)絡(luò)上。

3 結(jié)論

針對本文設(shè)計的Linux環(huán)境下IPv6分布式防火墻的測試中，用兩臺IPv6主機對防火墻保護下的內(nèi)網(wǎng)主機進行訪問，來測試防火墻。外網(wǎng)主機的環(huán)境一臺為WINXP,另一臺是Linux。通過對外網(wǎng)主機訪問記錄的驗證來檢測防火墻的性能。測試的實驗結(jié)果表明：系統(tǒng)都能按照規(guī)則對數(shù)據(jù)包進行處理，實現(xiàn)了IPv6分布式防火墻的功能。隨著網(wǎng)絡(luò)的不斷發(fā)展，傳統(tǒng)的邊界式防火墻的弊端越來越暴露出來了，Linux作為一種開放源代碼的操作系統(tǒng)，在世界各地有著廣泛的應(yīng)用。Linux內(nèi)核版本2.4中已經(jīng)采用了Netfilter的防火墻框架，而且內(nèi)核中已支持IPv6協(xié)議棧，而下一代通信協(xié)議IPv6是未來網(wǎng)絡(luò)發(fā)展的趨勢。本文在Linux環(huán)境下設(shè)計并實現(xiàn)了一個分布式防火墻具有重大意義。

參考文獻：

[1]范振岐.基于Linux的IPv6復(fù)合防火墻的設(shè)計[J].網(wǎng)絡(luò)安全技術(shù)與使用,2006,2:35-37.

[2]蔣雄偉.Linux下的分布式防火墻設(shè)計與實現(xiàn):[碩士學(xué)位論文].南京:南京理工大學(xué).2006.

[3]張科.IPv6防火墻狀態(tài)檢測技術(shù)的研究與實現(xiàn):[碩士學(xué)位論文].重慶:重慶大學(xué).2007.

[4]楊剛，陳蜀宇.Linux中基于Nctfilter/IPtables的防火墻研究[J].計算機工程與設(shè)計，2007，(28):4124-4132.

[5]高鴻峰，王一波,傅光軒.Netfilter框架下IPv6防火墻的設(shè)計與實現(xiàn)[J].電子科技大學(xué)學(xué)報，2007，36(6):1427-1429.

防火墻技術(shù)的研究范文第4篇

關(guān)鍵詞： 防火墻 TCP/IP 網(wǎng)絡(luò)協(xié)議 校園網(wǎng)

1.引言

防火墻的本義原是指古代人們房屋之間修建的那道墻，這道墻可以防止火災(zāi)發(fā)生的時候蔓延到別的房屋。IT術(shù)語中的防火墻是指隔離在本地網(wǎng)絡(luò)與外界網(wǎng)絡(luò)之間的一道防御統(tǒng)，是這一類防范措施的總稱。應(yīng)該說，在互聯(lián)網(wǎng)上防火墻是一種非常有效的網(wǎng)絡(luò)安全模型，通過它可以隔離風險區(qū)域 （即Internet或有一定風險的網(wǎng)絡(luò)）與安全區(qū)域（局域網(wǎng)）的連接，同時不妨礙人們對風險區(qū)域的訪問。

2. Windows網(wǎng)絡(luò)協(xié)議的實現(xiàn)及操作系統(tǒng)的總體架構(gòu)

2.1 Windows網(wǎng)絡(luò)協(xié)議的實現(xiàn)

網(wǎng)絡(luò)協(xié)議是網(wǎng)絡(luò)上所有設(shè)備（網(wǎng)絡(luò)服務(wù)器、計算機及交換機、路由器、防火墻等）之間通信規(guī)則的集合，它定義了通信時信息必須采用的格式和這些格式的意義。大多數(shù)網(wǎng)絡(luò)都采用分層的體系結(jié)構(gòu)，每一層都建立在它的下層之上，為它的上一層提供一定的服務(wù)，而把如何實現(xiàn)這一服務(wù)的細節(jié)對上一層加以屏蔽。

2.2 Windows操作系統(tǒng)的總體架構(gòu)

Microsoft Windows系列操作系統(tǒng)是在微軟給IBM機器設(shè)計MS-DOS的基礎(chǔ)上設(shè)計的圖形操作系統(tǒng)?，F(xiàn)在的Windows系統(tǒng)，如Windows 2000、Windows XP皆是建立于現(xiàn)代的Windows NT核心。NT核心是由OS/2和OpenVMS等系統(tǒng)上借用來的。

3. 防火墻發(fā)展研究

3.1防火墻體系結(jié)構(gòu)

雙重宿主主機體系結(jié)構(gòu)圍繞雙重宿主主機構(gòu)筑。

3.2被屏蔽子網(wǎng)體系結(jié)構(gòu)

被屏蔽子網(wǎng)體系結(jié)構(gòu)添加額外的安全層到被屏蔽主機體系結(jié)構(gòu)，即通過添加周邊網(wǎng)絡(luò)更進一步地把內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)（通常是Internet）隔離開。

4.防火墻技術(shù)在校園網(wǎng)中的實現(xiàn)

這里，假定校園網(wǎng)通過Cisco路由器與CERNET相連。校園內(nèi)的IP地址范圍是確定的，且有明確的閉和邊界。它有一個C類的IP地址，有DNS，Email，WWW，F(xiàn)TP等服務(wù)器，可采用以下存取控制策略。

4.1對進入CERNET主干網(wǎng)的存取控制

校園網(wǎng)有自己IP地址，應(yīng)禁止IP地址從本校路由器訪問CERNET?？捎孟率雒钤O(shè)置與校園網(wǎng)連接的路由器：

Interface E0

Decription campusNet

Ipadd 162.105.17.1

access_list group 20 out ！

access_list 20 permit ip 162.105.17.0 0.0.225

4.2對網(wǎng)絡(luò)中心資源主機的訪問控制

網(wǎng)絡(luò)中心的DNS，Email，F(xiàn)TP，WWW等服務(wù)器是重要的資源，要特別保護，可對網(wǎng)絡(luò)中心所在子網(wǎng)禁止DNS，Email，WWW，F(xiàn)TP以外的一切服務(wù)。

4.3對校外非法網(wǎng)址的訪問

可通過計費系統(tǒng)獲得最新的IP訪問信息，利用域名查詢或字符匹配等方法確定來自某個IP的訪問是非法的。

5.結(jié)語

本文闡述了防火墻的體系結(jié)構(gòu)及在校園網(wǎng)絡(luò)中的應(yīng)用，并且介紹了網(wǎng)絡(luò)協(xié)議的實現(xiàn)與操作系統(tǒng)的總體架構(gòu)。

參考文獻：

[1]黎連業(yè)， 張維 編著.防火墻及其應(yīng)用技術(shù)[M]. 北京：清華大學(xué)出版社，2004.7，第1版.

[2]朱雁輝 ，編著.Windows防火墻與網(wǎng)絡(luò)封包截獲技術(shù)[M].北京：電子工業(yè)出版社，2002.7，第一版.

[3]Keith E.Strassberg，等著.李昂，等譯.防火墻技術(shù)大全[M]. 北京：機械工業(yè)出版社，2003，3，第一版.

[4]Carasik-Henmi，A.等著.李華飚 ，等譯.Tanenbaum[M]. 北京：中國水利水電出版社，2005.5，第一版.

防火墻技術(shù)的研究范文第5篇

1.1監(jiān)測型

監(jiān)測型防火墻在網(wǎng)絡(luò)安全保護中，表現(xiàn)出主動特性，主動阻斷網(wǎng)絡(luò)攻擊。此類防火墻的能力比較高，其在安全防護的過程中體現(xiàn)探測服務(wù)，主要探測網(wǎng)絡(luò)節(jié)點。節(jié)點處的攻擊較為明顯，有效探測到網(wǎng)絡(luò)內(nèi)部、外部的所有攻擊，以免攻擊者惡意篡改信息，攻擊內(nèi)網(wǎng)。監(jiān)測型防火墻在網(wǎng)絡(luò)安全中的應(yīng)用效益較為明顯，成為防火墻的發(fā)展趨勢，提升網(wǎng)絡(luò)安全的技術(shù)能力，但是由于監(jiān)測型防火墻的成本高，促使其在網(wǎng)絡(luò)安全中的發(fā)展受到挑戰(zhàn)，還需借助技術(shù)能力提升自身地位。

1.2型

型屬于包過濾的演變，包過濾應(yīng)用在網(wǎng)絡(luò)層，而型則服務(wù)于應(yīng)用層，完成計算機與服務(wù)器的過程保護。型防火墻通過提供服務(wù)器，保護網(wǎng)絡(luò)安全，站在計算機的角度出發(fā)，型防火墻相當于真實服務(wù)器，對于服務(wù)器而言，型防火墻則扮演計算機的角色。型防火墻截取中間的傳輸信息，形成中轉(zhuǎn)站，通過與中轉(zhuǎn)的方式，集中處理惡意攻擊，切斷攻擊者可以利用的通道，由此外部攻擊難以進入內(nèi)網(wǎng)環(huán)境。型防火墻安全保護的能力較高，有效防止網(wǎng)絡(luò)攻擊。

2.基于防火墻的網(wǎng)絡(luò)安全技術(shù)應(yīng)用

結(jié)合防火墻的類型與技術(shù)表現(xiàn)，分析其在網(wǎng)絡(luò)安全中的實際應(yīng)用，體現(xiàn)基于防火墻網(wǎng)絡(luò)安全技術(shù)的優(yōu)勢。防火墻在網(wǎng)絡(luò)安全中的應(yīng)用主要以內(nèi)外和外網(wǎng)為主，做如下分析：

2.1防火墻技術(shù)在內(nèi)網(wǎng)中的應(yīng)用

防火墻在內(nèi)網(wǎng)中的位置較為特定，基本安置在Web入口處，保護內(nèi)網(wǎng)的運行環(huán)境。內(nèi)網(wǎng)系統(tǒng)通過防火墻能夠明確所有的權(quán)限規(guī)劃，規(guī)范內(nèi)網(wǎng)用戶的訪問路徑，促使內(nèi)網(wǎng)用戶只能在可控制的狀態(tài)下，實現(xiàn)運行訪問，避免出現(xiàn)路徑混淆，造成系統(tǒng)漏洞。防火墻在內(nèi)網(wǎng)中的應(yīng)用主要表現(xiàn)在兩方面，如：(1)認證應(yīng)用，內(nèi)網(wǎng)中的多項行為具有遠程特性，此類網(wǎng)絡(luò)行為必須在認證的約束下，才能實現(xiàn)準確連接，以免出現(xiàn)錯接失誤，導(dǎo)致內(nèi)網(wǎng)系統(tǒng)面臨癱瘓威脅；(2)防火墻準確記錄內(nèi)網(wǎng)的訪問請求，規(guī)避來自內(nèi)網(wǎng)自身的網(wǎng)絡(luò)攻擊，防火墻記錄請求后生成安全策略，實現(xiàn)集中管控，由此內(nèi)網(wǎng)計算機不需要實行單獨策略，在公共策略服務(wù)下，即可實現(xiàn)安全保護。

2.2防火墻技術(shù)在外網(wǎng)中的應(yīng)用

防火墻在外網(wǎng)中的應(yīng)用體現(xiàn)在防范方面，防火墻根據(jù)外網(wǎng)的運行情況，制定防護策略，外網(wǎng)只有在防火墻授權(quán)的狀態(tài)下，才可進入內(nèi)網(wǎng)。針對外網(wǎng)布設(shè)防火墻時，必須保障全面性，促使外網(wǎng)的所有網(wǎng)絡(luò)活動均可在防火墻的監(jiān)視下，如果外網(wǎng)出現(xiàn)非法入侵，防火墻則可主動拒絕為外網(wǎng)提供服務(wù)?；诜阑饓Φ淖饔孟拢瑑?nèi)網(wǎng)對于外網(wǎng)而言，處于完全封閉的狀態(tài)，外網(wǎng)無法解析到內(nèi)網(wǎng)的任何信息。防火墻成為外網(wǎng)進入內(nèi)網(wǎng)的唯一途徑，所以防火墻能夠詳細記錄外網(wǎng)活動，匯總成日志，防火墻通過分析日常日志，判斷外網(wǎng)行為是否具有攻擊特性。近幾年，隨著網(wǎng)絡(luò)化的發(fā)展，外網(wǎng)與內(nèi)網(wǎng)連接并不局限于一條路徑，所以在所有的連接路徑上都需實行防火墻保護，實時監(jiān)控外網(wǎng)活動。

3.防火墻技術(shù)在網(wǎng)絡(luò)安全的優(yōu)化措施

防火墻技術(shù)面對日益復(fù)雜的網(wǎng)絡(luò)發(fā)展，表現(xiàn)出低效狀態(tài)，出現(xiàn)部分漏洞，影響防火墻安全保護的能力。因此，為保障網(wǎng)絡(luò)安全技術(shù)的運行水平，結(jié)合防火墻的運行與發(fā)展，提出科學(xué)的優(yōu)化途徑，發(fā)揮防火墻網(wǎng)絡(luò)保護的優(yōu)勢。針對網(wǎng)絡(luò)安全中的防火墻技術(shù)，提出以下三點優(yōu)化措施：

3.1控制擁有成本

防火墻能力可以通過成本衡量，擁有成本成為防火墻安全保護能力的評價標準?？刂品阑饓Φ膿碛谐杀荆苊馄涑^網(wǎng)絡(luò)威脅的損失成本，由此即可體現(xiàn)防火墻的防護效益。如果防火墻的成本低于損失成本，表明該防火墻未能發(fā)揮有效的防護能力，制約了網(wǎng)絡(luò)安全技術(shù)的發(fā)展。

3.2強化防火墻自身安全

防火墻自身的安全級別非常明顯，由于其所處的網(wǎng)絡(luò)環(huán)境不同，促使其在安全保護方面受到影響。為加強防火墻的安全能力，規(guī)范配置設(shè)計，深入研究防火墻的運行實質(zhì)，手動更改防護參數(shù)，排除防火墻自帶的漏洞。防火墻經(jīng)過全面測試后才可投入網(wǎng)絡(luò)市場，但是因為防火墻的種類較多，所以其自身仍舊存在風險項目。強化防火墻的自身安全，才可提升網(wǎng)絡(luò)安全技術(shù)的防護性能。

3.3構(gòu)建防火墻平臺

防火墻平臺能夠體現(xiàn)綜合防護技術(shù)，確保網(wǎng)絡(luò)防護的安全、穩(wěn)定。通過管理手段構(gòu)建防火墻平臺，以此來保障網(wǎng)絡(luò)安全技術(shù)的能力，發(fā)揮防火墻預(yù)防與控制的作用。防火墻管理在平臺構(gòu)建中占據(jù)重要地位，直接影響防火墻平臺的效益，有利于強化平臺防范水平。由此可見：防火墻平臺在網(wǎng)絡(luò)安全技術(shù)中具有一定影響力，保障防火墻的能力，促使防火墻處于優(yōu)質(zhì)的狀態(tài)，安全保護網(wǎng)絡(luò)運行。

4.結(jié)束語