前言：想要寫出一篇令人眼前一亮的文章嗎？我們特意為您整理了5篇防火墻在網(wǎng)絡(luò)中的作用范文，相信會為您的寫作帶來幫助，發(fā)現(xiàn)更多的寫作思路和靈感。

防火墻在網(wǎng)絡(luò)中的作用范文第1篇

1.1監(jiān)測型

監(jiān)測型防火墻在網(wǎng)絡(luò)安全保護中，表現(xiàn)出主動特性，主動阻斷網(wǎng)絡(luò)攻擊。此類防火墻的能力比較高，其在安全防護的過程中體現(xiàn)探測服務(wù)，主要探測網(wǎng)絡(luò)節(jié)點。節(jié)點處的攻擊較為明顯，有效探測到網(wǎng)絡(luò)內(nèi)部、外部的所有攻擊，以免攻擊者惡意篡改信息，攻擊內(nèi)網(wǎng)。監(jiān)測型防火墻在網(wǎng)絡(luò)安全中的應用效益較為明顯，成為防火墻的發(fā)展趨勢，提升網(wǎng)絡(luò)安全的技術(shù)能力，但是由于監(jiān)測型防火墻的成本高，促使其在網(wǎng)絡(luò)安全中的發(fā)展受到挑戰(zhàn)，還需借助技術(shù)能力提升自身地位。

1.2型

型屬于包過濾的演變，包過濾應用在網(wǎng)絡(luò)層，而型則服務(wù)于應用層，完成計算機與服務(wù)器的過程保護。型防火墻通過提供服務(wù)器，保護網(wǎng)絡(luò)安全，站在計算機的角度出發(fā)，型防火墻相當于真實服務(wù)器，對于服務(wù)器而言，型防火墻則扮演計算機的角色。型防火墻截取中間的傳輸信息，形成中轉(zhuǎn)站，通過與中轉(zhuǎn)的方式，集中處理惡意攻擊，切斷攻擊者可以利用的通道，由此外部攻擊難以進入內(nèi)網(wǎng)環(huán)境。型防火墻安全保護的能力較高，有效防止網(wǎng)絡(luò)攻擊。

2.基于防火墻的網(wǎng)絡(luò)安全技術(shù)應用

結(jié)合防火墻的類型與技術(shù)表現(xiàn)，分析其在網(wǎng)絡(luò)安全中的實際應用，體現(xiàn)基于防火墻網(wǎng)絡(luò)安全技術(shù)的優(yōu)勢。防火墻在網(wǎng)絡(luò)安全中的應用主要以內(nèi)外和外網(wǎng)為主，做如下分析：

2.1防火墻技術(shù)在內(nèi)網(wǎng)中的應用

防火墻在內(nèi)網(wǎng)中的位置較為特定，基本安置在Web入口處，保護內(nèi)網(wǎng)的運行環(huán)境。內(nèi)網(wǎng)系統(tǒng)通過防火墻能夠明確所有的權(quán)限規(guī)劃，規(guī)范內(nèi)網(wǎng)用戶的訪問路徑，促使內(nèi)網(wǎng)用戶只能在可控制的狀態(tài)下，實現(xiàn)運行訪問，避免出現(xiàn)路徑混淆，造成系統(tǒng)漏洞。防火墻在內(nèi)網(wǎng)中的應用主要表現(xiàn)在兩方面，如：(1)認證應用，內(nèi)網(wǎng)中的多項行為具有遠程特性，此類網(wǎng)絡(luò)行為必須在認證的約束下，才能實現(xiàn)準確連接，以免出現(xiàn)錯接失誤，導致內(nèi)網(wǎng)系統(tǒng)面臨癱瘓威脅；(2)防火墻準確記錄內(nèi)網(wǎng)的訪問請求，規(guī)避來自內(nèi)網(wǎng)自身的網(wǎng)絡(luò)攻擊，防火墻記錄請求后生成安全策略，實現(xiàn)集中管控，由此內(nèi)網(wǎng)計算機不需要實行單獨策略，在公共策略服務(wù)下，即可實現(xiàn)安全保護。

2.2防火墻技術(shù)在外網(wǎng)中的應用

防火墻在外網(wǎng)中的應用體現(xiàn)在防范方面，防火墻根據(jù)外網(wǎng)的運行情況，制定防護策略，外網(wǎng)只有在防火墻授權(quán)的狀態(tài)下，才可進入內(nèi)網(wǎng)。針對外網(wǎng)布設(shè)防火墻時，必須保障全面性，促使外網(wǎng)的所有網(wǎng)絡(luò)活動均可在防火墻的監(jiān)視下，如果外網(wǎng)出現(xiàn)非法入侵，防火墻則可主動拒絕為外網(wǎng)提供服務(wù)。基于防火墻的作用下，內(nèi)網(wǎng)對于外網(wǎng)而言，處于完全封閉的狀態(tài)，外網(wǎng)無法解析到內(nèi)網(wǎng)的任何信息。防火墻成為外網(wǎng)進入內(nèi)網(wǎng)的唯一途徑，所以防火墻能夠詳細記錄外網(wǎng)活動，匯總成日志，防火墻通過分析日常日志，判斷外網(wǎng)行為是否具有攻擊特性。近幾年，隨著網(wǎng)絡(luò)化的發(fā)展，外網(wǎng)與內(nèi)網(wǎng)連接并不局限于一條路徑，所以在所有的連接路徑上都需實行防火墻保護，實時監(jiān)控外網(wǎng)活動。

3.防火墻技術(shù)在網(wǎng)絡(luò)安全的優(yōu)化措施

防火墻技術(shù)面對日益復雜的網(wǎng)絡(luò)發(fā)展，表現(xiàn)出低效狀態(tài)，出現(xiàn)部分漏洞，影響防火墻安全保護的能力。因此，為保障網(wǎng)絡(luò)安全技術(shù)的運行水平，結(jié)合防火墻的運行與發(fā)展，提出科學的優(yōu)化途徑，發(fā)揮防火墻網(wǎng)絡(luò)保護的優(yōu)勢。針對網(wǎng)絡(luò)安全中的防火墻技術(shù)，提出以下三點優(yōu)化措施：

3.1控制擁有成本

防火墻能力可以通過成本衡量，擁有成本成為防火墻安全保護能力的評價標準。控制防火墻的擁有成本，避免其超過網(wǎng)絡(luò)威脅的損失成本，由此即可體現(xiàn)防火墻的防護效益。如果防火墻的成本低于損失成本，表明該防火墻未能發(fā)揮有效的防護能力，制約了網(wǎng)絡(luò)安全技術(shù)的發(fā)展。

3.2強化防火墻自身安全

防火墻自身的安全級別非常明顯，由于其所處的網(wǎng)絡(luò)環(huán)境不同，促使其在安全保護方面受到影響。為加強防火墻的安全能力，規(guī)范配置設(shè)計，深入研究防火墻的運行實質(zhì)，手動更改防護參數(shù)，排除防火墻自帶的漏洞。防火墻經(jīng)過全面測試后才可投入網(wǎng)絡(luò)市場，但是因為防火墻的種類較多，所以其自身仍舊存在風險項目。強化防火墻的自身安全，才可提升網(wǎng)絡(luò)安全技術(shù)的防護性能。

3.3構(gòu)建防火墻平臺

防火墻平臺能夠體現(xiàn)綜合防護技術(shù)，確保網(wǎng)絡(luò)防護的安全、穩(wěn)定。通過管理手段構(gòu)建防火墻平臺，以此來保障網(wǎng)絡(luò)安全技術(shù)的能力，發(fā)揮防火墻預防與控制的作用。防火墻管理在平臺構(gòu)建中占據(jù)重要地位，直接影響防火墻平臺的效益，有利于強化平臺防范水平。由此可見：防火墻平臺在網(wǎng)絡(luò)安全技術(shù)中具有一定影響力，保障防火墻的能力，促使防火墻處于優(yōu)質(zhì)的狀態(tài)，安全保護網(wǎng)絡(luò)運行。

4.結(jié)束語

防火墻在網(wǎng)絡(luò)中的作用范文第2篇

【關(guān)鍵詞】網(wǎng)絡(luò)安全;防火墻技術(shù);性能;發(fā)展趨勢

1引言

隨著網(wǎng)絡(luò)技術(shù)的飛速發(fā)展和網(wǎng)絡(luò)時代的到來,網(wǎng)絡(luò)安全問題變的越來越嚴重。由于網(wǎng)絡(luò)不安全造成的損失也越來越大,人們?yōu)榻鉀Q網(wǎng)絡(luò)安全問題投入的資金也越來越多。網(wǎng)絡(luò)安全是一個關(guān)系國家安全、社會穩(wěn)定的重要問題,網(wǎng)絡(luò)的安全已經(jīng)成為急需解決的問題。

為了保護網(wǎng)絡(luò)的安全,人們將防火墻這個概念運用到了網(wǎng)絡(luò)世界里。它是內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間的一道柵欄,用以阻擋外部網(wǎng)絡(luò)的入侵,相當于中世紀的護城河。防火墻是目前最為流行、使用最為廣泛的一種網(wǎng)絡(luò)安全技術(shù)。本文主要討論防火墻技術(shù),并對其發(fā)展趨勢作了初步的分析。

2防火墻技術(shù)

2.1 防火墻概述

防火墻是網(wǎng)絡(luò)之間一種特殊的訪問控制設(shè)施,是一種屏障,用于隔離Internet的某一部分,限制這部分與Internet其它部分之間數(shù)據(jù)的自由流動。防火墻的位置被安裝在內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)之間,以在不可靠的互聯(lián)網(wǎng)絡(luò)中建立一個可靠的子網(wǎng)。防火墻作為保障內(nèi)部網(wǎng)絡(luò)安全的手段,它有助于建立一個網(wǎng)絡(luò)安全機制,并通過網(wǎng)絡(luò)配置、主機系統(tǒng)、路由器與身份認證等手段來實現(xiàn)安全機制。一般說來防火墻主要有以下的功能:防火墻是網(wǎng)絡(luò)安全的屏障;防火墻可以強化網(wǎng)絡(luò)安全策略;對網(wǎng)絡(luò)存取和訪問進行監(jiān)控審計;防止內(nèi)部信息的外泄;安全策略檢查和實施NAT的理想平臺。

防火墻是兩個網(wǎng)絡(luò)之間的成分集合,它必須具有以下性質(zhì)才能起作用:

(1)從里向外或從外向里的流量都必須通過防火墻;

(2)只有本地安全策略放行的流量才能通過防火墻;

(3)防火墻本身是不可穿透的。

2.2 防火墻的類型

(1)IP級防火墻

IP級防火墻又稱為報文過濾或包過濾(packet filter)防火墻,它通常在路由軟件中實現(xiàn),工作在網(wǎng)絡(luò)層中,因此也稱網(wǎng)絡(luò)防火墻。依據(jù)防火墻內(nèi)事先設(shè)定的過濾規(guī)則,檢查數(shù)據(jù)流中每個數(shù)據(jù)包頭部,根據(jù)數(shù)據(jù)包的源地址、目的地址、TCP/UDP源端口號、TCP/UDP目的端口號及數(shù)據(jù)包頭中的各種標志位等因數(shù)來確定是否允許數(shù)據(jù)包通過。使用這種類型的防火墻時,內(nèi)部主機與外部主機之間存在直接的IP報文交互,即使防火墻停止工作也不影響其連通性。因此,IP防火墻具有簡單、方便、速度快,透明性好和不影響網(wǎng)絡(luò)的特點。但是IP防火墻只能根據(jù)IP地址和端口號來過濾報文,缺乏用戶日志和審計信息,缺乏用戶認證機制,對過濾規(guī)則的完備性也難以得到檢驗,所以IP防火墻的安全性是比較差的。

(2)應用級防火墻

應用級防火墻又稱(proxy)防火墻。它通常作用在應用層,直接對特定的應用層進行服務(wù)。這類防火墻通常是一臺封堵了內(nèi)外直接連接的雙穴主機(dual-home-host),為兩端的機器服務(wù)請求,也可以是一些可以訪問Internet并被內(nèi)部主機訪問的堡壘主機。防火墻能進行安全控制和加速訪問,有效地實現(xiàn)防火墻內(nèi)外計算機系統(tǒng)的隔離,安全性好,以及實施較強的數(shù)據(jù)流監(jiān)控、過濾、記錄和報告等功能。其缺點是效率低,對于每一種應用服務(wù)都必須為其設(shè)計一個軟件模塊來進行安全控制,而每一種網(wǎng)絡(luò)應用服務(wù)的安全問題各不相同,分析困難,實現(xiàn)也困難。

(3)鏈路級防火墻

鏈路級防火墻的工作原理、組成結(jié)構(gòu)與應用級防火墻相似,但它并不針對專門的應用協(xié)議,而是一種傳輸層的TCP(UDP)連接中繼服務(wù)。連接的發(fā)起方不直接與響應方建立連接,而是與鏈路級防火墻交互,由它再與響應方建立連接,并在此過程中完成用戶鑒別。在隨后的通信中維護數(shù)據(jù)的安全(如進行數(shù)據(jù)加密)、控制通信的進展。鏈路級防火墻提供的安全保護主要包括:對連接的存在時間進行監(jiān)測,除去超出所允許的存在時間的連接,這可防止過大的郵件和文件傳送;建立允許的發(fā)起方表,提供鑒別機制;對傳輸?shù)臄?shù)據(jù)提供加密保護。

各種防火墻的性能比較如表2-1所示。

2.3 傳統(tǒng)防火墻的缺點

上述三種基本的防火墻技術(shù)都存在不足之處。比如IP級防火墻存在不能徹底防止地址欺騙、正常的數(shù)據(jù)包路由器無法執(zhí)行某些安全策略等不足,應用級防火墻則有不能改進低層協(xié)議的安全性、實現(xiàn)比較復雜等缺點。傳統(tǒng)的防火墻大多都采用報文過濾技術(shù)。在實際環(huán)境中,大多數(shù)的攻擊和越權(quán)訪問來自于內(nèi)部,而傳統(tǒng)的邊界防火墻無法對內(nèi)部網(wǎng)絡(luò)進行有效的保護。首先,防火墻提供的是靜態(tài)防御,它的規(guī)則都必須事先設(shè)置,對于實時的攻擊或異常的行為不能做出實時反應。其次,防火墻規(guī)則是一種粗顆粒的檢查,對一些協(xié)議細節(jié)無法做到完全解析。此外,防火墻防外不防內(nèi),對于內(nèi)部用戶的非法行為或已經(jīng)滲透的攻擊無法檢查和響應。

3防火墻的發(fā)展趨勢

目前防火墻的安全性、效率和功能方面的矛盾還是比較突出。防火墻的技術(shù)結(jié)構(gòu),往往是安全高效率就低,效率高就會以犧牲安全為代價。未來的防火墻要求是高安全性和高效率。使用專門的芯片負責訪問控制功能、設(shè)計新的防火墻的技術(shù)架構(gòu)是未來防火墻的方向。

3.1 分布式防火墻

分布式防火墻是指那些駐留在網(wǎng)絡(luò)中的主機,如服務(wù)器或臺式機并對系統(tǒng)自身提供安全防護的軟件產(chǎn)品,用以保護企業(yè)網(wǎng)絡(luò)中的關(guān)鍵結(jié)點服務(wù)器、數(shù)據(jù)及工作站免受非法入侵的破壞。布式防火墻仍然由中心定義策略,但由各個分布在網(wǎng)絡(luò)中的端點實施這些制定的策略。

分布式防火墻把Internet和內(nèi)部網(wǎng)絡(luò)均視為"不友好的"。它們對個人計算機進行保護的方式如同邊界防火墻對整個網(wǎng)絡(luò)進行保護一樣。對于Web服務(wù)器來說,分布式防火墻進行配置后能夠阻止一些非必要的協(xié)議,如HTTP 和 HTTPS之外的協(xié)議通過,從而阻止了非法入侵的發(fā)生,同時還具有入侵檢測及防護功能。從廣義來講,分布式防火墻是一中新的防火墻體系結(jié)構(gòu),他包含網(wǎng)絡(luò)防火墻、主機防火墻、中心管理等產(chǎn)品。

3.2 防火墻聯(lián)動

隨著人們安全意識的日益提高,防火墻、防病毒、入侵檢測、加密機等安全產(chǎn)品開始被大量部署在網(wǎng)絡(luò)中。由于缺少統(tǒng)一、聯(lián)動的技術(shù),現(xiàn)有安全產(chǎn)品往往各自為政,沒能形成一個統(tǒng)一的整體。為了解決這一問題,防火墻聯(lián)動技術(shù)正漸漸成為網(wǎng)絡(luò)安全領(lǐng)域的一個新興課題,引起眾多專家和安全廠商的關(guān)注。目前,應用范圍較為廣泛的防火墻聯(lián)動方式主要有以下幾種。

(1)與防病毒實現(xiàn)聯(lián)動

病毒對網(wǎng)絡(luò)系統(tǒng)造成了巨大的破壞和威脅,構(gòu)建可靠的網(wǎng)絡(luò)防毒體系是網(wǎng)絡(luò)安全的必要保障。防火墻處于內(nèi)外網(wǎng)絡(luò)信息流的必經(jīng)之地,在網(wǎng)關(guān)一級就對病毒進行查殺,成為網(wǎng)絡(luò)防病毒系統(tǒng)的重要一環(huán)。

(2)與入侵檢測實現(xiàn)聯(lián)動

防火墻與入侵檢測系統(tǒng)聯(lián)動是聯(lián)動體系中重要的一環(huán),這是因為這兩種技術(shù)具有較強的互補性。目前,實現(xiàn)入侵檢測和防火墻之間的聯(lián)動有兩種方式。一種是實現(xiàn)緊密結(jié)合,即把入侵檢測系統(tǒng)嵌入到防火墻中。第二種方式是通過開放接口來實現(xiàn)聯(lián)動。

(3)與日志處理間實現(xiàn)聯(lián)動

防火墻與日志處理之間的聯(lián)動,目前國內(nèi)廠商做的不多。比較有代表性的是Check Point的防火墻,它提供兩個API:LEA(Log Export API)和ELA(Event Logging API),允許第三方訪問日志數(shù)據(jù)。

4結(jié)束語

隨著Internet廣泛應用和計算機科學技術(shù)的不斷發(fā)展,防火墻技術(shù)也在不斷的發(fā)展。但是在網(wǎng)絡(luò)日益嚴峻的今天,光有防火墻技術(shù)是遠遠不夠的,我們還得考慮其他的問題。不過防火墻作為網(wǎng)絡(luò)安全的第一道重要的屏障,如何提高防火墻的防護能力并保證系統(tǒng)的高速有效性將是一個隨網(wǎng)絡(luò)技術(shù)發(fā)展而要不斷研究的課題。

【參考文獻】

[1] 蔡永泉編著.計算機網(wǎng)絡(luò)安全[M].北京:北京航空航天大學出版社,2006.10

[2] 趙安軍,曾應員,徐邦海,常春藤編著.網(wǎng)絡(luò)安全技術(shù)與應用[M].北京:人民郵電出版社,2007.7

[3] 王代潮,曾德超.防火墻技術(shù)的演變及其發(fā)展趨勢分析[J].網(wǎng)絡(luò)安全技術(shù)與應用,2005(07)

防火墻在網(wǎng)絡(luò)中的作用范文第3篇

【關(guān)鍵詞】防火墻;網(wǎng)絡(luò)安全;技術(shù)

0.引言

隨著科學技術(shù)的快速發(fā)展，網(wǎng)絡(luò)技術(shù)的不斷發(fā)展和完善，在當今信息化的社會中，我們生活和工作中的許多數(shù)據(jù)、資源與信息都通過計算機系統(tǒng)來存儲和處理，伴隨著網(wǎng)絡(luò)應用的發(fā)展，這些信息都通過網(wǎng)絡(luò)來傳送、接收和處理，所以計算機網(wǎng)絡(luò)在社會生活中的作用越來越大。為了維護計算機網(wǎng)絡(luò)的安全，人們提出了許多手段和方法，采用防火墻是其中最主要、最核心、最有效的手段之一。防火墻是網(wǎng)絡(luò)安全政策的有機組成部分，它通過控制和監(jiān)測網(wǎng)絡(luò)之間的信息交換和訪問行為來實施對網(wǎng)絡(luò)安全的有效管理。

1.防火墻的分類

防火墻是在內(nèi)部網(wǎng)與外部網(wǎng)之間實施安全防范的系統(tǒng)，它用于保護可信網(wǎng)絡(luò)免受非可信網(wǎng)絡(luò)的威脅，同時，仍允許雙方通信，目前，許多防火墻都用于Internet內(nèi)部網(wǎng)之間，但在任何網(wǎng)間和企業(yè)網(wǎng)內(nèi)部均可使用防火墻。按防火墻發(fā)展的先后順序可分為：包過濾型（PackFilter）防火墻（也叫第一代防火墻）。復合型（Hybrid）防火墻（也叫第二代防火墻）；以及繼復合型之后的第三代防火墻，在第三代防火墻中最具代表性的又：IGA (InternetGatewayAppciance)防毒墻；SonicWall防火墻以及Cink TvustCyberwall等。

按防火墻在網(wǎng)絡(luò)中的位置可分為：邊界防火墻、分布式防火墻。分布式防火墻又包括主機防火墻、網(wǎng)絡(luò)防火墻。按實現(xiàn)手段可分為：硬件防火墻、軟件防火墻以及軟硬兼施的防火墻。

網(wǎng)絡(luò)防火墻技術(shù)是一種用來加強網(wǎng)絡(luò)之間的訪問控制，防止外部網(wǎng)絡(luò)用戶以非法手段通過外部網(wǎng)絡(luò)進入內(nèi)部網(wǎng)絡(luò)訪問內(nèi)部網(wǎng)絡(luò)資源，保護內(nèi)部網(wǎng)絡(luò)操作環(huán)境的特殊網(wǎng)絡(luò)互聯(lián)設(shè)備。它對兩個或多個網(wǎng)絡(luò)之間傳輸?shù)臄?shù)據(jù)包，如鏈接方式，按照一定的安全策略來實施檢查，以決定網(wǎng)絡(luò)之間的通信是否被允許，并監(jiān)視網(wǎng)絡(luò)運行狀態(tài)。

2.防火墻在網(wǎng)絡(luò)安全中的作用

防火墻的作用是防止非法通信和未經(jīng)過授權(quán)的通信進出被保護的網(wǎng)絡(luò)。防火墻的任務(wù)就是從各種端口中辨別判斷從外部不安全網(wǎng)絡(luò)發(fā)送到內(nèi)部安全網(wǎng)絡(luò)中具體的計算機的數(shù)據(jù)是否有害，并盡可能地將有害數(shù)據(jù)丟棄，從而達到初步的網(wǎng)絡(luò)系統(tǒng)安全保障。它還要在計算機網(wǎng)絡(luò)和計算機系統(tǒng)受到危害之前進行報警、攔截和響應。一般通過對內(nèi)部網(wǎng)絡(luò)安裝防火墻和正確配置后都可以達到以下目的：①限制他人進入內(nèi)部網(wǎng)絡(luò)，過濾掉不安全服務(wù)和非法用戶。②防止入侵者接近你的防御設(shè)施。③限定用戶訪問特殊站點。④為監(jiān)視Intemet安全提供方便。

3.防火墻的工作原理

防火墻可以用來控制Internet和Intranet之間所有的數(shù)據(jù)流量。在具體應用中，防火墻是位于被保護網(wǎng)和外部網(wǎng)之間的一組路由器以及配有適當軟件的計算機網(wǎng)絡(luò)的多種組合。防火墻為網(wǎng)絡(luò)安全起到了把關(guān)作用，只允許授權(quán)的通信通過。防火墻是兩個網(wǎng)絡(luò)之間的成分集合，有以下性質(zhì)：①內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間的所有網(wǎng)絡(luò)數(shù)據(jù)流都必須通過防火墻；②只有符合安全策略的數(shù)據(jù)流才能通過防火墻；③防火墻自身應具有非常強的抗攻擊免疫力。一個好的防火墻應具有以下屬性：一是所有的信息都必須通過防火墻；二是只有在受保護網(wǎng)絡(luò)的安全策略中允許的通信才允許通過防火墻；三是記錄通過防火墻的信息內(nèi)容和活動；四是對網(wǎng)絡(luò)攻擊的檢測和告警；五是防火墻本身對各種攻擊免疫。

4.防火墻技術(shù)

防火墻的種類多種多樣，在不同的發(fā)展階段，采用的技術(shù)也各不相同，因而也就產(chǎn)生了不同類型的防火墻。防火墻所采用的技術(shù)主要有：

4.1 屏蔽路由技術(shù)

最簡單和最流行的防火墻形式是“屏蔽路由器”。屏蔽路由器在網(wǎng)絡(luò)層工作（有的還包括傳輸層），采用包過濾或虛電路技術(shù)，包過濾通過檢查每個IP網(wǎng)絡(luò)包，取得其頭信息，一般包括：到達的物理網(wǎng)絡(luò)接口，源IP地址，目標IP地址，傳輸層類型（TCPUDP ICMP），源端口和目的端口。根據(jù)這些信息，判別是否規(guī)則集中的某條目匹配，并對匹配包執(zhí)行規(guī)則中指定的動作（禁止或允許）。

4.2 基于的（也稱應用網(wǎng)關(guān)）防火墻技術(shù)

它通過被配置為“雙宿主網(wǎng)關(guān)”,具有兩個網(wǎng)絡(luò)接口卡，同時接入內(nèi)部和外部網(wǎng)。由于網(wǎng)關(guān)可以與兩個網(wǎng)絡(luò)通信，它是按裝傳遞數(shù)據(jù)軟件的理想位置。這種軟件就稱為“”，通常是為其所提供的服務(wù)定制的。服務(wù)不允許直接與真正的服務(wù)通信，而是與服務(wù)器通信（用戶的默認網(wǎng)關(guān)指向服務(wù)器）。各個應用在用戶和服務(wù)之間處理所有的通信。能夠?qū)νㄟ^它的數(shù)據(jù)進行詳細的審計追蹤，許多專家也認為它更加安全，因為軟件可以根據(jù)防火墻后面的主機的脆弱性來制定，以專門防范已知的攻擊。

4.3 包過濾技術(shù)

系統(tǒng)按照一定的信息過濾規(guī)則，對進出內(nèi)部網(wǎng)絡(luò)的信息進行限制，允許授權(quán)信息通過，而拒絕非授權(quán)信息通過。包過濾防火墻工作在網(wǎng)絡(luò)層和邏輯鏈路層之間。截獲所有流經(jīng)的IP包，從其IP頭、傳輸層協(xié)議頭，甚至應用層協(xié)議數(shù)據(jù)中獲取過濾所需的相關(guān)信息。然后依次按順序與事先設(shè)定的訪問控制規(guī)則進行一一匹配比較，執(zhí)行其相關(guān)的動作。

4.4 動態(tài)防火墻技術(shù)

動態(tài)防火墻技術(shù)是針對靜態(tài)包過濾技術(shù)而提出的一項新技術(shù)。靜態(tài)包過濾技術(shù)局限于過濾基于源及目的的端口，IP地址的輸入輸出業(yè)務(wù)，因而限制了控制能力，并且由于網(wǎng)絡(luò)的所有高位（1024-65 535）端要么開發(fā)，要么關(guān)閉，使網(wǎng)絡(luò)處于很不完全的境地。而動態(tài)防火墻技術(shù)可創(chuàng)建動態(tài)的規(guī)則，使其適應不斷改變的網(wǎng)絡(luò)業(yè)務(wù)量。根據(jù)用戶的不同要求，規(guī)則能被修改并接受或拒絕條件。動態(tài)防火墻為了跟蹤維護連接狀態(tài)，它必須對所有進出的數(shù)據(jù)包進行分析，從其傳輸層，應用層中提取相關(guān)的通訊和應用狀態(tài)信息，根據(jù)其源和目的IP地址，傳輸層協(xié)議和源及目的端口來區(qū)分每一連接，并建立動態(tài)連接表為所有連接存儲其狀態(tài)和上下文信息；同時為檢查后續(xù)通訊。應及時更新這些信息，當連接結(jié)束時，也應及時從連接表中刪除其相應信息。

4.5 一種改進的防火墻技術(shù)（或稱復合型防火墻技術(shù)）

由于過濾型防火墻安全性不高，服務(wù)器型防火墻速度較慢，因而出現(xiàn)了一種綜合上述兩種技術(shù)優(yōu)點的改進型防火墻技術(shù)，它保證了一定的安全性，又使通過它的信息傳輸速度不至于受到太大的影響。對于那些從內(nèi)部網(wǎng)向外部網(wǎng)發(fā)出的請求，由于對內(nèi)部網(wǎng)的威脅不大，因此可直接下載外部網(wǎng)建立連接，對于那些從外部網(wǎng)向內(nèi)部網(wǎng)提出的請求，先要通過包過濾型防火墻，在此經(jīng)過初步安全檢查，兩次檢查確定無疑后可接受其請求，否則，就需要丟棄或作其他處理。

5.防火墻的應用

5.1 硬件防火墻的設(shè)置

下面以思科PIX 501型防火墻為例，設(shè)置如下：要設(shè)置內(nèi)部接口的IP地址，使用如下命令：

PIX1（config）# ip address inside 10.1.1.1 255.0.0.0

PIX1(config)#

現(xiàn)在，設(shè)置外部接口的IP地址：

PIX1（config）# ip address outside 1.1.1 255.255.255.0

PIX1(config)#

下一步，啟動內(nèi)部和外部接口。確認每一個接口的以太網(wǎng)電纜線連接到一臺 交換機。注意，enthernet0接口是外部接口，它在PIX 501防火墻中只是一個10base-T接口。ether-net1接口是內(nèi)部接口，是一個100Base-T接口。下面是啟動這些接口的方法：

PIX1(config)# interface ethernet0 10baset

PIX1(config)# interface ethernet1 100full PIX1（config）#

最后設(shè)置一個默認的路由，這樣，發(fā)送到PIX防火墻的所有的通訊都會流向下一個上行路由器（我們被分配的IP地址是10.76.12.254）：

PIX1（config）#route outside 0 0 10.76.12.254

PIX1(config)#

當然，PIX防火墻也支持動態(tài)路由協(xié)議（如RIP和OSPF協(xié)議）。

現(xiàn)在，我們接著介紹一些更高級的設(shè)置。網(wǎng)絡(luò)地址解析：

由于我們有IP地址連接，我們需要使用網(wǎng)絡(luò)地址解析讓內(nèi)部用戶連接到外部網(wǎng)絡(luò)。我們將使用一種稱作“PAT”或者“NATOver-load”的網(wǎng)絡(luò)地址解析。這樣，所有的內(nèi)部設(shè)備都可以共享一個公共的IP地址（PIX防火墻的外部IP地址）。要做到這一點，請輸入這些命令：

PIX1（config）# nat (inside )1 10.0.0.0 255.0.0.0

PIX1（config）#global(outside) 1 10.1.1.2

Global10.1.1.2 will be PortAddressTranslated

PIX1(config)#

使用這些命令之后，全部內(nèi)部客戶機都可以連接到公共網(wǎng)絡(luò)的設(shè)備和共享IP地址10.1.1.2。然而，客戶機到目前為止還沒有任何規(guī)則允許他們這樣做。

5.2軟件防火墻的設(shè)置以天網(wǎng)、諾頓防火墻為例

5.2.1 天網(wǎng)防火墻（2.60版）

在天網(wǎng)防火墻的主面板上點擊“系統(tǒng)設(shè)置”按鈕，在彈出的“系統(tǒng)設(shè)置”窗口中，點擊“規(guī)則設(shè)定”中的“向?qū)А?，就會彈出設(shè)置向?qū)А?/p>

在“安全級別設(shè)置”對話框中選擇好安全級別（局限網(wǎng)內(nèi)的用戶可以選擇“低”）后再點擊“下一步”按鈕，進入“局限網(wǎng)信息設(shè)置”窗口。勾選“我的電腦在局限網(wǎng)中使用”，軟件便會自動檢測本機的IP地址并顯示在下方。接下來，一路點擊“下一步”按鈕即可完成設(shè)置了。

5.2.2諾頓個人防火墻

在軟件的主界面左側(cè)點擊“Internet區(qū)域控制”選項在右側(cè)窗口進入“信任區(qū)域”選項卡，點擊“添加”按鈕，打開“設(shè)定計算機”對話框。在該對話框中選擇“使用范圍”，然后再下面輸入允許訪問的起始地址和結(jié)束地址即可。

防火墻在網(wǎng)絡(luò)中的作用范文第4篇

關(guān)鍵詞：網(wǎng)絡(luò)防火墻技術(shù)；設(shè)計過程；問題

中圖分類號：TP393.08 文獻標識碼：A文章編號：1007-9599 (2011) 19-0000-01

Network Firewall Technology and Design Process Related Issues

Shi Yang

(Xuzhou Port(Group)Co.,Ltd.Wanzhaigang Branch,Xuzhou221007,China)

Abstract:Network Security in the Information Age is now more and more sectors of society-wide attention and attention as an important security network security network firewall technology in practice more and play a position to defend the security role network security has become the patron saint.This paper analyzes the theory of the strong network of fire safety knowledge and practical experience,lessons and explore the network firewall network firewall design and operation of the process involved in issues related to exploration and research.

Keywords:Network firewall technology;Design process;Problem

一、網(wǎng)絡(luò)防火墻的相關(guān)理論研究

隨著和網(wǎng)絡(luò)時代的到來，網(wǎng)絡(luò)防火墻逐漸成為當前最為重要相關(guān)網(wǎng)絡(luò)的防護手段，英文叫做“Firewall”。隨著信息技術(shù)的不斷發(fā)展，防火墻的過濾和防護機制的設(shè)計從最初的只注重外網(wǎng)的信息通訊防護和檢測，對內(nèi)網(wǎng)傳輸?shù)慕^對信任發(fā)展成為現(xiàn)在的不僅對于外網(wǎng)的通信需要進行有效過濾和排查，也需要對內(nèi)部網(wǎng)絡(luò)用戶發(fā)出的數(shù)據(jù)或者通訊信息進行安全過濾，這樣的設(shè)計和安排符合網(wǎng)絡(luò)防火墻的基本設(shè)計初衷和安全的要求。由此可見，防火墻并不是完全封閉不可透過的，它存在的過濾機制可以讓安全的通訊正常傳輸，而阻止具有破壞性的、危險的通訊，以保護網(wǎng)絡(luò)安全。

網(wǎng)絡(luò)防火墻作為網(wǎng)絡(luò)安全的屏障具有自身特征：首先是網(wǎng)絡(luò)防火墻具有本身堅固的抵御攻擊的免疫能力，這也是防火墻能擔當網(wǎng)絡(luò)安全屏障的前提條件，只有防火墻自身具有完善的可以信任的安全防護系統(tǒng)，才談得上為網(wǎng)絡(luò)提供安全保證；其次，防火墻的工作原理和設(shè)計理念就是只有符合安全設(shè)置的數(shù)據(jù)和信號才能通過防火墻，才能順利傳輸；最后，防火墻是所有信息傳輸?shù)奈ㄒ煌ǖ?，無論是內(nèi)部網(wǎng)絡(luò)還是外部網(wǎng)絡(luò)傳輸?shù)男盘柡蛿?shù)據(jù)都需要經(jīng)過防火墻，這樣防火墻才能起到真正過濾威脅，維護網(wǎng)絡(luò)通信安全的作用。

網(wǎng)絡(luò)防火墻通常情況下從軟硬件的形式上來劃分主要有硬件防火墻和軟件防火墻兩類；從防火墻的技術(shù)職能上來劃分主要可分為“包過濾型”和“應用型”兩大類；如果按防火墻的應用部署位置來劃分主要由邊界防火墻、個人防火墻和混合防火墻三大類；再從防火墻的結(jié)構(gòu)上來劃分主要有單一主機防火墻、路由器集成式防火墻和分布式防火墻三種。不同分類之下的防火墻通過在內(nèi)部和外部網(wǎng)絡(luò)的相關(guān)設(shè)置的檢查點來檢測和控制傳輸?shù)臄?shù)據(jù)和信號，將不同的網(wǎng)絡(luò)隔離開來，互相區(qū)分，以保證內(nèi)部信息和數(shù)據(jù)不會外泄和流失，強化了網(wǎng)絡(luò)安全防護的效果，有效審查網(wǎng)絡(luò)的相關(guān)活動，保證網(wǎng)絡(luò)安全。

二、網(wǎng)絡(luò)防火墻設(shè)計和運行中的相關(guān)問題研究

隨著網(wǎng)絡(luò)防火墻主要技術(shù)的不斷發(fā)展變革，主要包括的技術(shù)有：包過濾，是防火墻最為傳統(tǒng)、最基本的過濾技術(shù)之一；網(wǎng)絡(luò)地址轉(zhuǎn)換（NAT，Network Address Translate）；應用級網(wǎng)關(guān)（服務(wù)器）；電路級網(wǎng)關(guān)技術(shù)是會話層過濾的數(shù)據(jù)包，較之包過濾要高出兩層左右；非軍事化區(qū)（DMZ）在網(wǎng)絡(luò)內(nèi)部設(shè)置公開化的網(wǎng)絡(luò)服務(wù)器設(shè)施，這樣較比其他的防火墻要多一道防護；透明模式也叫做透明技，此技術(shù)使得用戶也意識不到防火墻的存在；郵件轉(zhuǎn)發(fā)技術(shù)使得外部網(wǎng)絡(luò)只知道防火墻的域名或者IP地址，這樣只能將信息和數(shù)據(jù)傳輸?shù)椒阑饓υ谶M行轉(zhuǎn)發(fā)，以實現(xiàn)保護內(nèi)網(wǎng)；堡壘主機經(jīng)常配置相關(guān)網(wǎng)關(guān)服務(wù)，設(shè)置一個監(jiān)測點，使所有內(nèi)網(wǎng)的完全問題集中在一個主機上解決；阻塞路由器和屏蔽路由器，在內(nèi)部網(wǎng)和內(nèi)外網(wǎng)連接中起到防護作用；隔離域名服務(wù)器是可以起到保證受保護網(wǎng)絡(luò)的IP地址不被外部網(wǎng)絡(luò)侵害或者知悉；狀態(tài)監(jiān)視器是最新的防火墻技術(shù)，安全防護的性能最佳，功能最強大。

在網(wǎng)絡(luò)防火墻設(shè)計結(jié)構(gòu)模式的發(fā)展歷程見證了不同時代的防火墻技術(shù)，這里主要介紹屏蔽路由器模式、屏蔽主機模式以及非軍事區(qū)結(jié)構(gòu)模式幾種。

屏蔽主機模式，在發(fā)展的一定階段的時候，防火墻技術(shù)在路由器后增加一道用于進行安全控制點的計算機，眨眼那個可靠的計算，只有侵害透過了路由和堡壘主機才能到達內(nèi)網(wǎng)，加強了安全防護。

屏蔽路由器，較之屏蔽主機模式就略顯單一，也是之前的防火墻技術(shù)不夠完善的表現(xiàn)，這種防護策略是很原始、很單一，只限于在現(xiàn)有的硬件的基礎(chǔ)上實現(xiàn)單一的防護，加之過濾包的過濾，是最簡單的防火技術(shù)原理。

非軍事區(qū)結(jié)構(gòu)，在這個防火墻技術(shù)設(shè)計中，同時存在著兩個防火墻系統(tǒng)，外部防火墻主要負責抵擋來自外部網(wǎng)絡(luò)的侵害和攻擊，內(nèi)部防火墻主要負責管理DMZ對于內(nèi)部網(wǎng)絡(luò)的輸入和訪問。內(nèi)部防火墻是對于內(nèi)部網(wǎng)絡(luò)的除了外部防火墻和堡壘主機之外的第三道安全屏障和防護，當外部防火墻被侵害而失效時，它還可以繼續(xù)起到保護內(nèi)部網(wǎng)絡(luò)安全運行的功能。在這樣涉及到防火墻安全結(jié)構(gòu)里，一個黑客想要進攻內(nèi)網(wǎng)，必須完全通過三個相互獨立的防護區(qū)域（包括外部防火墻、內(nèi)部防火墻和堡壘主機）才能實際到達內(nèi)部局域網(wǎng)展開攻擊。保護的強度和范圍大大加大，網(wǎng)絡(luò)的穩(wěn)定性和安全性也就大大提升，當然，隨之而來的，在這樣的網(wǎng)絡(luò)防火墻結(jié)構(gòu)設(shè)計里，經(jīng)濟成本投入毋庸置疑的也是最大的。

三、結(jié)束語

網(wǎng)絡(luò)信息時代，利用網(wǎng)絡(luò)進行的經(jīng)濟活動和社會生活也越來越廣泛和多樣，帶給人們社會生活的實際影響也就越來越大，因此，如何有效實現(xiàn)網(wǎng)絡(luò)安全也就成為當今時代最為熱點的問題。網(wǎng)絡(luò)防火墻最為有效保護網(wǎng)絡(luò)安全的技術(shù)，需要在實踐里不斷研究探索和發(fā)展完善。在經(jīng)歷了不同時代防火墻技術(shù)的發(fā)展之后，現(xiàn)如今的防火墻技術(shù)已經(jīng)在一定程度上實現(xiàn)了有效保護內(nèi)網(wǎng)安全和穩(wěn)定的目的。但是，未來在具體的設(shè)計網(wǎng)絡(luò)防火墻還是任重道遠的，因而黑客在不斷的進步和技術(shù)更新，自然，網(wǎng)絡(luò)防火墻技術(shù)也相應地需要在網(wǎng)管設(shè)置、技術(shù)更新、屏蔽形式、硬軟件設(shè)置和配備等多方面提升和完善，加大技術(shù)和資金投入，保證未來信息時代網(wǎng)絡(luò)安全運行，為經(jīng)濟生產(chǎn)和社會生活保駕護航。

參考文獻：

防火墻在網(wǎng)絡(luò)中的作用范文第5篇

1防火墻的基本分類

時至今日，防火墻的發(fā)展已經(jīng)經(jīng)歷了一個較長的過程，其發(fā)展歷程可以大致地歸納為：基于硬件技術(shù)的防火墻，最常見的硬件是路由器設(shè)備；以用戶為中心建立的防火墻應用工具；伴隨著計算機操作系統(tǒng)的發(fā)展而逐步建立起來的防火墻技術(shù)，例如在常見的xp、windous7系統(tǒng)中開發(fā)的防火墻工具；擁有安全操作系統(tǒng)的防火墻，比較常見為netscreen。在每個發(fā)展階段都涌現(xiàn)出很多產(chǎn)品，無論這些產(chǎn)品基于何種技術(shù)或者平臺，我們都可以將其總結(jié)為：①按照結(jié)構(gòu)的不同可以將防火墻分為兩類，即路由器和過濾器設(shè)備的組合體系、主機系統(tǒng)；②從工作原理上進行分類，防火墻可以分為四大類，即專業(yè)的硬件防火墻、數(shù)據(jù)包過濾型、電路層網(wǎng)關(guān)和應用級網(wǎng)關(guān)；③按照防火墻在網(wǎng)絡(luò)中的位置來進行分類的話，其可以分為兩種：分布式防火墻和邊界防火墻，其中網(wǎng)絡(luò)系統(tǒng)防火墻以及內(nèi)部網(wǎng)絡(luò)中的主機共同構(gòu)成了前者，④按照防火墻技術(shù)的發(fā)展先后順序，防火墻技術(shù)可以分為：第Ⅰ代防火墻技術(shù)即packfilter。第Ⅱ代防火墻技術(shù)即我們所熟悉的組合式防火墻。第Ⅲ代防火墻技術(shù)即基于第Ⅱ代防火墻技術(shù)所完善改進而成的技術(shù)，例如防毒墻。第Ⅳ代防火墻技術(shù)，例如sonicwall。

2防火墻的主要功能

無論是在外部網(wǎng)絡(luò)中還是內(nèi)部網(wǎng)絡(luò)中，防火墻對于整個網(wǎng)絡(luò)體系的安全防護作用都是至關(guān)重要的，是互聯(lián)網(wǎng)與垃圾信息、病毒文件之間的有效屏障，其主要是保護特定的網(wǎng)絡(luò)或者特定的網(wǎng)絡(luò)中計算機終端免遭非法越權(quán)入侵以及內(nèi)部網(wǎng)中的用戶與外部進行非法通信。如上文所述，防火墻技術(shù)已經(jīng)經(jīng)過了四代的發(fā)展，技術(shù)在不斷完善，但是其工作原理可以歸納為：將防護節(jié)點安置于內(nèi)外部網(wǎng)絡(luò)的鏈接端口，在這些斷口處設(shè)定相關(guān)安全規(guī)則，一旦發(fā)生數(shù)據(jù)傳輸或者訪問，這些數(shù)據(jù)就必須經(jīng)過端口安全規(guī)則的檢測認證，檢測區(qū)是否對網(wǎng)絡(luò)存在安全威脅，如果經(jīng)檢測有害，那么會立即阻斷數(shù)據(jù)傳輸，起到了保護計算機網(wǎng)絡(luò)的目的，與此同時防火墻系統(tǒng)要在網(wǎng)絡(luò)受到攻擊時及時做出警示，提醒計算機用戶以及網(wǎng)絡(luò)安全維護人員不安全信息，終止操作，消除威脅。其中值得注意的是，防火墻的響應時間也是至關(guān)重要的一環(huán)，因為在不同的網(wǎng)絡(luò)之間的數(shù)據(jù)傳輸具有速度快、效率高、數(shù)量大、偽裝性好的特點，因此，在眾多信息中及時甄別出垃圾信息并及時按照既定程序阻斷刪除對于保護網(wǎng)絡(luò)系統(tǒng)安全就顯得尤為重要。防火墻的主要功能如圖2所示。

3防火墻的主要應用