前言：想要寫出一篇令人眼前一亮的文章嗎？我們特意為您整理了5篇防火墻技術范文，相信會為您的寫作帶來幫助，發現更多的寫作思路和靈感。

防火墻技術范文第1篇

隨著計算機和網絡在社會中的應用的不斷增多，計算機和網絡安壘技術正變得越來越重要，部門能夠使用的安全設備和軟件的不斷增多，大量數據紛紛涌人事件日志，致使網絡管理員的工作難度越來越高，負擔越來越重。

二、防火墻技術

防火墻是一個由軟件和硬件設備組合而成，在網絡之間實施訪問控制的一個系統，通過執行訪問控制策略，限制兩個網絡之間數據的自由流動，通過控制和檢測網絡之間的信息交換和訪問行為實現對網絡安全的有效管理。

網絡防火墻是加強網絡之間訪問控制的設備，防止外部網絡用戶以非法手段通過外部網絡進人內部網絡，訪問內部網絡資源，保護內部網絡操作環境的特殊網絡互聯設備。它對兩個或多個網絡之間傳輸的數據包如鏈接方式按照一定的安全策略來實施檢查，以決定網絡之間的通信是否被允許，并監視網絡運行狀態。

1.防火墻一般有三個特性：

所有的通信都經過防火墻

防火墻只放行經過授權的網絡流量

防火墻能經受的住對其本身的攻擊

我們可以看成防火墻是在可信任網絡和不可信任網絡之間的一個緩沖，防火墻可以是一臺有訪問控制策略的路由器(Route+ACL)，一臺多個網絡接口的計算機，服務器等，被配置成保護指定網絡，使其免受來自于非信任網絡區域的某些協議與服務的影響。所以一般情況下防火墻都位于網絡的邊界，例如保護企業網絡的防火墻，將部署在內部網絡到外部網絡的核心區域上。

2.防火墻將保護以下三個主要方面的風險：

機密性的風險

數據完整性的風險

用性的風險

3.防火墻的主要優點如下：

防火墻可以通過執行訪問控制策略而保護整個網絡的安壘，并且可以將通信約束在一個可管理和可靠性高的范圍之內。

防火墻可以限制某些特殊服務的訪問。

防火墻功能單一，不需要在安全性、可用性和功能上做取舍。

防火墻有審記和報警功能，有足夠的日志空間和記錄功能，可以延長安全響應的周期。

4.防火墻也有許多弱點：

不能防御已經授權的訪問，以及存在于網絡內部系統間的攻擊。

不能防御合法用戶惡意的攻擊，以及社交攻擊等非預期的威脅。

不能修復脆弱的管理措施和存在問題的安全策略。

不能防御不經過防火墻的攻擊和威脅。

5.根據防火墻所采用的技術不同，我們可以將它分為四種基本類型：包過濾型、網絡地址轉換一NAT、型和監測型。

包過濾型

包過濾型產品是防火墻的初級產品，其技術依據是網絡中的分包傳輸技術。包過濾技術的優點是簡單、實用和成本較低，在應用環境比較簡單的情況下，能夠以較小的代價在一定程度上保證系統的安全。

包過濾技術也有明顯的缺陷。包過濾技術是一種完全基于網絡層的安全技術，只能根據數據包的來源、目標和端口等網絡信息進行判斷，無法識別基于應用層的惡意侵人，如惡意的Java小程序以及電子郵件中附帶的病毒。有經驗的黑客很容易偽造IP地址，騙過包過濾型防火墻。

網絡地址轉化―NAT

網絡地址轉換是一種用于把IP地址轉換成臨時的、外部的、注冊的IP地址標準。它允許具有私有IP地址的內部網絡訪問因特網。它還意味著用戶不許要為其網絡中每一臺機器取得注冊的IP地址。

型

型防火墻也可以被稱為服務器，它的安全性要高于包過濾型產品，并已經開始向應用層發展。服務器位于客戶機與服務器之間，完全阻擋了二者間的數據交流。其優點是安壘性較高，可以針對應用層進行偵測和掃描，對付基于應用層的侵入和病毒都十分有效。缺點是對系統的整體性能有較大的影響，而且服務器必須針對客戶機可能產生的所有應用類型逐一進行設置，大大增加了系統管理的復雜性。

監測型

監測型防火墻能夠對各層的數據進行主動的、實時的監測，在對這些數據加以分析的基礎上，監測型防火墻能夠有效地判斷出各層中的非法侵入。監測型防火墻不僅超越了傳統防火墻的定義，而且在安全性上也超越了前兩代產品。

監測型防火墻由于實現成本較高，也不易管理，所以目前在實用中的防火墻產品仍然以第二代型產品為主，但在某些方面也已經開始使用監測型防火墻：基于對系統成本與安全技術成本的綜合考慮，用戶可以選擇性地使用某些監測型技術。這樣既能夠保證網絡系統的安壘性需求，同時也能有效地控制安全系統的總擁有成本。

6.防火墻的不足

雖然防火墻是目前保護網絡免遭黑客襲擊的有效手段，但也有明顯不足：無法防范通過防火墻以外的其它途徑的攻擊，不能防止來自內部變節者和不經心的用戶們帶來的威脅，也不能完全防止傳送已感染病毒的軟件或文伴，以及無法防范數據驅動型的攻擊。

這樣各單位均通過其他手段進行安全強化，如：入侵監測、殺毒軟件、網絡監控、網絡認證等。

雖然從理論上看，防火墻處于網絡安全的最底層，負責網絡間的安全認證與傳輸，但隨著網絡安全技術的整體發展和網絡應用的不斷變化，現代防火墻技術已經逐步走向網絡層之外的其他安全層次。不僅要完成傳統防火墻的過濾任務，同時還能為各種網絡應用提供相應的安全服務。另外還有多種防火墻產品正朝著數據安全與用戶認證、防止病毒與黑客侵入等方向發展。

防火墻技術范文第2篇

關鍵詞：防火墻；包過濾；自適應；分布式防火墻

中圖分類號：TP309.5文獻標識碼：A文章編號：1009-3044(2010)20-5444-02

1 防火墻及其發展

1.1 防火墻的定義

防火墻的本義原是指古代人們之間修建的那道墻，這道墻可以防止火災發生的時候蔓延到別的房屋。而這里所說的防火墻是指設置在不同網絡（如可信任的企業內部網和不可信的公共網）或網絡安全域之間的一系列部件的組合。它是不同網絡或網絡安全域之間信息的唯一出入口，能根據企業的安全政策控制（允許、拒絕、檢測）出入網絡的信息流，且本身具有較強的抗攻擊能力。

1.2 防火墻的工作原理

所有的防火墻都具有IP地址過濾功能。這項任務要檢查 IP包頭，根據其IP源地址和目標地址和目標地址作出放行/丟棄決定。例如：兩個網段之間隔了一個防火墻，防火墻的一端有臺UNIX計算機，另一邊的網段則擺了臺PC客戶機。當PC客戶機向UNIX計算機發起telnet請求時，PC的telnet客戶程序就產生一個TCP包并把它傳給本地的協議棧準備發送。接下來，協議棧將這個TCP包“塞”到一個IP包里，然后通過PC機的TCP/IP棧所定義的路徑將它發送給UNIX計算機。防火墻的目的和功能通常應用防火墻的目的有一下幾個方面：限制他人進入內部網絡；過濾掉不安全的服務和非法；防止入侵者接近用戶的防御設施；限定人們訪問特殊站點；為監視局域網安全特工方便。

一般來說，防火墻具有以下幾種功能：1）可以很方便地監視網絡的安全性，并報警；2）允許網絡管理員定義一個中心點來防止非法用戶進入內部網絡；3）利用NAT技術，可以作為部署NAT的地點，將有限的IP地址動態或靜態地與內部IP地址對應起來，用來緩解空間短缺的問題。網絡管理員可以在此向管理部門提供Internet連接的費用情況，查出潛在的帶寬瓶頸位置，并能夠依據本機構的核算模式地宮部門級的計算。

2 防火墻技術

防火墻的安全技術包括過濾技術、技術、網絡地址轉換―NAT技術、分布式防火墻技術等。

2.1 包過濾防火墻數據

包過濾防火墻（Proxy）技術是防火墻為系統提供安全保障的主要技術，它通過設備對進出網絡的數據流進行有選擇的控制和操作。包過濾操作可以在路由器上進行，也可以在網橋，甚至在一個單獨的主機上進行。數據包過濾是一個網絡安全保護機制，它通過控制存在與某一網段的網絡流量類型來控制流出和流入網絡的數據，包過濾可以控制存在于某一網段的服務方式。不符合網絡安全的那些服務將被嚴格限制。

包過濾的缺點：1）一些應用協議不要合適于數據包過濾；2）不能徹底防止地址欺騙；3）數據包工具存在很多局限性包過濾防火墻技術有一定的優點，但包過濾畢竟是第一代防火墻技術，本身存在較多缺陷，不能提供較高的安全性。在實際應用中，現在很少把包過濾技術當作單獨的安全解決方案，而是把它與其他防火墻技術揉合在一起使用。

2.2 防火墻

防火墻是一種針對特定的用戶層協議，它工作于應用層。防火墻能在用戶層和應用協議層提供訪問控制，是通過編程來弄清用戶應用層的流量。服務器作為內部網絡客戶端的服務器，攔截住所有要求，也向客戶端轉發響應?？蛻簦╬roxy client）負責內部客戶端向外部服務器發出請求，當然也向服務器轉發響應。

技術的缺點：1）對用戶不透明；2）服務通常要求對客戶、過程之一或兩者進行限制；3）對于每項服務可能要求不同的服務器；4）速度較路由器慢。

2.3 分布式防火墻

分布式防火墻負責對網絡邊界、各子網和網絡內部各節點之間的安全防護，所以"分布式防火墻"是一個完整的系統，而不是單一的產品。

分布式防火墻的組成部分根據其所需完成的功能，新的防火墻體系結構包含如下部分：1）中心管理（Central Management）：這是一個防火墻服務器管理軟件，負責總體安全策略的策劃、管理、分發及日志的匯總；2）主機防火墻（Host Firewall）：它是用于內部網與外部網之間，以及內部網各子網之間的防護；3）網絡防火墻（Network Firewall）：它是用于內部網與外部網之間，以及內部網各子網之間的防護。后者區別于前者的一個特征是需要支持內部網可能有的IP和非IP協議。

4 結束語

未來防火墻技術會全面考慮操作系統的安全、網絡安全、數據的安全、應用程序的安全、用戶的安全，五者綜合應用。與此同時，網絡的防火墻產品還將把網絡前沿技術，如Web頁面超高速緩存、虛擬網絡和帶寬管理等其自身結合起來。

參考文獻：

[1] 董立軍,李立明,李峰.計算機網絡安全技術[M].北京:中國水利水電出版社,2006.

[2] 楚狂.網絡安全與防火墻技術[M].北京:人民政電出版社,2008.

防火墻技術范文第3篇

關鍵詞：防火墻；包過濾；服務器；狀態檢測

中圖分類號：TP393文獻標識碼：A文章編號：1009-3044(2007)04-10942-01

1 引言

近年來，計算機網絡在全球得到了迅速的發展，其應用涉及到社會的各個領域，人們的諸多活動也越來越依賴于網絡。然而，網絡并非是安全的，由于網絡本身存在的安全缺陷，再加上黑客攻擊、病毒傳播以及各種各樣的威脅日益增多，使得網絡的安全防線十分脆弱。為了確保網絡系統的安全，目前人們研究并使用了多種安全防護措施，防火墻技術就是其中非常重要的一種防御手段。

2 防火墻的概念

防火墻是建立在內部網絡和外部網絡邊界上的一種網絡安全檢測系統，它可以記錄進出網絡的數據傳輸，并且能根據已經制定好的安全策略，決定是否允許數據流通過。其目的是要防止未經授權的通信進出被保護的內部網絡，通過邊界控制來強化內部網絡的安全政策。在這里內部網絡被認為是安全和可信賴的，外部網絡通常指的是Internet，被認為是不安全的和不可信賴的。

一般來說，防火墻都具有以下這些功能：一是限制來自網絡外部的訪問，過濾掉不安全的服務和非法用戶，保護內部網絡資源不受外部的入侵；二是提供集中管理方式，即將所有的安全軟件配置在防火墻上來保護內部網絡；三是盡可能對外隱藏內部網絡的數據、結構和運行狀況；四是能完整地記錄網絡訪問情況，一旦網絡發生了入侵或者遭到破壞，就可以通過對日志進行審計和查詢以獲得相關信息。

防火墻作為內部和外部網絡之間的一道屏障，兩種網絡之間的接口，必須滿足以下幾點才可以起作用：所有進出被保護網絡的通信都應該通過防火墻；所有通過防火墻的通信必須經過安全策略的過濾或者防火墻的授權；理論上講，防火墻本身是不可進入的。

3 防火墻的關鍵技術

3.1 包過濾技術

包過濾(Packet Filter)技術又稱為靜態數據包過濾，是最早出現的防火墻技術，雖然防火墻技術發展到現在提出了很多新的理念，但是包過濾仍然是防火墻為系統提供安全保障的主要技術，它可以阻擋攻擊，禁止外部/內部訪問某些站點以及限制單個IP地址的流量和連接數。包過濾技術的原理是在網絡層中依據過濾規則和包頭信息選擇性地轉發或阻斷數據包。用戶可以根據自身的安全需求制定相關的規則，這些規則存儲在包過濾設備的端口中，當數據包到達端口時，防火墻會依據這些過濾規則，獨立地審查每個數據包的包頭，根據數據包的源地址、目的地址、所使用的TCP或UDP端口、包頭中的各種標志位及用來傳送數據包的協議等因素來確定是允許該數據包通過還是刪除該數據包。

包過濾技術的優點是簡單實用，處理速度快，而且它對于用戶來說是透明的，合法用戶在進出網絡時，根本感覺不到它的存在。同時，包過濾技術的缺陷也很明顯的：一是安全性低，一般的包過濾防火墻對數據包數據內容不做任何檢查，只檢查數據包頭信息，無法徹底防止地址欺騙；二是過濾規則很難配置，規則之間會存在沖突或漏洞，檢查起來相對困難；三是缺少日志功能，當系統被滲入或被攻擊時，很難得到大量的有用信息。

3.2 服務器技術

服務器(Proxy Server)在網絡應用層提供授權檢查，并且在內部用戶與外部主機進行信息交換時起到中間轉發作用。當內部客戶機要使用外部服務器的數據時會向其發出訪問請求，服務器接收到該請求后會檢查其是否符合規定，如果規則允許，服務器會修改數據包中的IP地址，然后發送給外部服務器，此時會認為是服務器發送訪問請求；同樣外部服務器返回的數據包會經過服務器的檢測，得到允許后轉發給發送請求的客戶機。服務器運行在兩個網絡之間，對于客戶機來說像是一臺真的服務器，對于外界的服務器來說它又是一臺客戶機。由于每個內外網絡之間的連接都要經過服務器的介入和轉換，因此沒有給內外網絡的計算機以任何直接會話的機會，從而確保內部網絡安全。

服務器的優點是有安全性好，能有效隔離內外網的直接通信，實施較強的數據流監控、過濾和日志功能。但是它也存在一些缺陷，首先它會使訪問速度變慢，因為進出網絡的每次通信都必須經過，而服務都要消耗一定的時間；其次，對于每一種應用服務都必須為其設計一個專門的軟件模塊來進行安

全控制，而且，并不是所有的互聯網應用軟件都可以使用服務。

3.3 狀態檢測技術

狀態檢測(Stateful Inspection)防火墻又叫做動態包過濾防火墻，是在傳統包過濾技術的基礎上進行改進的結果，傳統包過濾技術只能檢查單個的數據包并且安全規則是靜態的，而狀態檢測防火墻可以將前后數據包的上下文聯系起來，根據過去的通信信息和其他應用程序獲得的狀態信息動態生成過濾規則，并根據此規則過濾新的通信。而新的通信結束后新生成的過濾規則將自動從規則表中刪除。

狀態檢測防火墻的理論基礎是使用客戶機/服務器模式進行的連接具有連接狀態，最典型的是TCP連接，TCP連接必須經過3次握手，在這些不同的階段中其狀態是不一樣的，而狀態的轉換又有著其規律，因此防火墻通過TCP包頭的標志位就可以確定連接處于何種狀態，一旦發現所發送包和狀態不符，就可認為是狀態異常的包進行拒絕，而不必對IP地址或TCP端口進行檢查。

狀態檢測防火墻中有一個規則集和一個狀態表(State Table)。狀態表中保留著當前活動的合法連接，它的內容是動態變化的。當防火墻接收到初始化TCP連接的數據包時，會根據事先設定的靜態規則集對此數據包進行檢查，如果在檢查所有的規則之后，該數據包都沒有被允許通過，那么拒絕此次連接。如果該數據包被接受，則在狀態表中記錄下該連接的相關信息。對于隨后的數據包，就將其與狀態表里紀錄的連接內容進行比較，如果狀態表中存在此會話而且數據包狀態正確，則接受此數據包，否則丟棄。

這種方式的好處在于：不是每個數據包都要和安全規則比較，只有在新的請求連接的數據包到來時才進行安全檢查，從而提高了系統的性能；而且狀態表是動態的，保存了數據包的狀態信息，安全性高。

4 防火墻的局限性

雖然防火墻能夠提高網絡的安全性，但它并不是全能的，它也具有一定的局限性：

4.1 防火墻不能防范不通過它的連接。

防火墻一般位于內部網絡的邊界上，監控所有通過它的通信，如果信息能夠通過無線接入技術或撥號訪問等方式繞過防火墻進出網絡，那么防火墻就沒有任何用處。

4.2 防火墻不能防范全部的威脅。

防火墻是在已知的攻擊模式下制定相應的安全策略的，因此能夠防范已知的威脅，對于全新的攻擊方式則難以有效。

4.3 防火墻不能防止感染了病毒的軟件或文件的傳輸。

雖然很多防火墻都會對通過的所有數據包進行安全檢測，已決定是否允許其通過，但一般只會檢查數據包的包頭部分，對數據包的具體內容不太關心。即使是最先進的數據包過濾，在病毒防范上也是不適用的，因為病毒的種類太多，操作系統也有多種，而且有很多方法可以將病毒在數據中隱藏起來，因此不能期望防火墻能替代殺毒軟件。要解決病毒問題還必須在每臺主機上安裝專門的殺病毒軟件。

4.4 防火墻不能防范內部用戶的惡意行為。

由于內部用戶進行的偷竊數據或其它破壞行為都處于網絡內部，其各種信息均不通過防火墻，因此防火墻無法阻止。

5 防火墻的發展方向

隨著網絡技術的發展，黑客攻擊、惡意軟件及病毒等各種安全威脅的進一步升級，促使防火墻也在不斷發展。

5.1 目前的防火墻采取數據匹配檢查的方法，安全性越高，需要的計算量就越大，效率也就隨之降低。未來的防火墻要求是高安全性和高效率的統一。使用專門的芯片負責訪問控制功能，設計新的防火墻的技術構架是未來防火墻的方向。

5.2 分布式防火墻。當前的防火墻一般都是邊界防火墻，只能監控通過防火墻的數據，并且認為內部網絡是絕對安全的。然而事實并非如此，網絡上的很多災難常常是由內部用戶的無意或惡意行為造成的，于是提出了分布式防火墻的概念。分布式防火墻是一種全新的防火墻體系結構，包括網絡防火墻、主機防火墻和中心管理三個部分，對網絡邊界、各子網和網絡內部各節點之間的進行安全防護。這種方式加強了對內部網絡的監控，構建了一個全方位的保護體系。

5.3 聯動防火墻?；诜阑饓Ρ旧淼木窒扌砸约捌渌踩夹g的成熟應用，出現了聯動防火墻的概念。將防火墻同其他安全設備進行整合，充分發揮各自的優勢，協同配合，架構起立體的安全防范體系。例如將防火墻與防病毒產品聯動，可以在網關處對病毒進行查殺，將病毒阻擋在網絡之外。此外防火墻與入侵監測系統的聯動也是非常重要的，因為兩種技術有很強的互補性。

5.4 智能防火墻。智能防火墻是利用統計、記憶、概率和決策的智能方法來對數據進行識別，并達到訪問控制的目的。新的數學方法，消除了匹配檢查所需要的海量計算，高效發現網絡行為的特征值，直接進行訪問控制。智能防火墻能解決普遍存在的拒絕服務攻擊（DDOS）的問題，病毒傳播的問題和高級應用入侵的行為，比傳統的防火墻更安全，效率更高。

6 結束語

防火墻是網絡安全的屏障，能有效地提高網絡的安全性，但不要將網絡安全單純的依賴于防火墻，它僅是全面的安全策略中的一個重要組成部分，應該和防病毒、入侵檢測、數據加密、身份認證等安全防護技術結合起來，共同建立一個有效的安全防范體系。

參考文獻：

[1]黎連業,張維,向東明.防火墻及其應用技術[M].北京:清華大學出版社,2004.7.

[2]胡道元,閔京華.網絡安全[M].北京:清華大學出版社,2004.1.

[3]陳天洲,陳純,谷小妮.計算機安全策略[M].浙江大學出版社,2004.8.

防火墻技術范文第4篇

關鍵詞：網絡安全；防火墻

1從軟、硬件形式上分

如果從防火墻的軟、硬件形式來分的話，防火墻可以分為軟件防火墻和硬件防火墻以及芯片級防火墻。

（1）軟件防火墻。

軟件防火墻運行于特定的計算機上，它需要客戶預先安裝好的計算機操作系統的支持，一般來說這臺計算機就是整個網絡的網關。俗稱“個人防火墻”。軟件防火墻就像其它的軟件產品一樣需要先在計算機上安裝并做好配置才可以使用。防火墻廠商中做網絡版軟件防火墻最出名的莫過于Checkpoint。使用這類防火墻，需要網管對所工作的操作系統平臺比較熟悉。

（2）硬件防火墻。

這里說的硬件防火墻是指“所謂的硬件防火墻”。之所以加上“所謂”二字是針對芯片級防火墻說的了。它們最大的差別在于是否基于專用的硬件平臺。目前市場上大多數防火墻都是這種所謂的硬件防火墻，他們都基于PC架構，就是說，它們和普通的家庭用的PC沒有太大區別。在這些PC架構計算機上運行一些經過裁剪和簡化的操作系統，最常用的有老版本的Unix、Linux和FreeBSD系統。值得注意的是，由于此類防火墻采用的依然是別人的內核，因此依然會受到OS（操作系統）本身的安全性影響。

（3）芯片級防火墻。

芯片級防火墻基于專門的硬件平臺，沒有操作系統。專有的ASIC芯片促使它們比其他種類的防火墻速度更快，處理能力更強，性能更高。做這類防火墻最出名的廠商有NetScreen、FortiNet、Cisco等。這類防火墻由于是專用OS（操作系統），因此防火墻本身的漏洞比較少，不過價格相對比較高昂。

2從防火墻技術分

防火墻技術雖然出現了許多，但總體來講可分為“包過濾型”和“應用型”兩大類。前者以以色列的Checkpoint防火墻和美國Cisco公司的PIX防火墻為代表，后者以美國NAI公司的Gauntlet防火墻為代表。

（1）包過濾（Packetfiltering）型。

包過濾方式是一種通用、廉價和有效的安全手段。之所以通用，是因為它不是針對各個具體的網絡服務采取特殊的處理方式，適用于所有網絡服務；之所以廉價，是因為大多數路由器都提供數據包過濾功能，所以這類防火墻多數是由路由器集成的；之所以有效，是因為它能很大程度上滿足了絕大多數企業安全要求。

在整個防火墻技術的發展過程中，包過濾技術出現了兩種不同版本，稱為“第一代靜態包過濾”和“第二代動態包過濾”。

包過濾方式的優點是不用改動客戶機和主機上的應用程序，因為它工作在網絡層和傳輸層，與應用層無關。但其弱點也是明顯的：過濾判別的依據只是網絡層和傳輸層的有限信息，因而各種安全要求不可能充分滿足；在許多過濾器中，過濾規則的數目是有限制的，且隨著規則數目的增加，性能會受到很大地影響；由于缺少上下文關聯信息，不能有效地過濾如UDP、RPC（遠程過程調用）一類的協議；另外，大多數過濾器中缺少審計和報警機制，它只能依據包頭信息，而不能對用戶身份進行驗證，很容易受到“地址欺騙型”攻擊。對安全管理人員素質要求高，建立安全規則時，必須對協議本身及其在不同應用程序中的作用有較深入的理解。因此，過濾器通常是和應用網關配合使用，共同組成防火墻系統。

（2）應用（ApplicationProxy）型。

應用型防火墻是工作在OSI的最高層，即應用層。其特點是完全“阻隔”了網絡通信流，通過對每種應用服務編制專門的程序，實現監視和控制應用層通信流的作用。其典型網絡結構如圖所示。

在型防火墻技術的發展過程中，它也經歷了兩個不同的版本：第一代應用網關型防火和第二代自適應防火墻。

類型防火墻的最突出的優點就是安全。由于它工作于最高層，所以它可以對網絡中任何一層數據通信進行篩選保護，而不是像包過濾那樣，只是對網絡層的數據進行過濾。

另外型防火墻采取是一種機制，它可以為每一種應用服務建立一個專門的，所以內外部網絡之間的通信不是直接的，而都需先經過服務器審核，通過后再由服務器代為連接，根本沒有給內、外部網絡計算機任何直接會話的機會，從而避免了入侵者使用數據驅動類型的攻擊方式入侵內部網。

防火墻的最大缺點是速度相對比較慢，當用戶對內外部網絡網關的吞吐量要求比較高時，防火墻就會成為內外部網絡之間的瓶頸。那因為防火墻需要為不同的網絡服務建立專門的服務，在自己的程序為內、外部網絡用戶建立連接時需要時間，所以給系統性能帶來了一些負面影響，但通常不會很明顯。

3從防火墻結構分

從防火墻結構上分，防火墻主要有：單一主機防火墻、路由器集成式防火墻和分布式防火墻三種。

單一主機防火墻是最為傳統的防火墻，獨立于其它網絡設備，它位于網絡邊界。

這種防火墻其實與一臺計算機結構差不多（如下圖），同樣包括CPU、內存、硬盤等基本組件，主板更是不能少的，且主板上也有南、北橋芯片。它與一般計算機最主要的區別就是一般防火墻都集成了兩個以上的以太網卡，因為它需要連接一個以上的內、外部網絡。其中的硬盤就是用來存儲防火墻所用的基本程序，如包過濾程序和服務器程序等，有的防火墻還把日志記錄也記錄在此硬盤上。雖然如此，但我們不能說它就與我們平常的PC機一樣，因為它的工作性質，決定了它要具備非常高的穩定性、實用性，具備非常高的系統吞吐性能。正因如此，看似與PC機差不多的配置，價格甚遠。

隨著防火墻技術的發展及應用需求的提高，原來作為單一主機的防火墻現在已發生了許多變化。最明顯的變化就是現在許多中、高檔的路由器中已集成了防火墻功能，還有的防火墻已不再是一個獨立的硬件實體，而是由多個軟、硬件組成的系統，這種防火墻，俗稱“分布式防火墻”。

原來單一主機的防火墻由于價格非常昂貴，僅有少數大型企業才能承受得起，為了降低企業網絡投資，現在許多中、高檔路由器中集成了防火墻功能。如CiscoIOS防火墻系列。但這種防火墻通常是較低級的包過濾型。這樣企業就不用再同時購買路由器和防火墻，大大降低了網絡設備購買成本。

分布式防火墻再也不只是位于網絡邊界，而是滲透于網絡的每一臺主機，對整個內部網絡的主機實施保護。在網絡服務器中，通常會安裝一個用于防火墻系統管理軟件，在服務器及各主機上安裝有集成網卡功能的PCI防火墻卡，這樣一塊防火墻卡同時兼有網卡和防火墻的雙重功能。這樣一個防火墻系統就可以徹底保護內部網絡。各主機把任何其它主機發送的通信連接都視為“不可信”的，都需要嚴格過濾。而不是傳統邊界防火墻那樣，僅對外部網絡發出的通信請求“不信任”。

4按防火墻的應用部署位置分

按防火墻的應用部署位置分，可以分為邊界防火墻、個人防火墻和混合防火墻三大類。

邊界防火墻是最為傳統的，它們于內、外部網絡的邊界，所起的作用的對內、外部網絡實施隔離，保護邊界內部網絡。這類防火墻一般都屬于硬件類型，價格較貴，性能較好。

個人防火墻安裝于單臺主機中，防護的也只是單臺主機。這類防火墻應用于廣大的個人用戶，通常為軟件防火墻，價格最便宜，性能也最差。

混合式防火墻可以說就是“分布式防火墻”或者“嵌入式防火墻”，它是一整套防火墻系統，由若干個軟、硬件組件組成，分布于內、外部網絡邊界和內部各主機之間，既對內、外部網絡之間通信進行過濾，又對網絡內部各主機間的通信進行過濾。它屬于最新的防火墻技術之一，性能最好，價格也最貴。

5按防火墻性能分

按防火墻的性能來分可以分為百兆級防火墻和千兆級防火墻兩類。

因為防火墻通常位于網絡邊界，所以不可能只是十兆級的。這主要是指防火的通道帶寬（Bandwidth），或者說是吞吐率。當然通道帶寬越寬，性能越高，這樣的防火墻因包過濾或應用所產生的延時也越小，對整個網絡通信性能的影響也就越小。

雖然防火墻是目前保護網絡免遭黑客襲擊的有效手段，但也有明顯不足：無法防范通過防火墻以外的其它途徑的攻擊，不能防止來自內部變節者和不經心的用戶們帶來的威脅，也不能完全防止傳送已感染病毒的軟件或文件，以及無法防范數據驅動型的攻擊。

參考文獻

［1］孫建華等.網絡系統管理-Linux實訓篇［M］.北京：人民郵電出版社，2003，（10）.

防火墻技術范文第5篇

關鍵詞：網絡安全 防火墻 網絡處理器

Abstract：Personal transparent firewall can protect personal computer from being attacked and avoid that personal data is stilled。 Because small volume and used easily， it will be adopted for net protection。

Key words：Network security Firewall Network processor

前言

隨著計算器的普及，尤其網絡的普及，人們習慣使用個人計算機、智能終端處理、保存日常工作、生活的信息或資料。最近我國首個個人信息保護專項的國家標準《信息安全技術公共及商用服務信息系統個人信息保護指南》已完成，正在報批【1】?！皞€人信息保護”國家標準將有利于人們重視個人信息安全問題。絕大數用戶忽視信息安全，停留于計算機病毒、木馬程序的概念，對黑客的能力一無所知。由于個人計算機和智能終端具有網絡通信和更新程序的功能，黑客可以通過操作系統或應用軟件的漏洞或后門對個人計算機或智能終端進行攻擊并埋下黑客軟件，或者利用用戶的好奇或無知在網上傳播黑客軟件。常聽到的黑客軟件主要是獲取賬號密碼。但不被人知道的黑客軟件更為可怕，它可能專門攻擊某個人使其個人計算機或智能終端的數據完全暴露在他的眼下。

不管是否安裝殺毒防毒軟件，只要運行網絡監測程序就可以發現許多網絡連接或網絡通信?？梢哉f由于黑客攻擊的多樣性，安裝在個人計算機上的殺毒軟件只能降低黑客的可能性，難以抵擋黑客的入侵，對有針對性的黑客的所作所為無動于衷。

雖然大部分單位會在互聯網接入口安裝企業級防火墻，但由于它僅防止來自互聯網的已知攻擊或人們熟知的攻擊，對內網基本上不具備防范能力。

因此，為阻止黑客的入侵或攻擊，防止黑客獲取數據，最有效辦法是在個人計算機外增加個人硬件防火墻。本文將介紹個人硬件透明防火墻。

1、透明防火墻

網絡安全技術中最常用是防火墻技術，通過網絡訪問控制策略抵御外部攻擊。通常人們把使用防火墻技術僅用于抵御外網入侵的計算器稱為硬件防火墻，應用在個人計算器上的防火墻技術稱為軟件防火墻。目前防火墻已經成為計算器操作系統的一個組成部分，軟件防火墻的概念已成為歷史。

透明防火墻是一種專用網絡安全設備，它具有防火墻的各種功能，它特別之處是不影響網絡的拓撲結構，在網絡外側不能發現它的存在，黑客不可能對它發動攻擊。透明防火墻具有更高的智能程度，在黑客攻擊過程仍確保主機的運行。透明防火墻是單主機專用很容易判斷主機通信是否合理，因而能避免信息泄漏或削弱隱藏在主機的黑客軟件的活動能力。

2、硬件結構

個人透明防火墻是專門為個人計算機設計的透明防火墻，要求使用方便、便于攜帶。因此，個人透明防火墻硬件結構緊湊，外表看有兩個網絡口，好像一個網絡聯機器，用戶只要把個人透明防火墻串在網在線，即一個網絡接口與計算機的網口連接，另一個與網絡連接，再通過usb接口向個人透明防火墻提供電源，個人透明防火墻就開始工作。

個人透明防火墻內部由繼承網口的網絡處理器以及支持網絡處理器工作的DDR RAM和NAND FLASH組成。嚴格意義上個人透明防火墻是一個高度智能化的網橋。

3、透明防火墻算法

防火墻技術必須在操作系統的核心態實現。利用開源操作系統實現硬件防火墻具有較高的安全性，Linux是真正的開源操作系統，因此大部分硬件防火墻選用Linux操作系統。操作系統實現防火墻技術是在網絡處理過程設立監控點，通過訪問策略決定信息包的去留。在Linux內核中為實現防火墻功能增加網絡過濾的鉤子函數NF_HOOK。即，在網絡信息處理過程中可利用內核其他功能或其他內核模塊的其他功能提高網絡的安全性。Linux內核為arp、bridge、decnet、ipv4、ipv6等網絡通信定義了標識，對應為NFPROTO_ARP、NFPROTO_BRIDGE、NFPROTO_DECNET、NFPROTO_IPV4、NFPROTO_IPV6。根據處理位置定義了5個標識PRE_ROUTING、LOCAL_IN、FORWARD、LOCAL_OUT、POST_ROUTING。在Linux的netfilter中已經實現包過濾的防火墻算法，并結合iptables實現防火墻功能。大部分硬件防火墻就是利用Linux的netfilter和iptables實現的。

但要求非計算器專業人士直接使用iptables進行設置是難度極高的，而且iptables采用鏈表方式，在鏈表較長的情況下運行效率比較低，所以直接使用iptables作為透明防火墻效果一般；雖然linux已為ipv6設置NF_HOOK，但iptables并不真正支持ipv6，所以，僅靠iptables或iptables-ipv6還不能有效實現網絡安全。

從Linux的NF_HOOK分類可以看到只有bridge屬于結構分類，其他為協議分類，因此在個人透明防火墻主要針對bridge進行數據監測最有成效。所有通過網橋的信息，不管使用什么協議，均可以在bridge的監測點監測。

4、用戶接口

為防止黑客通過http端口破壞透明防火墻的運作，方便用戶設置和及時知道黑客可能的攻擊情況，透明防火墻采用獨立的控制軟件，把透明防火墻的監測數據轉入個人計算機進行處理，通過動態追蹤方式實現通信審計工作。

結語

通過接入透明防火墻，有效隔離各種廣告信息，斷開計算機在啟動過程形成的各個連接。通過接入透明防火墻的前后比對，發現接上透明防火墻后內存剩余空間明顯增加。