防火墻在網(wǎng)絡(luò)中的應(yīng)用精選(九篇)

前言：一篇好文章的誕生，需要你不斷地搜集資料、整理思路，本站小編為你收集了豐富的防火墻在網(wǎng)絡(luò)中的應(yīng)用主題范文，僅供參考，歡迎閱讀并收藏。

第1篇：防火墻在網(wǎng)絡(luò)中的應(yīng)用范文

關(guān)鍵詞：防火墻；包過濾；校園網(wǎng)絡(luò)；網(wǎng)絡(luò)安全

中圖分類號：TP393.08

針對主干網(wǎng)的DDoS攻擊、針對特定端口的大范圍網(wǎng)絡(luò)掃描與利用開放式遞歸DNS 查詢進行流量放大攻擊等事件依然是主干網(wǎng)需要時刻警惕的安全問題。由于高校集中高密度的學生人群和學校本身的特殊性質(zhì)，校園網(wǎng)絡(luò)安全的問題需要引起社會的關(guān)注。

1 網(wǎng)絡(luò)安全問題

360網(wǎng)站安全部門總監(jiān)趙武在2013中國互聯(lián)網(wǎng)大會表示360公司在2012年做統(tǒng)計的時候發(fā)現(xiàn)互聯(lián)網(wǎng)80%的網(wǎng)站存在高危漏洞。到2013年360公司在高考期間做了一個中國高校網(wǎng)站的檢測報告，其實也證明超過95%的高校網(wǎng)站曾經(jīng)被篡改過。國內(nèi)的網(wǎng)站安全器，政府和高校的得分情況是最低。針對這一問題，美國聯(lián)邦政府已考慮將其活動獨立于當前互聯(lián)網(wǎng)中，而完全重新構(gòu)建在虛擬專用網(wǎng)絡(luò)中。但對于國內(nèi)外的校園網(wǎng)絡(luò)來說，由于其需要使學生學會應(yīng)用互聯(lián)網(wǎng)并從互聯(lián)網(wǎng)中取得新知識，其不能將自身完全脫離互聯(lián)網(wǎng)。但另一方面，當前校園網(wǎng)絡(luò)對安全問題的重視性相比許多大型商業(yè)公司十分不夠，這一方面是由于網(wǎng)絡(luò)安全本身的復(fù)雜性，許多學校沒有足夠的技術(shù)能力解決這一問題，另一方面是由于購買專業(yè)的防火墻產(chǎn)品所需要的經(jīng)費不足。因此更有必要探索更為合適的防火墻解決策略，而構(gòu)建防火墻特別是針對常見的網(wǎng)絡(luò)安全問題制定安全策略來切實保護網(wǎng)絡(luò)安全至關(guān)重要。

2 防火墻實現(xiàn)及策略定義

2.1 防火墻配置環(huán)境。校園網(wǎng)絡(luò)環(huán)境與商業(yè)網(wǎng)絡(luò)環(huán)境的一個顯著區(qū)別是其有許多處于原始狀態(tài)的未經(jīng)設(shè)置的計算機用于教學目的，學生使用的計算機往往存在許多安全漏洞，但學生在上網(wǎng)時一般采用最直接和簡單的方式連接到互聯(lián)網(wǎng)。學生往往沒有能力去快速配置其教學用計算機來獲得一個安全的使用環(huán)境，這種缺少保護的方式和計算機環(huán)境正是黑客最喜歡攻擊的目標。因此，減少遭受攻擊的最簡單的方式就是設(shè)置私有網(wǎng)絡(luò)，通過防火墻訪問互聯(lián)網(wǎng)。這種地址轉(zhuǎn)換方式隱藏了內(nèi)部網(wǎng)絡(luò)的結(jié)構(gòu)，同時在校園網(wǎng)絡(luò)公開地址不足時使用這種方式可以提供IP復(fù)用方式。同時，除了校園本身要設(shè)置中央防火墻外，內(nèi)網(wǎng)也應(yīng)架設(shè)獨立的防火墻，這將作為其第一個進入的安全過濾點。這種防火墻配置方式相比于僅僅使用中央校園防火墻來說有更高的靈活性和更強保護能力。此外，因為這種內(nèi)網(wǎng)的防火墻級別較低，針對出現(xiàn)的緊急問題相比于中央防火墻而言可以進行及時快速的防御和修復(fù)。為了實現(xiàn)這一目標，我們將通過裝有Linux系統(tǒng)的主機上的ipchains這一包過濾軟件來進行校園網(wǎng)絡(luò)安全保護。這一軟件由于是內(nèi)置于linux系統(tǒng)中的，因此完全無需額外的購買費用，只需要單獨使用一臺電腦安裝linux系統(tǒng)和雙網(wǎng)卡。

2.2 防火墻的構(gòu)建。首先，校內(nèi)的某個計算機教室組成的局域網(wǎng)要連接到互聯(lián)網(wǎng)中，那么可以構(gòu)建一個雙宿主機型Linux包過濾防火墻。Linux主機配備用于與互聯(lián)網(wǎng)相連的網(wǎng)卡card0（具有公共網(wǎng)絡(luò)地址202.101.1.2）和card1用于與局域網(wǎng)（c類私有地址192.168.1.0）相連。Linux系統(tǒng)自帶有ipchains封包過濾軟件，可以通過鏈（規(guī)則列表）實現(xiàn)對報文的管理。鏈主要包括輸入鏈、輸出鏈、轉(zhuǎn)發(fā)鏈和用戶定義鏈。對于從互聯(lián)網(wǎng)進入局域校園網(wǎng)的報文來說，其首先進入輸入鏈經(jīng)過輸入鏈包含的規(guī)則檢查，被允許通過或拒絕通過，隨后還要經(jīng)過轉(zhuǎn)發(fā)鏈和輸出鏈的檢查。同時還可以設(shè)定用戶定義鏈來插入到這些鏈之間加強檢查的力度。

2.3 防火墻配置策略。由于我們采用的是linux系統(tǒng)內(nèi)置的ipchains包過濾軟件，對于這種類型的防火墻主要有兩種策略。第一種是首先拒絕所有報文通過，再規(guī)定可以通過的報文。第二種是先允許所有報文通過，再拒絕某些類型的報文通過。由于校園局域網(wǎng)主要是用于教學目的，其常用的軟件和所需的功能對于教師而言十分熟悉，因此我們選擇第一種策略。如此，鏈中包含的規(guī)則可以比較少，因此我們只要設(shè)定可以通過鏈的幾種報文。下面我們將對防火墻策略進行設(shè)置。

首先刷新輸入鏈、輸出鏈和轉(zhuǎn)發(fā)鏈即刷新所有的防火墻規(guī)則。隨后可以設(shè)置默認的防火墻規(guī)則，這里我們允許所有報文的輸入、輸出和轉(zhuǎn)發(fā)。接著設(shè)置本地環(huán)路規(guī)則，我們允許本地進程之間的報文可以任意通過。然后通過對輸入、輸出鏈指定規(guī)則防止IP欺騙報文，其設(shè)置如下：

/sbin/ipchains -A input -j DENY

- i card0 -s 192.168.1.1/24

/sbin/ip chains -A input -j DENY

-i card0 -d 192.168.1.1/24

/sbin/ip chains -A output -j DENY

- i card0 -s 192.168.1.1/24

/sbin/ip chains -A output -j DENY

-i card0 -d 192.168.1.1/24

/sbin/ipchinas -A input -j DENY

- i card0 -s 202.101.1.25/32

/sbin/ipchinas -A output -j DENY

- i card0 -d 202.101.1.25/32

隨后我們禁止廣播包：

/sbin/ipchains -A input -j DENY

- i card1 -s 255.255.255.255

/sbin/ipchains -A input -j DENY

- i card1 -d 0.0.0.0

/sbin/ipchains -A output -j DENY

- i card1 -s 240.0.0.0/3

最后轉(zhuǎn)發(fā)內(nèi)部所有的報文，并啟動網(wǎng)絡(luò)地址轉(zhuǎn)換功能，即開啟IP MASQ功能，這一規(guī)則定義是針對轉(zhuǎn)發(fā)鏈進行的：

/sbin/ipchains -A forward -j ACCEPT

- i card0 -s 192.168.1.1/24

/sbin/ipchains -A forward -j ACCEPT

-i card0 -d 192.168.1.1/24

/sbin/ipchains -A forward -j MASQ

- i card1 -s 192.168.1.1/24

這一功能可以隱藏局域網(wǎng)的IP地址，即對于來自192.168.1.1/24網(wǎng)絡(luò)中的所有報文流向card0的進行IP地址偽裝。并實現(xiàn)局域網(wǎng)公用一個公有地址連接互聯(lián)網(wǎng)的功能。通過上述步驟，便實現(xiàn)了基本的封包過濾防火墻設(shè)置。

3 結(jié)束語

（1）校園局域網(wǎng)絡(luò)通過基于linux系統(tǒng)的ipchains防火墻連接互聯(lián)網(wǎng)，通過使用IP MASQ網(wǎng)絡(luò)地址轉(zhuǎn)換服務(wù)功能不僅隱藏了內(nèi)網(wǎng)的地址，同時還節(jié)省了學校寶貴的IP地址資源。（2）構(gòu)建雙宿主機型linux防火墻僅需一立的電腦，而無需額外購買昂貴的硬件防火墻，即可擁有具有強大功能和靈活性的封包過濾防火墻。這對于沒有很高預(yù)算的學校來說十分合適。（3）合理的防火墻策略配置能夠建立起靈活而有效的網(wǎng)絡(luò)安全保護系統(tǒng)，無論從互聯(lián)網(wǎng)進入校園局域網(wǎng)的報文會被檢查，從校園網(wǎng)進入互聯(lián)網(wǎng)的報文也會被檢查。通過禁止IP欺騙、廣播包和IP MASQ功能，有效地保護了網(wǎng)絡(luò)的安全，實現(xiàn)了以防火墻為基礎(chǔ)對內(nèi)外網(wǎng)之間所有進出的流量進行檢查的功能。

參考文獻：

[1]馬振晗，賈軍保.密碼學與網(wǎng)絡(luò)安全[M].北京：清華大學出版社，2009.

[2]堯新遠.計算機信息管理技術(shù)在網(wǎng)絡(luò)安全中的應(yīng)用[J].軟件，2012（07）.

[3]張統(tǒng)豪.計算機信息管理技術(shù)在網(wǎng)絡(luò)安全中的應(yīng)用[J].計算機光盤軟件與應(yīng)用，2012（23）.

第2篇：防火墻在網(wǎng)絡(luò)中的應(yīng)用范文

防火墻的構(gòu)成上主要包括3個部分, 即限制器、分離器和分析器。防火墻是用于計算機防病毒的硬件, 安裝在互聯(lián)網(wǎng)與內(nèi)部網(wǎng)之間, 對互聯(lián)網(wǎng)信息進入到內(nèi)部網(wǎng)可以起到門戶的作用, 對于不良信息進行阻隔, 可以起到降低內(nèi)部網(wǎng)遭到病毒侵襲的發(fā)生率[1]。

可見, 防火墻技術(shù)事實上是隔離技術(shù)。如果外網(wǎng)信息傳遞中, 經(jīng)過防火墻檢測屬于安全信息, 就可以允許進入到內(nèi)部網(wǎng)絡(luò)。防火墻是保證計算機安全運行環(huán)境的重要屏障。防火墻技術(shù)所發(fā)揮的功能具體如下。

1.1 防火墻技術(shù)對網(wǎng)絡(luò)安全可以起到強化作用

防火墻技術(shù)對網(wǎng)絡(luò)安全可以起到強化作用, 體現(xiàn)在防火墻的設(shè)計方案、口令等都是根據(jù)計算機網(wǎng)絡(luò)的運行需要量身定做的。

安裝防火墻后, 計算機可以過濾不安全信息, 使得網(wǎng)絡(luò)環(huán)境更為安全。防火墻可以禁止網(wǎng)絡(luò)數(shù)據(jù)信息系統(tǒng) (Network File System;縮寫:NFS) , 對網(wǎng)絡(luò)起到一定的保護作用, 不良企圖的分子就不會利用網(wǎng)絡(luò)數(shù)據(jù)信息系統(tǒng)攻擊內(nèi)部網(wǎng)。防火墻還可以拒絕各種類型的數(shù)據(jù)塊, 即網(wǎng)絡(luò)中交換與傳輸?shù)臄?shù)據(jù)單元, 即為報文 (message) , 可以進行一次性發(fā)送, 由此提高了內(nèi)網(wǎng)的安全性。

如果發(fā)現(xiàn)有不良信息, 還可以及時通知管理員, 由此可以降低自身的損失率。

1.2 防火墻技術(shù)可以避免內(nèi)網(wǎng)信息出現(xiàn)泄露問題

防火墻技術(shù)可以將重點網(wǎng)段起到保護作用, 發(fā)揮隔離作用, 使得內(nèi)網(wǎng)之間的訪問受到限制。內(nèi)網(wǎng)的訪問人員得到有效控制, 對于經(jīng)過審查后存在隱患的用戶就可以通過防火墻技術(shù)進行隔離, 使得內(nèi)網(wǎng)的數(shù)據(jù)信息更為安全[2]。

在內(nèi)網(wǎng)中, 即便是不被人注意的細節(jié)也會引起不良用戶的興趣而發(fā)起攻擊, 使得內(nèi)網(wǎng)的數(shù)據(jù)信息泄露, 這是由于內(nèi)網(wǎng)產(chǎn)生漏洞所導(dǎo)致的。

比如, Finger作為UNIX系統(tǒng)中的實用程序, 是用于查詢用戶的具體情況的。如果Finger顯示了用戶的真實姓名、訪問的時間, 不良用戶一旦獲得這些信息后, 就會對UNIX系統(tǒng)的使用程度充分了解。在網(wǎng)絡(luò)運行狀態(tài)下, 不良用戶就會對UNIX系統(tǒng)進行在線攻擊。

防火墻技術(shù)的應(yīng)用, 就可以避免這種網(wǎng)絡(luò)攻擊事件發(fā)生。域名系統(tǒng) (Domain Name System;縮寫DNS) 會被隱藏起來, 主機用戶真實姓名以及IP地址都不是真實的, 不良用戶即便攻擊, 防火墻技術(shù)發(fā)揮作用, 使得沒有授權(quán)的信息不會進入到網(wǎng)絡(luò)環(huán)境中, 保護了網(wǎng)絡(luò)環(huán)境, 網(wǎng)絡(luò)安全性能有所提高[3]。

1.3 防火墻技術(shù)可以對網(wǎng)絡(luò)訪問的現(xiàn)象起到一定的監(jiān)督控制作用

計算機安裝防火墻后, 所有對主機的訪問都要接受防火墻的審查, 在防火墻技術(shù)的使用中, 完整的訪問記錄會被制作出來。

如果有可疑的現(xiàn)象存在, 防火墻就會啟動報警系統(tǒng), 不良用戶的IP地址提供出來, 包括各種記錄的信息、網(wǎng)絡(luò)活動狀態(tài)都會接受審計, 而且還可以做出安全分析, 對于各種威脅也可以進行詳細分析。通過使用防火墻技術(shù), 就可以使得不良用戶被抵擋在門外, 由此起到了預(yù)防隱患的作用[4]。

2 防火墻技術(shù)在計算機網(wǎng)絡(luò)安全中的應(yīng)用

2.1 采用防火墻技術(shù)對網(wǎng)絡(luò)數(shù)據(jù)信息進行加密

采用防火墻技術(shù)對計算機數(shù)據(jù)信息實施保護, 就是通過數(shù)據(jù)信息加密的方法對數(shù)據(jù)信息實施保護。

在數(shù)據(jù)信息進行傳輸或者對數(shù)據(jù)信息存儲的過程中, 就可以采用加密的形式, 以保證數(shù)據(jù)信息在傳輸?shù)倪^程容易被識辨, 而且真實的信息被加密之后, 就會被錯誤的信息所覆蓋, 不會被病毒所攻擊而導(dǎo)致信息缺失或者被篡改, 由此降低了被網(wǎng)絡(luò)病毒攻擊的幾率。

對數(shù)據(jù)信息采用防火墻技術(shù)實施保護, 所使用的密碼是通過密碼算法計算出來的, 這些密碼可以是對稱的, 也可以是不對稱的。

對稱密碼所加密的數(shù)據(jù)信息, 加密的密碼與解密的密碼是相同的, 密碼的安全度不是很高, 所以密碼與數(shù)據(jù)信息的保密程度密切相關(guān);不對稱密碼對數(shù)據(jù)信息加密所采用的密碼與解密的密碼不同, 而解密密碼的安全度直接決定了數(shù)據(jù)信息的安全度[5], 所以不對稱密碼所發(fā)揮的保密作用會更好一些。

2.2 防火墻技術(shù)對域網(wǎng)系統(tǒng)安全運行提供保護

應(yīng)用防火墻技術(shù)保護計算機網(wǎng)絡(luò), 是為了防止不良訪問者攻擊網(wǎng)絡(luò)。防火墻安裝在網(wǎng)絡(luò)系統(tǒng)的外部, 阻止來自外部網(wǎng)絡(luò)的病毒攻擊, 由此維護了內(nèi)部網(wǎng)絡(luò)環(huán)境的安全。

防火墻技術(shù)重在保證信息安全, 是基于網(wǎng)絡(luò)通信技術(shù)建立起來的。對于兩個網(wǎng)絡(luò)之間有不同的信任程度, 就可以使用防火墻這種防護設(shè)備, 由此避免了外來病毒的攻擊[6]。

防火墻技術(shù)發(fā)揮作用, 可以避免非法用戶訪問, 確保網(wǎng)絡(luò)處于安全穩(wěn)定的運行狀態(tài), 維護了網(wǎng)絡(luò)信息以及網(wǎng)絡(luò)數(shù)據(jù)庫信息。

當瀏覽網(wǎng)絡(luò)信息的過程中有不良信息被攔截的提示的時候, 就意味著在網(wǎng)絡(luò)上已經(jīng)安裝了防火墻, 對網(wǎng)絡(luò)起到了安全保護的作用, 對不良信息進行了成功攔截。

防火墻技術(shù)的應(yīng)用, 不僅可以發(fā)揮攔截信息的功能, 還會阻攔垃圾信息并對垃圾信息自動刪除, 避免產(chǎn)生信息擾而無法發(fā)揮其作用的現(xiàn)象。

防火墻安裝在局域網(wǎng)和互聯(lián)網(wǎng)之間, 當信息在網(wǎng)絡(luò)之間傳輸?shù)臅r候, 防火墻就會檢驗信息, 對局域網(wǎng)系統(tǒng)運行實施了安全保護。

比如, 采用防火墻技術(shù)對校園網(wǎng)數(shù)據(jù)中心所接收的信息實時檢測。對于要通過防火墻的病毒, 防火墻技術(shù)就可以發(fā)揮病毒檢測作用, 對數(shù)據(jù)庫中心進行防護。當數(shù)據(jù)庫中心被攻擊, 防火墻技術(shù)就可以在線檢測, 有效地阻斷網(wǎng)絡(luò)型病毒的不良影響[7]。

3 結(jié)論

綜上所述, 計算機網(wǎng)絡(luò)是開放的空間, 在虛擬的網(wǎng)絡(luò)空間中實現(xiàn)信息共享, 這就為網(wǎng)絡(luò)型病毒的入侵提供了可利用的空間。

計算機網(wǎng)絡(luò)運行中, 做好安全維護工作是非常必要的, 以在充分發(fā)揮計算機網(wǎng)絡(luò)的作用的同時, 還可以提高信息傳播質(zhì)量。

計算機網(wǎng)絡(luò)運行中, 由于安全維護不到位而存在問題, 就會給病毒以可乘之機, 使得病毒會通過網(wǎng)絡(luò)運行中所存在的系統(tǒng)漏洞而入侵到計算機系統(tǒng)中。為了避免由此導(dǎo)致的嚴重后果, 就需要對網(wǎng)絡(luò)型病毒進行分析, 對防火墻技術(shù)充分利用, 做好計算機網(wǎng)絡(luò)的安全維護工作, 以避免計算機網(wǎng)絡(luò)遭到威脅。

參考文獻

[1]胡菊.計算機網(wǎng)絡(luò)安全方面問題的分析[J].中國電子商情 (科技創(chuàng)新) , 2014 (3) :15.

[2]姜可.淺談防火墻技術(shù)在計算機網(wǎng)絡(luò)信息安全中的應(yīng)用及研究[J].計算機光盤軟件與應(yīng)用, 2013 (4) :178-179.

[3]駱兵.計算機網(wǎng)絡(luò)信息安全中防火墻技術(shù)的有效運用分析[J].信息與電腦 (理論版) , 2016 (4) :54-55.

[4]張武帥, 王東飛.防火墻技術(shù)在計算機網(wǎng)絡(luò)安全中的應(yīng)用探究[J].電腦知識與技術(shù), 2015 (31) :35-36.

[5]李國勝, 張靜薇.計算機網(wǎng)絡(luò)安全管理相關(guān)安全技術(shù)探析[J].科技創(chuàng)新導(dǎo)報, 2013 (8) :215.

第3篇：防火墻在網(wǎng)絡(luò)中的應(yīng)用范文

關(guān)鍵詞：防火墻技術(shù)；網(wǎng)絡(luò)信息安全；應(yīng)用分析

一、計算機網(wǎng)絡(luò)安全及防火墻技術(shù)運用分析

（一）計算機網(wǎng)絡(luò)信息安全分析

防火墻技術(shù)是指一個由軟件和硬件設(shè)備組合而成、在內(nèi)部網(wǎng)和外部網(wǎng)之間、專用網(wǎng)與公共網(wǎng)之間的界面上構(gòu)造的保護屏障，是一種用于保護計算機網(wǎng)絡(luò)安全的技術(shù)性措施。計算機網(wǎng)絡(luò)信息安全維護的主要途徑就是通過防火墻技術(shù)實現(xiàn)的，其可以有效的保護企業(yè)以及個人的計算機網(wǎng)絡(luò)安全，在計算機正常啟動工作的過程中，防火墻技術(shù)能夠隨時監(jiān)控并且實時分析數(shù)據(jù)，偵查出數(shù)據(jù)中存在的不安全的信息，但是這種分析方式對時間方面要求比較嚴格，會有一段時間的延遲。

隨著我國社會主義的發(fā)展，網(wǎng)絡(luò)安全問題已經(jīng)成為社會大眾普遍關(guān)注的問題，關(guān)于計算機網(wǎng)絡(luò)信息安全問題，社會上提出了許多針對性保護措施。在日漸多樣化的網(wǎng)絡(luò)威脅中，雖然具有攻擊性的信息以及軟件不斷升級，但是我們的防火墻技術(shù)也在不斷的更新，事實上，防火墻技術(shù)的應(yīng)用十分廣泛，其主要是保障信息傳輸保密，以防外來攻擊造成內(nèi)部信息泄露，它的保護原理就是將信息進行隔離，能夠在雙方信息交互的過程中形成保護屏障，既可以幫社會大眾過濾危險信息，又可以提高計算機網(wǎng)絡(luò)安全保護的能力，能夠在最短的時間內(nèi)形成網(wǎng)絡(luò)安全保護措施，優(yōu)化整體的網(wǎng)絡(luò)環(huán)境，使得整個網(wǎng)絡(luò)系統(tǒng)的防御能力更加強大，能夠確保社會大眾的正常網(wǎng)絡(luò)運行安全。

（二）防火墻技術(shù)運用分析

當前，我國網(wǎng)絡(luò)信息技術(shù)的迅速進步使得人民大眾對計算機的運用更加放心、更加廣泛，在對計算機的使用過程中，大家都對自己的信息是否安全非常關(guān)注，近階段，計算機技術(shù)已經(jīng)進入到人們的生活、工作、休閑以及日常學習上，在各類服務(wù)過程中，不可避免的出現(xiàn)了許多的安全隱患，尤其是黑客的人侵以及病毒。

防火墻一共分為三種，傳統(tǒng)防火墻、分布式防火墻以及智能型防火墻。傳統(tǒng)的防火墻有兩種，一種是包過濾技術(shù)，另一種是服務(wù)器。包過濾技術(shù)指的就是通過路由器在計算機和外網(wǎng)之間的兩個接口之間的IP包進行過濾，而服務(wù)器也被叫做應(yīng)用防火墻，通過應(yīng)用相關(guān)的服務(wù)對外網(wǎng)的鏈接以及視頻進行安全檢測，當外網(wǎng)的信息有威脅時，就會使用內(nèi)部網(wǎng)絡(luò)進行服務(wù)。隨著網(wǎng)絡(luò)的升級和擴容，傳統(tǒng)額防火墻已經(jīng)很難滿足現(xiàn)代人計算機的使用需求，分布式防火墻在高性能和靈活擴展方面非常能夠滿足現(xiàn)社會的挑戰(zhàn)，能夠有效的防止其他各種被動以及主動的攻擊。智能防火墻是指正常程序和準確判定病毒的程序，智能防火墻不會直接詢問用戶，當有危險的信息訪問計算機網(wǎng)絡(luò)時，才會請求使用者協(xié)助的防火墻，有效的改善了傳統(tǒng)防火墻頻繁報警的情況，設(shè)置了人侵檢測工具，能夠使人侵的人獲得權(quán)限前成功的被阻止。

二、防火墻技術(shù)在計算機網(wǎng)絡(luò)信息安全中的應(yīng)用

根據(jù)社會對防火技術(shù)在計算機網(wǎng)絡(luò)信息安全的數(shù)據(jù)整理分析，越來越多的人開始在計算機中使用防火墻技術(shù)，現(xiàn)如今網(wǎng)絡(luò)技術(shù)發(fā)展迅速，人們無論是在生活上還是學習上都離不開網(wǎng)絡(luò)，人們也會通過網(wǎng)絡(luò)渠道來獲取更多的對自己有幫助的信息，防火墻技術(shù)在計算機網(wǎng)絡(luò)信息安全中的應(yīng)用有以下幾點：

（一）包過濾防火墻

包過濾防火墻就是用一個軟件查看所流經(jīng)的數(shù)據(jù)包的包頭，通過這個來決定整個數(shù)據(jù)包的命運，其一般只應(yīng)用于OSI七層模型中的網(wǎng)絡(luò)層數(shù)據(jù)。包過濾防火墻可以對連接啟動狀態(tài)下的計算機自行進行檢查，并且提前設(shè)定好邏輯思路，凡是能夠通過防火墻數(shù)據(jù)包的都要進行最后的檢測分析，邏輯策略主要包括端口、地址和源地址等，當數(shù)據(jù)包出現(xiàn)的信息與策略中中出現(xiàn)的條例不一致時，數(shù)據(jù)包就會通過檢測。但是如果數(shù)據(jù)包中出現(xiàn)的信息和策略中的條例一樣的時候，計算機網(wǎng)絡(luò)信息的數(shù)據(jù)就會被攔截下來，數(shù)據(jù)包被傳送的時候就會被分割成無數(shù)的小數(shù)據(jù)包，當經(jīng)過防火墻的時候它們就會通過不同的路徑傳輸過去。

（二）應(yīng)用網(wǎng)關(guān)防火墻

應(yīng)用網(wǎng)關(guān)防火墻的安全性很高，并且已經(jīng)開始向應(yīng)用層發(fā)展，它的認證是個人而不是設(shè)備，這一點與包過濾防火墻形成了鮮明的對比，它在數(shù)據(jù)傳輸時需要進行驗證，當成功驗證時，我們才能夠允許訪問網(wǎng)絡(luò)資源。一般情況下只有輸對口令、密碼以及用戶名等信息才會被認證，所以我們沒有時間可以為黑客提供DOS攻擊，應(yīng)用網(wǎng)關(guān)防火墻還分為直通式網(wǎng)絡(luò)防火墻和連接網(wǎng)關(guān)防火墻，連接網(wǎng)關(guān)防火墻需要認證許多的信息條款，并且可以通過截獲數(shù)據(jù)流量來進行認證，只有認證成功才可以訪問服務(wù)器，其還可以對應(yīng)用層進行保護，來提高應(yīng)用層的安全性，但是直通式的防火墻就不具備這一項功能。

（三）深層檢測防火墻

深層防火墻檢測就是針對防火墻產(chǎn)品所做的一系列的測試，測試的內(nèi)容涉及的較多，其中包括的測試有網(wǎng)絡(luò)環(huán)境、測試的方法、測試的工具以及測試的準則等，這也是目前防火墻的發(fā)展趨勢。這項技術(shù)剛開始會對網(wǎng)絡(luò)信息進行檢測，然后對流量的走向進行跟蹤，深層檢測防火墻系統(tǒng)不只是停留在網(wǎng)絡(luò)層面，其還更加的注重應(yīng)用層面的網(wǎng)絡(luò)攻擊，使計算機網(wǎng)絡(luò)信息的安全性能和實用性能更高，應(yīng)用層網(wǎng)關(guān)實際上就是一個接受鏈接的程序，系統(tǒng)對其進行嚴格認證以后，才可以使用被傳過來的鏈接，通不過則被阻塞。

三、結(jié)語

就當前的防火墻技術(shù)應(yīng)用來看，其所具有的時效性是其他網(wǎng)絡(luò)技術(shù)所無法替代的，優(yōu)勢作用極為明顯。但其依然具有廣闊的發(fā)展空間，單一的防火墻技術(shù)也并不一定能夠完全解決網(wǎng)絡(luò)中存在的安全問題。融合網(wǎng)絡(luò)數(shù)據(jù)檢查，整個網(wǎng)絡(luò)系統(tǒng)的監(jiān)控等都可以對網(wǎng)絡(luò)安全給予輔助，防火墻技術(shù)還需要在漏洞防御方面予以不斷深化，才能夠讓其作用更加明顯，才能夠讓防火墻技術(shù)得以真正推動和發(fā)展。

參考文獻： 

[1]武強.關(guān)于計算機網(wǎng)絡(luò)安全中防火墻技術(shù)的研究[J].電子世界，2016（08）：100+105. 

[2]郭麗麗.計算機網(wǎng)絡(luò)安全中防火墻技術(shù)的運用分析[J].信息通信，2016（03）：198-199. 

[3]汪楠，張浩一種防火墻技術(shù)的網(wǎng)絡(luò)安全體系構(gòu)建研究[J].石家莊學院學報，2015，17（03）：44-48. 

第4篇：防火墻在網(wǎng)絡(luò)中的應(yīng)用范文

【關(guān)鍵詞】網(wǎng)絡(luò)安全;防火墻技術(shù);性能;發(fā)展趨勢

1引言

隨著網(wǎng)絡(luò)技術(shù)的飛速發(fā)展和網(wǎng)絡(luò)時代的到來,網(wǎng)絡(luò)安全問題變的越來越嚴重。由于網(wǎng)絡(luò)不安全造成的損失也越來越大,人們?yōu)榻鉀Q網(wǎng)絡(luò)安全問題投入的資金也越來越多。網(wǎng)絡(luò)安全是一個關(guān)系國家安全、社會穩(wěn)定的重要問題,網(wǎng)絡(luò)的安全已經(jīng)成為急需解決的問題。

為了保護網(wǎng)絡(luò)的安全,人們將防火墻這個概念運用到了網(wǎng)絡(luò)世界里。它是內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間的一道柵欄,用以阻擋外部網(wǎng)絡(luò)的入侵,相當于中世紀的護城河。防火墻是目前最為流行、使用最為廣泛的一種網(wǎng)絡(luò)安全技術(shù)。本文主要討論防火墻技術(shù),并對其發(fā)展趨勢作了初步的分析。

2防火墻技術(shù)

2.1 防火墻概述

防火墻是網(wǎng)絡(luò)之間一種特殊的訪問控制設(shè)施,是一種屏障,用于隔離Internet的某一部分,限制這部分與Internet其它部分之間數(shù)據(jù)的自由流動。防火墻的位置被安裝在內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)之間,以在不可靠的互聯(lián)網(wǎng)絡(luò)中建立一個可靠的子網(wǎng)。防火墻作為保障內(nèi)部網(wǎng)絡(luò)安全的手段,它有助于建立一個網(wǎng)絡(luò)安全機制,并通過網(wǎng)絡(luò)配置、主機系統(tǒng)、路由器與身份認證等手段來實現(xiàn)安全機制。一般說來防火墻主要有以下的功能:防火墻是網(wǎng)絡(luò)安全的屏障;防火墻可以強化網(wǎng)絡(luò)安全策略;對網(wǎng)絡(luò)存取和訪問進行監(jiān)控審計;防止內(nèi)部信息的外泄;安全策略檢查和實施NAT的理想平臺。

防火墻是兩個網(wǎng)絡(luò)之間的成分集合,它必須具有以下性質(zhì)才能起作用:

(1)從里向外或從外向里的流量都必須通過防火墻;

(2)只有本地安全策略放行的流量才能通過防火墻;

(3)防火墻本身是不可穿透的。

2.2 防火墻的類型

(1)IP級防火墻

IP級防火墻又稱為報文過濾或包過濾(packet filter)防火墻,它通常在路由軟件中實現(xiàn),工作在網(wǎng)絡(luò)層中,因此也稱網(wǎng)絡(luò)防火墻。依據(jù)防火墻內(nèi)事先設(shè)定的過濾規(guī)則,檢查數(shù)據(jù)流中每個數(shù)據(jù)包頭部,根據(jù)數(shù)據(jù)包的源地址、目的地址、TCP/UDP源端口號、TCP/UDP目的端口號及數(shù)據(jù)包頭中的各種標志位等因數(shù)來確定是否允許數(shù)據(jù)包通過。使用這種類型的防火墻時,內(nèi)部主機與外部主機之間存在直接的IP報文交互,即使防火墻停止工作也不影響其連通性。因此,IP防火墻具有簡單、方便、速度快,透明性好和不影響網(wǎng)絡(luò)的特點。但是IP防火墻只能根據(jù)IP地址和端口號來過濾報文,缺乏用戶日志和審計信息,缺乏用戶認證機制,對過濾規(guī)則的完備性也難以得到檢驗,所以IP防火墻的安全性是比較差的。

(2)應(yīng)用級防火墻

應(yīng)用級防火墻又稱(proxy)防火墻。它通常作用在應(yīng)用層,直接對特定的應(yīng)用層進行服務(wù)。這類防火墻通常是一臺封堵了內(nèi)外直接連接的雙穴主機(dual-home-host),為兩端的機器服務(wù)請求,也可以是一些可以訪問Internet并被內(nèi)部主機訪問的堡壘主機。防火墻能進行安全控制和加速訪問,有效地實現(xiàn)防火墻內(nèi)外計算機系統(tǒng)的隔離,安全性好,以及實施較強的數(shù)據(jù)流監(jiān)控、過濾、記錄和報告等功能。其缺點是效率低,對于每一種應(yīng)用服務(wù)都必須為其設(shè)計一個軟件模塊來進行安全控制,而每一種網(wǎng)絡(luò)應(yīng)用服務(wù)的安全問題各不相同,分析困難,實現(xiàn)也困難。

(3)鏈路級防火墻

鏈路級防火墻的工作原理、組成結(jié)構(gòu)與應(yīng)用級防火墻相似,但它并不針對專門的應(yīng)用協(xié)議,而是一種傳輸層的TCP(UDP)連接中繼服務(wù)。連接的發(fā)起方不直接與響應(yīng)方建立連接,而是與鏈路級防火墻交互,由它再與響應(yīng)方建立連接,并在此過程中完成用戶鑒別。在隨后的通信中維護數(shù)據(jù)的安全(如進行數(shù)據(jù)加密)、控制通信的進展。鏈路級防火墻提供的安全保護主要包括:對連接的存在時間進行監(jiān)測,除去超出所允許的存在時間的連接,這可防止過大的郵件和文件傳送;建立允許的發(fā)起方表,提供鑒別機制;對傳輸?shù)臄?shù)據(jù)提供加密保護。

各種防火墻的性能比較如表2-1所示。

2.3 傳統(tǒng)防火墻的缺點

上述三種基本的防火墻技術(shù)都存在不足之處。比如IP級防火墻存在不能徹底防止地址欺騙、正常的數(shù)據(jù)包路由器無法執(zhí)行某些安全策略等不足,應(yīng)用級防火墻則有不能改進低層協(xié)議的安全性、實現(xiàn)比較復(fù)雜等缺點。傳統(tǒng)的防火墻大多都采用報文過濾技術(shù)。在實際環(huán)境中,大多數(shù)的攻擊和越權(quán)訪問來自于內(nèi)部,而傳統(tǒng)的邊界防火墻無法對內(nèi)部網(wǎng)絡(luò)進行有效的保護。首先,防火墻提供的是靜態(tài)防御,它的規(guī)則都必須事先設(shè)置,對于實時的攻擊或異常的行為不能做出實時反應(yīng)。其次,防火墻規(guī)則是一種粗顆粒的檢查,對一些協(xié)議細節(jié)無法做到完全解析。此外,防火墻防外不防內(nèi),對于內(nèi)部用戶的非法行為或已經(jīng)滲透的攻擊無法檢查和響應(yīng)。

3防火墻的發(fā)展趨勢

目前防火墻的安全性、效率和功能方面的矛盾還是比較突出。防火墻的技術(shù)結(jié)構(gòu),往往是安全高效率就低,效率高就會以犧牲安全為代價。未來的防火墻要求是高安全性和高效率。使用專門的芯片負責訪問控制功能、設(shè)計新的防火墻的技術(shù)架構(gòu)是未來防火墻的方向。

3.1 分布式防火墻

分布式防火墻是指那些駐留在網(wǎng)絡(luò)中的主機,如服務(wù)器或臺式機并對系統(tǒng)自身提供安全防護的軟件產(chǎn)品,用以保護企業(yè)網(wǎng)絡(luò)中的關(guān)鍵結(jié)點服務(wù)器、數(shù)據(jù)及工作站免受非法入侵的破壞。布式防火墻仍然由中心定義策略,但由各個分布在網(wǎng)絡(luò)中的端點實施這些制定的策略。

分布式防火墻把Internet和內(nèi)部網(wǎng)絡(luò)均視為"不友好的"。它們對個人計算機進行保護的方式如同邊界防火墻對整個網(wǎng)絡(luò)進行保護一樣。對于Web服務(wù)器來說,分布式防火墻進行配置后能夠阻止一些非必要的協(xié)議,如HTTP 和 HTTPS之外的協(xié)議通過,從而阻止了非法入侵的發(fā)生,同時還具有入侵檢測及防護功能。從廣義來講,分布式防火墻是一中新的防火墻體系結(jié)構(gòu),他包含網(wǎng)絡(luò)防火墻、主機防火墻、中心管理等產(chǎn)品。

3.2 防火墻聯(lián)動

隨著人們安全意識的日益提高,防火墻、防病毒、入侵檢測、加密機等安全產(chǎn)品開始被大量部署在網(wǎng)絡(luò)中。由于缺少統(tǒng)一、聯(lián)動的技術(shù),現(xiàn)有安全產(chǎn)品往往各自為政,沒能形成一個統(tǒng)一的整體。為了解決這一問題,防火墻聯(lián)動技術(shù)正漸漸成為網(wǎng)絡(luò)安全領(lǐng)域的一個新興課題,引起眾多專家和安全廠商的關(guān)注。目前,應(yīng)用范圍較為廣泛的防火墻聯(lián)動方式主要有以下幾種。

(1)與防病毒實現(xiàn)聯(lián)動

病毒對網(wǎng)絡(luò)系統(tǒng)造成了巨大的破壞和威脅,構(gòu)建可靠的網(wǎng)絡(luò)防毒體系是網(wǎng)絡(luò)安全的必要保障。防火墻處于內(nèi)外網(wǎng)絡(luò)信息流的必經(jīng)之地,在網(wǎng)關(guān)一級就對病毒進行查殺,成為網(wǎng)絡(luò)防病毒系統(tǒng)的重要一環(huán)。

(2)與入侵檢測實現(xiàn)聯(lián)動

防火墻與入侵檢測系統(tǒng)聯(lián)動是聯(lián)動體系中重要的一環(huán),這是因為這兩種技術(shù)具有較強的互補性。目前,實現(xiàn)入侵檢測和防火墻之間的聯(lián)動有兩種方式。一種是實現(xiàn)緊密結(jié)合,即把入侵檢測系統(tǒng)嵌入到防火墻中。第二種方式是通過開放接口來實現(xiàn)聯(lián)動。

(3)與日志處理間實現(xiàn)聯(lián)動

防火墻與日志處理之間的聯(lián)動,目前國內(nèi)廠商做的不多。比較有代表性的是Check Point的防火墻,它提供兩個API:LEA(Log Export API)和ELA(Event Logging API),允許第三方訪問日志數(shù)據(jù)。

4結(jié)束語

隨著Internet廣泛應(yīng)用和計算機科學技術(shù)的不斷發(fā)展,防火墻技術(shù)也在不斷的發(fā)展。但是在網(wǎng)絡(luò)日益嚴峻的今天,光有防火墻技術(shù)是遠遠不夠的,我們還得考慮其他的問題。不過防火墻作為網(wǎng)絡(luò)安全的第一道重要的屏障,如何提高防火墻的防護能力并保證系統(tǒng)的高速有效性將是一個隨網(wǎng)絡(luò)技術(shù)發(fā)展而要不斷研究的課題。

【參考文獻】

[1] 蔡永泉編著.計算機網(wǎng)絡(luò)安全[M].北京:北京航空航天大學出版社,2006.10

[2] 趙安軍,曾應(yīng)員,徐邦海,常春藤編著.網(wǎng)絡(luò)安全技術(shù)與應(yīng)用[M].北京:人民郵電出版社,2007.7

[3] 王代潮,曾德超.防火墻技術(shù)的演變及其發(fā)展趨勢分析[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用,2005(07)

第5篇：防火墻在網(wǎng)絡(luò)中的應(yīng)用范文

所謂網(wǎng)絡(luò)安全，實質(zhì)上也就是網(wǎng)絡(luò)上的信息安全。網(wǎng)絡(luò)安全所涉及的領(lǐng)域是非常廣泛的，但是在當前許多的公用通信網(wǎng)絡(luò)中，都存在著各種各樣的安全漏洞和威脅，隨著網(wǎng)絡(luò)技術(shù)的不斷發(fā)展，各種各樣的網(wǎng)絡(luò)安全技術(shù)也相應(yīng)的出現(xiàn)了，比如說身份驗證、訪問授權(quán)、加密解密技術(shù)、防火墻技術(shù)等等，雖然出現(xiàn)了許許多多的新的網(wǎng)絡(luò)安全技術(shù)，但是在眾多的網(wǎng)絡(luò)安全技術(shù)中，防火墻技術(shù)的應(yīng)用仍然最為廣泛。防火墻實質(zhì)上是一個系統(tǒng)，該系統(tǒng)位于兩個網(wǎng)絡(luò)之間，并且負責執(zhí)行控制策略，通過防火墻，可以使得內(nèi)部網(wǎng)絡(luò)與Internet或者其它的外部網(wǎng)絡(luò)相互隔離，從而有效的保護內(nèi)部網(wǎng)絡(luò)的安全。通過防火墻，主要可以實現(xiàn)對于不安全服務(wù)和非法用戶的過濾，同時還能夠有效的控制對站點的訪問，時刻監(jiān)視Internet安全，一旦出現(xiàn)安全風險，防火墻還可以起到及時預(yù)警的作用。

1防火墻技術(shù)概述

所謂的防火墻，指的是設(shè)置在兩個或者多個不同網(wǎng)絡(luò)或者網(wǎng)絡(luò)安全域之間信息的唯一出入口，所有的網(wǎng)絡(luò)信息要想進入內(nèi)部網(wǎng)絡(luò)，必須要通過這一個出入口，因此防火墻成為了一個提供信息安全服務(wù)和實現(xiàn)網(wǎng)絡(luò)和信息安全的基礎(chǔ)設(shè)施，同時防火墻技術(shù)也成為了目前人們公認的最有效的網(wǎng)絡(luò)安全保護手段。防火墻可以對訪問權(quán)限進行有效的控制，從而實現(xiàn)對涉及用戶的操作進行審查和過濾，從而有效的降低計算機網(wǎng)絡(luò)安全風險。

1.1計算機防火墻技術(shù)

防火墻技術(shù)之所以能夠?qū)崿F(xiàn)對計算機網(wǎng)絡(luò)的保護，主要就是因為防火墻可以將內(nèi)部網(wǎng)絡(luò)與互聯(lián)網(wǎng)進行分離，正是因為防火墻有著很強的隔離性，所以才使得防火墻技術(shù)在計算機網(wǎng)絡(luò)安全領(lǐng)域中被廣泛的加以運用。一般在對防火墻進行使用的過程中，所依靠的都是包的外源地址和數(shù)據(jù)包協(xié)議，通過它們來對防火墻進行設(shè)置，從而實現(xiàn)有效的隔離。除此之外，防火墻的實現(xiàn)還可以通過服務(wù)器的軟件，但是這種方式在實際應(yīng)用中較為少見。在防火墻技術(shù)出現(xiàn)之初，它的功能僅僅局限于對主機的限制和對網(wǎng)絡(luò)訪問控制加以規(guī)范，但經(jīng)過多年的發(fā)展，防火墻的功能也進一步的得到了完善，當前，防火墻已經(jīng)可以完成解密和加密等功能，除此之外，還能夠?qū)崿F(xiàn)對文件的壓縮和解壓，從而使得計算機網(wǎng)絡(luò)安全得到了有效的保證。

1.2防火墻的主要功能

隨著網(wǎng)絡(luò)技術(shù)的不斷發(fā)展，防火墻的功能已經(jīng)變得十分豐富，其功能主要有以下幾個方面：第一，防火墻可以對本機的數(shù)據(jù)進行有效的篩選和過濾，通過對信息的篩選和過濾，可以有效的避免非法信息以及各種網(wǎng)絡(luò)病毒的攻擊和入侵，從而保證計算機信息的安全；第二，防火墻還可以對網(wǎng)絡(luò)中一些特殊的站點進行較為嚴格的規(guī)范，因為在這些站點中往往存在著可以對計算機網(wǎng)絡(luò)安全進行破壞的一些病毒文件，所以通過對這些站點的規(guī)范，可以有效避免人們因為無意操作而給計算機網(wǎng)絡(luò)帶來的風險；第三，防火墻還能夠較為徹底的對一些不安全訪問進行攔截，外部人員如果想進入內(nèi)部網(wǎng)絡(luò)，必須先要經(jīng)過防火墻的審查，只有審查合格，防火墻才會允許進入，但是在防火墻的審查過程中，是有著非常多的環(huán)節(jié)的，如果任何一個環(huán)節(jié)的審查出現(xiàn)了問題，該訪問將會被防火墻過濾，從而有效的減少了網(wǎng)絡(luò)安全問題的出現(xiàn)；第四，防火墻還可以對網(wǎng)絡(luò)運行中所產(chǎn)生的各種信息數(shù)據(jù)加以保護，如果防火墻發(fā)現(xiàn)了網(wǎng)絡(luò)中出現(xiàn)有威脅網(wǎng)絡(luò)安全的非法活動，防火墻將于第一時間發(fā)出警報，并且采取相應(yīng)的措施來對其進行處理，有效的避免網(wǎng)絡(luò)安全風險。

2防火墻的常用技術(shù)及其在網(wǎng)絡(luò)安全中的應(yīng)用

2.1數(shù)據(jù)包過濾技術(shù)及其應(yīng)用

數(shù)據(jù)包過濾技術(shù)主要分為組過濾和包過濾兩種，數(shù)據(jù)包過濾技術(shù)是一種較為通用的防火墻技術(shù)，并且它也較為廉價和有效。數(shù)據(jù)包過濾技術(shù)主要是在計算機網(wǎng)絡(luò)的網(wǎng)絡(luò)層和傳輸層發(fā)揮作用。它可以通過對分組包的源、宿地址、端口號機協(xié)議類型和標志確定是否允許其通過。而該技術(shù)所依據(jù)的信息主要是來源于IP、TCP或者UDP包頭。包過濾的主要優(yōu)點就在于其對于用戶來說是完全透明的，處理速度也非常的快，而且十分易于維護，因此在使用的過程中較為方便，通常包過濾都是被作為網(wǎng)絡(luò)安全的第一道防線。但是包過濾路由器一般都是沒有用戶的使用記錄的，所以我們也就不能夠看到入侵者的攻擊記錄，而且隨著計算機技術(shù)的不斷發(fā)展，攻破一個單純的包過濾式防火墻對于現(xiàn)代的黑客來說也較為簡單。當前的黑客往往都采用“IP地址欺騙”的方式來攻破包過濾式防火墻，所以為了進一步的提升網(wǎng)絡(luò)的安全性，現(xiàn)在已經(jīng)將包過濾技術(shù)作為網(wǎng)絡(luò)安全的第一道防線，而進一步發(fā)展起來了技術(shù)。

2.2服務(wù)技術(shù)及其應(yīng)用

服務(wù)技術(shù)是在數(shù)據(jù)包過濾技術(shù)之后發(fā)展起來的，但現(xiàn)在服務(wù)技術(shù)已經(jīng)成為了防火墻技術(shù)中使用頻率較高的一種技術(shù)，而且服務(wù)技術(shù)也擁有非常高的安全性能。服務(wù)軟件往往是運行在一臺主機上的，通過在這一臺主機上的運行來構(gòu)成服務(wù)器，并且負責對客戶的請求進行截獲，然后再依據(jù)它的安全規(guī)則來決定該請求是否可以得到允許。如果得到了服務(wù)器的允許，該請求才能夠被進一步的傳遞給真正的防火墻。一般而言，服務(wù)器是外部可以見到的唯一的防火墻實體，所以說服務(wù)器對于內(nèi)部用戶而言是完全透明的。除此之外，服務(wù)器還可以對協(xié)議特定的訪問規(guī)則進行應(yīng)用，從而來執(zhí)行基于用戶身份和報文分組內(nèi)容的訪問控制。這種防火墻技術(shù)可以對網(wǎng)絡(luò)信息的交換進行完全的控制，并且還可以記錄整個會話的過程，有著很高的靈活性和安全性。但是服務(wù)技術(shù)也有著自身的缺陷，那就是有可能會對網(wǎng)絡(luò)的性能造成一定的影響，而且對于每一個服務(wù)器都要進行一次模塊的設(shè)計，并且建立起相應(yīng)的網(wǎng)關(guān)層，所以其實現(xiàn)往往較為復(fù)雜。

2.3狀態(tài)監(jiān)測技術(shù)及其應(yīng)用

狀態(tài)檢測技術(shù)是一種在網(wǎng)絡(luò)層來實現(xiàn)防火墻功能的技術(shù)，狀態(tài)監(jiān)測技術(shù)所使用的是在網(wǎng)關(guān)上執(zhí)行安全策略的軟件模塊，這個模塊被稱為監(jiān)測引擎。監(jiān)測引擎不同于服務(wù)器，不會對網(wǎng)絡(luò)的正常運行造成任何影響。并且監(jiān)測引擎還可以采用抽取有關(guān)數(shù)據(jù)的方法來對網(wǎng)絡(luò)通信的各層進行檢測，抽取相應(yīng)的狀態(tài)信息，然后動態(tài)的加以保存并將其作為以后執(zhí)行安全策略的一個參考。除此之外，監(jiān)測引擎還可以支持多種協(xié)議及應(yīng)用程序，還可以有效的實現(xiàn)應(yīng)用和服務(wù)的擴充。相比于之前的兩種防火墻技術(shù)而言，狀態(tài)監(jiān)測技術(shù)可以更好地對用戶的訪問請求進行處理，因為狀態(tài)監(jiān)視器會抽取有關(guān)數(shù)據(jù)來進行分析，然后再通過對網(wǎng)絡(luò)配置和相應(yīng)的安全規(guī)定的結(jié)合，來做出相應(yīng)的接納、拒絕、身份認證、報警或者給該通信加密等一系列的處理動作。

作者:李慧清 單位:內(nèi)蒙古化工職業(yè)學院

引用：

[1]趙俊.淺談計算機防火墻技術(shù)與網(wǎng)絡(luò)安全[J].成都航空職業(yè)技術(shù)學院學報：綜合版，2012.

第6篇：防火墻在網(wǎng)絡(luò)中的應(yīng)用范文

一、從防火墻的軟、硬件形式來分的話,防火墻可以分為軟件防火墻和基于硬件防火墻以及芯片級防火墻。

軟件防火墻:這類防火墻必需運行在特定的計算機上,而且需要操作系統(tǒng)支持,大致又可分為網(wǎng)絡(luò)版和個人版,一般而言網(wǎng)絡(luò)版(或稱企業(yè)版)需要網(wǎng)絡(luò)操作系統(tǒng),個人版一般安裝在企業(yè)中的客戶端操作系統(tǒng)之上。網(wǎng)絡(luò)版軟件主要有checkpoint、ISA 2004 企業(yè)版等,可將它們安裝在一個企業(yè)的接入口,來有效的對內(nèi)部局域網(wǎng)和Internet進行隔離。個人版有很多,如天網(wǎng)個人防火墻、Kaspersky Anti-Hacker、瑞星個人防火墻等,安裝在各自的計算機上來保護你的電腦。

基于硬件防火墻:所謂基于硬件,是相對芯片級而言的,這類防火墻的硬件在現(xiàn)在市面上流行的主要是采用PC構(gòu)架的兼容機,然后在此硬件之上安裝經(jīng)過處理(或稱經(jīng)過精簡)的操作系統(tǒng),主要是采用Linux這類操作系統(tǒng)進行相應(yīng)的安全優(yōu)化而來。值得注意的是此類防火墻和軟件防火墻一樣采用的依然是別人的內(nèi)核,因此依然會受到你所安裝的操作系統(tǒng)本身的安全性影響?；谟布阑饓σ话阒辽賾?yīng)具備三個端口,分別接內(nèi)網(wǎng),外網(wǎng)和DMZ區(qū)(非軍事化區(qū)),現(xiàn)在一些新的硬件防火墻往往擴展了端口,常見四端口防火墻一般將第四個端口做為配置口、管理端口。很多防火墻還可以進一步擴展端口數(shù)目等。象servgate、聯(lián)想網(wǎng)御等都屬于此類防火墻。

芯片級防火墻:它是基于專用的防火墻硬件平臺,所采用專用的ASIC芯片、并為此硬件平臺量身定做專用的操作系統(tǒng);精簡的指令系統(tǒng)使它的運行速度遠高于前兩種防火墻,而且處理能力更強,性能更高,并且更安全;當然價格相對比較高。這類防火墻主要有NetScreen、FortiNet、Pix等。

二、依據(jù)防范的方式和側(cè)重點的不同,可分為數(shù)據(jù)包過濾型、應(yīng)用級網(wǎng)關(guān)型、服務(wù)型、規(guī)則型四種。

包過濾型:或稱網(wǎng)絡(luò)級防火墻。包過濾(Packet Filtering)主要是在網(wǎng)絡(luò)層和傳輸層對數(shù)據(jù)包進行選擇,它根據(jù)數(shù)據(jù)包頭源地址,目的地址、端口號和協(xié)議類型等標志確定是否允許通過。選擇的依據(jù)是根據(jù)各自設(shè)置的具體要求來進行,通常此操作被稱為訪問控制表(Access Control Table),只有滿足過濾條件的數(shù)據(jù)包才被轉(zhuǎn)發(fā)到相應(yīng)的目的地,其余數(shù)據(jù)包則被從數(shù)據(jù)流中丟棄。此類防火墻配置簡單,價格便宜,易于安裝和使用,一般都是和路由器聯(lián)合使用,由于以上特點,很多廠商都在原有的路由器基礎(chǔ)上增加了包過濾功能,這樣便大大降低了成本。但這類防火墻缺點也很明顯:第一是一旦非法訪問攻破防火墻,即可對主機上的所有軟件系統(tǒng)進行攻擊;第二是IP包頭信息容易被竊取和假冒。

應(yīng)用級網(wǎng)關(guān):應(yīng)用級網(wǎng)關(guān)(Applicaion Level Gateways)是在網(wǎng)絡(luò)應(yīng)用層上建立協(xié)議過濾和轉(zhuǎn)發(fā)功能。它能夠檢查進出的數(shù)據(jù)包,通過網(wǎng)關(guān)復(fù)制傳遞數(shù)據(jù),防止在受信任服務(wù)器和客戶機與不受信任的主機間直接建立聯(lián)系。應(yīng)用級網(wǎng)關(guān)能夠理解應(yīng)用層上的協(xié)議,能夠做復(fù)雜一些的訪問控制,并做精細的注冊和稽核。它針對特別的網(wǎng)絡(luò)應(yīng)用服務(wù)協(xié)議即數(shù)據(jù)過濾協(xié)議,并且能夠?qū)?shù)據(jù)包分析并形成相關(guān)的報告。應(yīng)用網(wǎng)關(guān)對某些易于登錄和控制所有輸出輸入的通信的環(huán)境給予嚴格的控制,以防有價值的程序和數(shù)據(jù)被竊取。 在實際工作中,應(yīng)用網(wǎng)關(guān)一般由專用工作站系統(tǒng)來完成。但每一種協(xié)議需要相應(yīng)的軟件,使用時工作量大,效率不如網(wǎng)絡(luò)級防火墻。 應(yīng)用級網(wǎng)關(guān)有較好的訪問控制,是目前最安全的防火墻技術(shù),但實現(xiàn)困難,而且有的應(yīng)用級網(wǎng)關(guān)缺乏“透明度”。在實際使用中,用戶在受信任的網(wǎng)絡(luò)上通過防火墻訪問Internet時,經(jīng)常會發(fā)現(xiàn)存在延遲并且必須進行多次登錄(Login)才能訪問Internet或Intranet。所以雖是高安全產(chǎn)品,但實際在企業(yè)中的應(yīng)用并不理想。

服務(wù):又稱電路級網(wǎng)關(guān)。服務(wù)(Proxy Server)是設(shè)置在Internet網(wǎng)關(guān)的專用應(yīng)用級代碼,它主要是針對包過濾和應(yīng)用級網(wǎng)關(guān)技術(shù)存在的缺點而引入的。這種服務(wù)準許網(wǎng)管員允許或拒絕特定的應(yīng)用程序或一個應(yīng)用的特定功能。包過濾技術(shù)和應(yīng)用網(wǎng)關(guān)是通過特定的邏輯判斷來決定是否允許特定的數(shù)據(jù)包通過,一旦判斷條件滿足,防火墻內(nèi)部網(wǎng)絡(luò)的結(jié)構(gòu)和運行狀態(tài)便“暴露”在外來用戶面前,這就引入了服務(wù)的概念,即防火墻內(nèi)外計算機系統(tǒng)應(yīng)用層的“鏈接”由兩個終止于服務(wù)的“鏈接”來實現(xiàn),這就成功地實現(xiàn)了防火墻內(nèi)外計算機系統(tǒng)的隔離。同時,服務(wù)還可用于實施較強的數(shù)據(jù)流監(jiān)控、過濾、記錄和報告等功能。服務(wù)技術(shù)主要通過專用計算機硬件(如工作站)來承擔,這導(dǎo)致防火墻的最大缺點就是速度相對比較慢,當用戶對內(nèi)外部網(wǎng)絡(luò)網(wǎng)關(guān)的吞吐量要求比較高時,防火墻就會成為內(nèi)外部網(wǎng)絡(luò)之間的瓶頸。

規(guī)則檢查防火墻:該防火墻結(jié)合了包過濾防火墻、服務(wù)和應(yīng)用級網(wǎng)關(guān)的特點。它同包過濾防火墻一樣,規(guī)則檢查防火墻能夠在網(wǎng)絡(luò)層上通過IP地址和端口號過濾進出的數(shù)據(jù)包。它象服務(wù)一樣,能夠檢測是否是特許包。又象應(yīng)用級網(wǎng)關(guān)一樣,可以在應(yīng)用層上檢查數(shù)據(jù)包的內(nèi)容,查看這些內(nèi)容是否能符合企業(yè)網(wǎng)絡(luò)的安全規(guī)則。規(guī)則檢查防火墻雖然集成前三者的特點,但是不同于前三種,從理論上就能比應(yīng)用級在過濾數(shù)據(jù)包上更有效。

三、防火墻的選購

防火墻并不是萬能的,不是說有了它就是安全了,并不是有了它就能提高上網(wǎng)的速度了;當我們在準備應(yīng)用防火墻技術(shù)時,得考慮以下幾點:第一是防火墻是不能防病毒的,同時也不能防垃圾郵件的,盡管有不少的防火墻產(chǎn)品聲稱其具有這功能,無非是增加了相應(yīng)的幾個模塊,這在一定程度上使防火墻增加了數(shù)據(jù)處理的負擔。第二是防火墻在處理數(shù)據(jù)時的延時,(所謂防火墻的延時,即數(shù)據(jù)轉(zhuǎn)換或處理時所損耗的時間)一旦延時超過了網(wǎng)絡(luò)數(shù)據(jù)通信所規(guī)定的時間,將無法支持實時服務(wù)的請求,現(xiàn)在要使這個延時達到最小,只能是購買高性能的設(shè)備,當然這樣的話將需要更多的資金來支持。

第7篇：防火墻在網(wǎng)絡(luò)中的應(yīng)用范文

關(guān)鍵詞： 防火墻 病毒 企業(yè)網(wǎng)安全

一、防火墻的相關(guān)知識

防火墻就是一個位于計算機和它所連接的網(wǎng)絡(luò)之間的軟件。該計算機流入流出的所有網(wǎng)絡(luò)通信均要經(jīng)過防火墻。它對流經(jīng)它的網(wǎng)絡(luò)通信進行掃描，這樣能夠過濾掉一些攻擊，以免其在目標計算機上被執(zhí)行，還能禁止特定端口的流出通信，封鎖特洛伊木馬，禁止來自特殊站點的訪問，從而防止來自不明入侵者的所有通信。防火墻一般安裝在內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)之間，集中所有互聯(lián)網(wǎng)流量，因此對其要求極高，一旦發(fā)生故障必須能迅速恢復(fù)。

二、選擇防火墻需要注意的問題

作為企業(yè)信息安全保護最基礎(chǔ)的硬件，防火墻在企業(yè)整體防范體系中占據(jù)至關(guān)重要的地位。一款反應(yīng)和處理能力不強的防火墻，不但保護不了企業(yè)的信息安全，反而會成為安全的最大隱患，所以，選擇防火墻必須謹慎。

1.應(yīng)購買具有品牌優(yōu)勢、質(zhì)量信得過的產(chǎn)品。廠商的持續(xù)開發(fā)能力以及升級和維護能力非常重要。目前對國內(nèi)安全產(chǎn)品的認證有四種：中國信息安全產(chǎn)品測評認證中心的認證（針對企業(yè)應(yīng)用），國家保密局測評認證中心的認證（針對政府網(wǎng)應(yīng)用）、公安部計算機信息安全產(chǎn)品質(zhì)量監(jiān)督檢驗中心（獲得銷售許可），以及中國人民信息安全測評認證中心（針對軍隊使用）。

2.在性能方面只選適合的，不一定選最高的，除了要考慮產(chǎn)品本身應(yīng)該安全可靠，還要考慮防火墻性能的穩(wěn)定，并應(yīng)有良好的擴展性與適應(yīng)性，方便管理和控制也是必須考慮的。除此之外還要注意防火墻的基本性能，如效率與安全防護能力、網(wǎng)絡(luò)吞吐量、提供專業(yè)的數(shù)量，以及與其他信息安全產(chǎn)品的聯(lián)動等問題。

3.價格并非越貴越好。不同價格的防火墻保證的安全程度也不同。硬件防火墻因為比軟件防火墻穩(wěn)定和效率更高，一般價格也要高一些。對于有條件的企業(yè)來說，最好選擇整套企業(yè)級的防火墻解決方案。

4.用戶在選擇防火墻時，除了考慮性能與價格外，還應(yīng)考慮廠商提供的售后服務(wù)。一旦使用中遇到用戶解決不了的問題或故障時，廠商應(yīng)及時響應(yīng)、快速解決問題。

三、防火墻的分類

防火墻有很多種分類方法：依據(jù)采用的技術(shù)的不同，防火墻產(chǎn)品可分為軟件防火墻、硬件防火墻和軟硬一體化防火墻；按照應(yīng)用對象的不同，防火墻產(chǎn)品可分為企業(yè)級防火墻與個人防火墻；根據(jù)防御方式的不同，防火墻產(chǎn)品又可分為包過濾型（Packet Filtering）防火墻、應(yīng)用級網(wǎng)關(guān)型（Application Level Gateway）防火墻和服務(wù)型（Proxy Service）防火墻，等等。

四、應(yīng)對企業(yè)中的網(wǎng)絡(luò)安全隱患

擁有諸多用戶和諸多有問題的復(fù)雜服務(wù)的大企業(yè)更具挑戰(zhàn)性?！坝袉栴}的”服務(wù)是指貌似簡單但實際上需要防火墻開放多個端口的服務(wù)，譬如VoIP和NetMeeting。這兩種服務(wù)都需要為25種以上的不同服務(wù)開放端口，所以就應(yīng)該使用應(yīng)用網(wǎng)關(guān)防火墻，或者僅限于嚴格控制的環(huán)境（譬如，從內(nèi)部網(wǎng)絡(luò)、某一組IP地址啟動服務(wù)、只在特定時間段進行）。此外，如果在復(fù)雜的大型環(huán)境安裝防火墻，應(yīng)該使用支持集中式防火墻管理和配置功能的防火墻，譬如PIX、CyberGuard、Firebox、FireWall-1、NetScreen和Sidewinder G2。

對應(yīng)用層數(shù)據(jù)進行加密，已經(jīng)被廣泛地應(yīng)用于各種場合，以提高數(shù)據(jù)的安全性。如在郵箱系統(tǒng)中，就采用了SSL的加密機制。用戶可以選擇是否要對郵件的內(nèi)容進行加密。若用戶選擇SSL加密的話，則在郵件發(fā)送的時候，郵箱系統(tǒng)會自動對整封郵件在應(yīng)用層面上進行加密。

這就對深度檢測防火墻提出了新的挑戰(zhàn)，防火墻必須有對應(yīng)用層數(shù)據(jù)進行加密、解密的能力。因為像一些病毒郵件，其往往隱藏在郵件的附件中，也就是隱藏在應(yīng)用層的數(shù)據(jù)中。而因為對應(yīng)用層的數(shù)據(jù)采取了加密處理，所以一般防火墻不能夠辨別應(yīng)用層數(shù)據(jù)中是否存在著病毒文件。只有防火墻能夠?qū)?yīng)用層數(shù)據(jù)進行解密、加密的能力，才能夠判斷數(shù)據(jù)包中是否含有應(yīng)用層的攻擊信息。所以，如果防火墻的深度檢測功能不能夠?qū)ζ髽I(yè)中的關(guān)鍵應(yīng)用，如郵件系統(tǒng)，提供深度檢測安全性的話（即對應(yīng)用層數(shù)據(jù)進行解密后的檢測），則整個深度檢測就會失去其存在的意義。換句話說，深度檢測只能夠檢測未經(jīng)過加密處理的應(yīng)用層數(shù)據(jù)，其效果就會大大的打折扣。

在企業(yè)的關(guān)鍵應(yīng)用中，一般郵件系統(tǒng)中會實現(xiàn)應(yīng)用層的數(shù)據(jù)加密。除了這個應(yīng)用外，企業(yè)可能在VPN、FTP服務(wù)器、OA服務(wù)器中也實現(xiàn)了類似SSL的加密機制。根據(jù)了解，只要能夠在互聯(lián)網(wǎng)上進行訪問的信息化應(yīng)用，一般都會在應(yīng)用層上對數(shù)據(jù)加密，以提高數(shù)據(jù)的安全性。通過對應(yīng)用層數(shù)據(jù)加密，可以有效地防止攻擊者通過網(wǎng)絡(luò)偵聽的手段竊取公司的機密數(shù)據(jù)。

1.能否有效解決應(yīng)用層字符串匹配問題

在針對應(yīng)用層的攻擊中，很多是通過字符串的匹配不當來實現(xiàn)的。如典型的欺騙IDS攻擊，就是通過這個字符串不匹配而完成的。

有時候為了了解某種請求的安全策略是否被啟用，防火墻通常會根據(jù)請求的信息與自身的安全策略來進行匹配。一旦條件匹配，防火墻就采用對應(yīng)的安全策略。非法攻擊者會利用各種手段，對用戶的請求信息進行偽裝，企圖讓字符串不匹配，以達到越過安全設(shè)備的目的?？梢院唵我稽c來理解：當客戶端想通過防火墻的時候，客戶端的數(shù)據(jù)會向防火墻發(fā)送一個請求。在這個請求信息中，會包含是否需要采用某種安全策略的信息，而這些信息都是通過一些特定的字符串來表示的。當防火墻收到請求信息時，就會把這些字符串跟自身的進行對比。若符合，則采取某種安全策略，如加密等；若不符合，則不會采用安全策略，而以普通的方式轉(zhuǎn)發(fā)。

如此，只要攻擊者對請求者的請求信息進行隨意的更改，就可能導(dǎo)致請求信息字符串與防火墻中的字符串不匹配，從而繞過安全設(shè)備，進行一些非法的勾當。為了解決這個字符串匹配問題，深度檢測技術(shù)設(shè)計了一種“正?；夹g(shù)”。通過這種技術(shù)，能夠讓深度檢測識別隱藏在URL編碼、Unicode數(shù)據(jù)中的應(yīng)用層攻擊行為，以提高應(yīng)用層數(shù)據(jù)的安全性。

2.能否判斷協(xié)議的一致性

數(shù)據(jù)要在網(wǎng)絡(luò)上傳輸，都必須遵守一定的規(guī)范。在網(wǎng)絡(luò)上，數(shù)據(jù)的交通法規(guī)就是各種應(yīng)用層協(xié)議，如HTTP、SMTP、FTP協(xié)議等。這些協(xié)議都有全球統(tǒng)一的規(guī)范。如果員工發(fā)送一封郵件，則應(yīng)用層的數(shù)據(jù)必須符合SMTP協(xié)議的規(guī)范。

但是，很多攻擊者就利用這些規(guī)范來對企業(yè)網(wǎng)絡(luò)進行攻擊。如在郵件中，會插入FTP協(xié)議的內(nèi)容。當用戶查看郵件內(nèi)容的時候，在不知情的情況下，系統(tǒng)自動從FTP服務(wù)器上下載木馬、病毒等非法軟件，實現(xiàn)應(yīng)用層的攻擊。所以，深度檢測技術(shù)既然能夠檢測應(yīng)用層的數(shù)據(jù)，則我們就希望它好事做到底，能夠進一步判斷協(xié)議的一致性。也就是說，其應(yīng)用層中的數(shù)據(jù)所采用的協(xié)議跟其所聲明的協(xié)議類型是否一致。如果不一致的話，則防火墻就需要過濾這個數(shù)據(jù)包，并向管理員提出警告。如果一致的話，就順利轉(zhuǎn)發(fā)。

3.PIX防火墻

為了在組織中高效使用防火墻，需要一個安全策略來確認被保護網(wǎng)絡(luò)的所有數(shù)據(jù)包只能通過防火墻傳遞到非保護網(wǎng)絡(luò)。這樣就能控制誰能訪問網(wǎng)絡(luò)，訪問什么服務(wù)，及如何利用PIX防火墻的功能實現(xiàn)你的安全策略。

本文為全文原貌 未安裝PDF瀏覽器用戶請先下載安裝 原版全文

圖1顯示了PIX防火墻如何保護內(nèi)部網(wǎng)絡(luò)安全地訪問Internet。

在這個結(jié)構(gòu)中，PIX防火墻在被保護網(wǎng)絡(luò)和非保護網(wǎng)絡(luò)之間形成了一個邊界。被保護網(wǎng)絡(luò)和非保護網(wǎng)絡(luò)之間的所有數(shù)據(jù)包流量必須經(jīng)過防火墻以遵循一定的安全策略。被保護網(wǎng)絡(luò)通常能訪問Internet。PIX防火墻讓你將諸如Web、SNMP、E-mail等服務(wù)放置在被保護網(wǎng)絡(luò)中，以控制外部用戶的對這些服務(wù)的訪問。

服務(wù)系統(tǒng)也能放置在Perimeter網(wǎng)絡(luò)中（圖1）。PIX防火墻也能控制和監(jiān)視Inside網(wǎng)絡(luò)或Outside網(wǎng)絡(luò)對這些服務(wù)系統(tǒng)的訪問。

典型的Inside網(wǎng)絡(luò)就是一個組織自己的內(nèi)部Intranet網(wǎng)絡(luò)，外部網(wǎng)絡(luò)就是Internet。但是，PIX防火墻也能在Intranet網(wǎng)絡(luò)中使用以隔離或保護一組內(nèi)部的計算機系統(tǒng)。Perimeter網(wǎng)絡(luò)能和Inside網(wǎng)絡(luò)一樣進行安全配置。PIX防火墻的Inside、Perimeter和Outside接口能監(jiān)聽RIP路由更新消息，如果需要，所有的接口能廣播一個缺省的RIP路由。

PIX防火墻能在兩個或多個網(wǎng)絡(luò)之間防止非授權(quán)的連接，即PIX防火墻能保護一個或多個網(wǎng)絡(luò)，與外部的、非保護的網(wǎng)絡(luò)隔離，防止非授權(quán)訪問。這些網(wǎng)絡(luò)間的所有連接都能被PIX防火墻控制。

當向外連接的數(shù)據(jù)包（Outbound Packets）到達PIX防火墻的被保護接口時（Inside Interface），PIX防火墻檢查先前的數(shù)據(jù)包是否是來自此主機。如果沒有，PIX防火墻就在它的狀態(tài)表為新的連接建立一個轉(zhuǎn)換槽（translation slot）。通過網(wǎng)絡(luò)地址轉(zhuǎn)換（NAT）或端口地址轉(zhuǎn)換（PAT）的分配，這個槽包括內(nèi)部IP地址和一個唯一的全局IP地址。PIX防火墻這時轉(zhuǎn)換這個數(shù)據(jù)包的源IP地址（source IP）為這個唯一的全局IP地址，并按需修改其他字段，然后轉(zhuǎn)發(fā)這個數(shù)據(jù)包到合適的非保護接口。

當向內(nèi)連接的數(shù)據(jù)包（Inbound Packets）到達PIX防火墻的非保護接口時（Outside Interface），它必須先經(jīng)過PIX防火墻的安全檢查。如果數(shù)據(jù)包檢查通過，則PIX防火墻移走這個數(shù)據(jù)包的目的IP地址（Destination IP），插入內(nèi)部的IP地址。這樣，這個數(shù)據(jù)包被轉(zhuǎn)發(fā)到被保護接口。

轉(zhuǎn)換內(nèi)部地址，動態(tài)轉(zhuǎn)換對在Internet上不需要固定地址的桌面計算機是非常有用的。使用非NIC（Network Information Center）注冊的IP地址的內(nèi)部網(wǎng)絡(luò)主機通過在PIX防火墻中的地址轉(zhuǎn)換能直接訪問Internet上的標準TCP/IP程序，而不需要特定的客戶程序。PIX防火墻支持能為每個內(nèi)部主機提供一個全局唯一網(wǎng)絡(luò)地址的網(wǎng)絡(luò)地址轉(zhuǎn)換（NAT），和為許多內(nèi)部主機提供一個共享的全局唯一網(wǎng)絡(luò)地址的端口地址轉(zhuǎn)換（PAT）。NAT和PAT能轉(zhuǎn)換為多達64K主機地址。

PIX防火墻中的另一個地址轉(zhuǎn)換是靜態(tài)轉(zhuǎn)換。靜態(tài)轉(zhuǎn)換能有效地移動一個內(nèi)部的、非注冊主機到防火墻中的虛網(wǎng)。這對一個需要映射到外部Internet網(wǎng)關(guān)的內(nèi)部主機是非常有用的，如SMTP服務(wù)器。

防火墻在網(wǎng)絡(luò)中是一個邏輯裝置，用來保護內(nèi)部的網(wǎng)絡(luò)不受來自Internet的侵害。嚴格意義的防火墻，就是一個或一組系統(tǒng)，用來在兩個或多個網(wǎng)絡(luò)間加強訪問控制。它的目的在于把那些不信任的網(wǎng)絡(luò)隔離在特定的網(wǎng)絡(luò)之外，但又不影響正常工作。其核心思想就是在不安全的網(wǎng)間網(wǎng)環(huán)境中構(gòu)造一個相對安全的子網(wǎng)環(huán)境。因此當我們掌握一定技術(shù)后，便可以充分利用防火墻的技術(shù)，阻止一切危害企業(yè)網(wǎng)安全的隱患，使企業(yè)網(wǎng)絡(luò)正常運行，信息安全得到保證。

參考文獻：

［1］劉曉輝.網(wǎng)絡(luò)基礎(chǔ).機械工業(yè)出版社，2007.

［2］馬亮，杜愷琳.局域網(wǎng)組網(wǎng)技術(shù)與維護管理.電子工業(yè)出版社，2009.

第8篇：防火墻在網(wǎng)絡(luò)中的應(yīng)用范文

本文將從相關(guān)技術(shù)、選購要素、選購策略三個方面進行介紹。

防火墻的分類

防火墻有許多種形式，有的以軟件形式運行在普通計算機之上，有的以硬件形式單獨實現(xiàn)，有的以固件形式設(shè)計在路由器之中?？傮w來說，防火墻可分為四大類：包過濾防火墻、應(yīng)用級網(wǎng)關(guān)和狀態(tài)監(jiān)視器、復(fù)合型防火墻。

1　包過濾防火墻

一般在路由器上實現(xiàn)。工作原理為系統(tǒng)在網(wǎng)絡(luò)層檢查數(shù)據(jù)包，與應(yīng)用層無關(guān)。因此系統(tǒng)具有很好的傳輸性，可擴展能力強，但較容易被黑客所攻破。

在Intemet上，所有信息均被分割成許多一定長度的信息包，包中包含發(fā)送者及接收者的IP地址信息，當這些信息包被送上Intemet時，路由器會讀取接收者的IP并選擇一條合適的物理線路發(fā)送出去，信息包可能經(jīng)由不同的路線抵達目的地，當所有的包抵達目的地后將被重新組裝還原。

包過濾式防火墻會檢查所有通過信息包中的IP地址，并按照系統(tǒng)管理員給定的過濾規(guī)則進行過濾，以屏蔽掉沒被規(guī)則批準的信息。

包過濾防火墻的優(yōu)點為，其對用戶來說是透明的，處理速度快且易于維護，因此通常會被作為網(wǎng)絡(luò)的第一道防線。其缺點為：由于沒有用戶使用記錄，因此管理者難以獲得入侵者的攻擊記錄；系統(tǒng)配置較為繁瑣；可阻擋外部用戶進入內(nèi)網(wǎng)，但不通知管理者何人進入了內(nèi)部系統(tǒng)，或何人從內(nèi)部網(wǎng)進入了Internet；可以阻止外部用戶對私有網(wǎng)絡(luò)的訪問，卻不能記錄內(nèi)部用戶的訪問。

包過濾防火墻最大的弱點是不能鑒別用戶級別及防止IP地址的盜用。因此。攻破一個單純的包過濾式防火墻相對簡單，“IP地址欺騙”及“同步風暴”是黑客攻擊包過濾防火墻時較常用的手段。

2　應(yīng)用級網(wǎng)關(guān)

應(yīng)用級網(wǎng)關(guān)即服務(wù)器。工作原理為，通過檢查所有應(yīng)用層信息包，并將檢查的內(nèi)容信息放入決策過程，從而提高網(wǎng)絡(luò)的安全性，缺點是伸縮性較差。

應(yīng)用級網(wǎng)關(guān)適用于特定的Internet服務(wù)，如HTTP、FTP等等。服務(wù)器常運行在兩個網(wǎng)絡(luò)之間，對于用戶來說其像是一臺服務(wù)器，而對于外部服務(wù)器來說，它又是一臺客戶機。當服務(wù)器接收到用戶對某個站點的訪問請求時，會檢查該請求是否符合規(guī)定，如果規(guī)則允許用戶訪問該站點，服務(wù)器將進入該站點取回所需信息再轉(zhuǎn)發(fā)給用戶。服務(wù)器通常擁有一個高速緩存，這個緩存用于存儲用戶經(jīng)常訪問站點的內(nèi)容，當不同用戶訪問同一站點時，服務(wù)器直接將緩存內(nèi)容發(fā)出即可。

應(yīng)用級網(wǎng)關(guān)的安全性高于單一包過濾，且會詳細記錄所有的訪問狀態(tài)信息，但應(yīng)用級網(wǎng)關(guān)也存在一些不足之處：如它會使訪問速度變慢；應(yīng)用級網(wǎng)關(guān)需要對每一個特定的Intemet服務(wù)安裝相應(yīng)的服務(wù)軟件，用戶不能使用未被服務(wù)器支持的服務(wù)；針對每一類服務(wù)需要使用不同的客戶端軟件，伸縮性較差；并非所有的Intemet應(yīng)用軟件都可以使用服務(wù)器等。

3　狀態(tài)監(jiān)測防火墻

工作原理為，使用了一個在網(wǎng)關(guān)上執(zhí)行網(wǎng)絡(luò)安全策略的監(jiān)測引擎軟件模塊，在不影響網(wǎng)絡(luò)正常運行的前提下，采用抽取有關(guān)數(shù)據(jù)的方法對網(wǎng)絡(luò)通信的各層實施監(jiān)測。安全性高，且監(jiān)測引擎支持多種協(xié)議及應(yīng)用程序，很容易實現(xiàn)對應(yīng)用及服務(wù)的升級。

與前兩種防火墻不同，當用戶的訪問請求到達網(wǎng)關(guān)操作系統(tǒng)前，狀態(tài)監(jiān)視器會抽取有關(guān)數(shù)據(jù)進行分析，結(jié)合網(wǎng)絡(luò)配置和安全規(guī)定做出接納、拒絕、身份認證、報警或給該通信加密等處理動作。

該產(chǎn)品的優(yōu)點為，一旦某個訪問違反安全規(guī)定，就會被拒絕報告有關(guān)狀態(tài)并進行日志記錄；可自動監(jiān)測無連接狀態(tài)的遠程過程調(diào)用(RPC)和用戶數(shù)據(jù)報(UDP)等端口信息，安全性能大大提升。其劣勢為，配置較復(fù)雜。降低了網(wǎng)絡(luò)速度，為了解決這一問題，目前一些防火墻產(chǎn)品嘗試通過采用面向?qū)ο蟮膱D形用戶界面(GUI)來定義安全策略規(guī)。以簡化配置過程。

4　復(fù)合型防火墻

復(fù)合型防火墻為綜合了狀態(tài)檢測與透明的新一代防火墻，其基于ASIC架構(gòu)，將防病毒、內(nèi)容過濾整合到防火墻中，實現(xiàn)了安全性能的新突破。

常規(guī)的防火墻不能防止隱蔽在網(wǎng)絡(luò)流量里的攻擊，復(fù)合型防火墻通過在網(wǎng)絡(luò)界面對應(yīng)用層進行掃描，將防病毒、內(nèi)容過濾與防火墻結(jié)合起來，體現(xiàn)出網(wǎng)絡(luò)與信息安全發(fā)展的一種新思路。其通過在網(wǎng)絡(luò)邊界實施OSI第七層內(nèi)容掃描，實現(xiàn)了實時在網(wǎng)絡(luò)邊緣部署病毒防護、內(nèi)容過濾等應(yīng)用層安全服務(wù)措施。

選購要素

防火墻作為網(wǎng)絡(luò)安全體系的基礎(chǔ)及核心控制設(shè)備，貫穿于受控網(wǎng)絡(luò)通信的整個主干線，其不但對通過受控千線的所有通信行為進行安全處理，同時也承擔著繁重的通信任務(wù)，用戶在選購時，應(yīng)主要從以下幾個方面進行分析和比較。

1　安全性

選擇防火墻時不但應(yīng)關(guān)注其如何控制連接及防火墻能支持多少種服務(wù)等功能，更應(yīng)關(guān)注其自身的健壯性。

2　可靠性

從系統(tǒng)設(shè)計上，提高可靠性的措施一般為提高本身部件的強健性、增大設(shè)計閾值和增加冗余部件，因此要求系統(tǒng)須有較高的生產(chǎn)標準及設(shè)計冗余度。

3　靈活性

即對通信行為的有效控制，其要求防火墻設(shè)備有一系列不同級別、可滿足不同用戶各類安全控制需求的控制能力。

4　經(jīng)濟性

用戶應(yīng)根據(jù)自己的安全需求考慮采用那種產(chǎn)品，除考慮價格因素外，管理、維護及消耗材料的費用等也應(yīng)考慮在內(nèi)。

5　高性能

作為影響網(wǎng)絡(luò)性能的瓶頸，防火墻性能是用戶在選購時必須重點考察的指標。一般的衡量指標主要包括：網(wǎng)絡(luò)吞吐量、丟包率、延遲、連接數(shù)等。

6　豐富的功能

安全策略中往往有些特殊需求(如網(wǎng)絡(luò)地址轉(zhuǎn)Q、雙重DNS、擬專用網(wǎng)絡(luò)、掃毒等功能等)，這些功能并不是每一個防火墻產(chǎn)品均可以提供，因此性能的豐富性也應(yīng)是選擇防火墻的考慮因素之一。

7　配置的方便性

在網(wǎng)絡(luò)人口及出口處安裝新的網(wǎng)絡(luò)設(shè)備是每個網(wǎng)管員的噩夢，而支持透明通信的防火墻，在安裝時不需要對原網(wǎng)絡(luò)配置做任何改動，所做的工作只相當于安裝一個網(wǎng)橋或Hub。

8　管理的簡便性

對于防火墻類訪問控制設(shè)備，除不斷進行安全控制策略調(diào)整外，還須對業(yè)務(wù)系統(tǒng)訪問控制進行頻繁調(diào)整。

選購策略

防火墻的選擇要從需求出發(fā)，結(jié)合實際情況制訂選購的策略，應(yīng)盡量避免一味的對高參數(shù)、新產(chǎn)品的追求，注重產(chǎn)品的性價比和適用性，下面筆者針對一些實際情況介紹一點經(jīng)驗。

1　不要輕信“外來和尚”

在網(wǎng)絡(luò)安全，甚至是計算機領(lǐng)域，我們完全不用崇洋。很多國內(nèi)防火墻產(chǎn)品不僅功能較為全面，很容易應(yīng)用，且服務(wù)本地化，性價比非常好。

2　按需選擇性能指標

選擇產(chǎn)品時一定要有前瞻性，產(chǎn)品最好能適應(yīng)1～2年后網(wǎng)絡(luò)的擴展需求，在資金有限的情況下，還應(yīng)仔細衡量一下，哪些指標對自己是最有用的。如有些用戶片面追求最大并發(fā)連接數(shù)，認為并發(fā)連接數(shù)越大越好，其實這是一些廠商的誤導(dǎo)，對于百兆防火墻來說，100萬的并發(fā)連接對于應(yīng)用已綽綽有余，其他的指標的選擇也一樣，按需選擇才是根本。

3　科學分析功能需求

第9篇：防火墻在網(wǎng)絡(luò)中的應(yīng)用范文

關(guān)鍵詞：內(nèi)部網(wǎng)絡(luò)；外部網(wǎng)絡(luò)；平安

一、防火墻功用概述

防火墻是一個維護安裝，它是一個或一組網(wǎng)絡(luò)設(shè)備安裝。通常是指運轉(zhuǎn)特別編寫或更改正操作系統(tǒng)的計算機，它的目的就是維護內(nèi)部網(wǎng)的訪問平安。防火墻能夠裝置在兩個組織構(gòu)造的內(nèi)部網(wǎng)與外部的Internet之間，同時在多個組織構(gòu)造的內(nèi)部網(wǎng)和Internet之間也會起到同樣的維護作用。它主要的維護就是增強外部Internet對內(nèi)部網(wǎng)的訪問控制，它主要任務(wù)是允許特別的銜接經(jīng)過，也能夠阻止其他不允許的銜接。防火墻只是網(wǎng)絡(luò)平安戰(zhàn)略的一局部，它經(jīng)過少數(shù)幾個良好的監(jiān)控位置來停止內(nèi)部網(wǎng)與Internet的銜接。防火墻的中心功用主要是包過濾。其中入侵檢測，控管規(guī)則過濾，實時監(jiān)控及電子郵件過濾這些功用都是基于封包過濾技術(shù)的。防火墻的主體功用歸結(jié)為以下幾點：依據(jù)應(yīng)用程序訪問規(guī)則可對應(yīng)用程序連網(wǎng)動作停止過濾；對應(yīng)用程序訪問規(guī)則具有自學習功用；可實時監(jiān)控，監(jiān)視網(wǎng)絡(luò)活動；具有日志，以記載網(wǎng)絡(luò)訪問動作的細致信息；被攔阻時能經(jīng)過聲音或閃爍圖標給用戶報警提示。

防火墻僅靠這些中心技術(shù)功用是遠遠不夠的。中心技術(shù)是根底，必需在這個根底之上參加輔助功用才干流利的工作。而完成防火墻的中心功用是封包過濾。在邏輯上，防火墻是一個別離器，一個限制器，也是一個剖析器，有效地監(jiān)控了內(nèi)部網(wǎng)和Internet之間的任何活動，保證了內(nèi)部網(wǎng)絡(luò)的平安（見圖1）。

二、防火墻主要技術(shù)特性

應(yīng)用層采用Winsock2SPI停止網(wǎng)絡(luò)數(shù)據(jù)控制、過濾；中心層采用NDISHOOK停止控制，特別是在Windows2000下，此技術(shù)屬微軟未公開技術(shù)。

此防火墻還采用兩種封包過濾技術(shù)：

一是應(yīng)用層封包過濾，采用Winsock2SPI；

二是中心層封包過濾，采用NDIS_HOOK。Winsock2SPI工作在API之下、Driver之上，屬于應(yīng)用層的范疇。應(yīng)用這項技術(shù)能夠截獲一切的基于Socket的網(wǎng)絡(luò)通訊。采用Winsock2SPI的優(yōu)點是十分明顯的：其工作在應(yīng)用層以DLL的方式存在，編程、測試便當；跨Windows平臺，能夠直接在Windows98/ME/NT/2000/XP上通用，Windows95只需裝置上Winsock2for95，也能夠正常運轉(zhuǎn)；效率高，由于工作在應(yīng)用層，CPU占用率低；封包還沒有依照低層協(xié)議停止切片，所以比擬完好。而防火墻正是在TCP/IP協(xié)議在windows的根底上才得以完成。在構(gòu)筑防火墻維護網(wǎng)絡(luò)之前，需求制定一套完好有效的平安戰(zhàn)略，這種平安戰(zhàn)略普通分為兩層：網(wǎng)絡(luò)效勞訪問戰(zhàn)略和防火墻設(shè)計謀略。

三、網(wǎng)絡(luò)效勞訪問戰(zhàn)略

網(wǎng)絡(luò)效勞訪問戰(zhàn)略是一種高層次的、詳細到事情的戰(zhàn)略，主要用于定義在網(wǎng)絡(luò)中允許的或制止的網(wǎng)絡(luò)效勞，還包括對撥號訪問以及SLIP/PPP銜接的限制。這是由于對一種網(wǎng)絡(luò)效勞的限制可能會促運用戶運用其他的辦法，所以其他的途徑也應(yīng)遭到維護。網(wǎng)絡(luò)效勞訪問戰(zhàn)略不但應(yīng)該是一個站點平安戰(zhàn)略的延伸，而且關(guān)于機構(gòu)內(nèi)部資源的維護也起全局的作用。這種戰(zhàn)略可能包括許多事情，從文件切碎條例到病毒掃描程序，從遠程訪問到挪動介質(zhì)的管理。

四、防火墻的設(shè)計謀略

防火墻的設(shè)計謀略是詳細地針對防火墻，擔任制定相應(yīng)的規(guī)章制度來施行網(wǎng)絡(luò)效勞訪問戰(zhàn)略。在制定這種戰(zhàn)略之前，必需理解這種防火墻的性能以及缺陷、TCP/IP本身所具有的易攻擊性和風險。防火墻普通執(zhí)行以下兩種根本戰(zhàn)略中的一種：除非明白不允許，否則允許某種效勞；除非明白允許，否則將制止某項效勞。

執(zhí)行第一種戰(zhàn)略的防火墻在默許狀況下允許一切的效勞，除非管理員對某種效勞明白表示制止。執(zhí)行第二種戰(zhàn)略的防火墻在默許狀況下制止一切的效勞，除非管理員對某種效勞明白表示允許。防火墻能夠施行一種寬松的戰(zhàn)略（第一種），也能夠施行一種限制性戰(zhàn)略（第二種），這就是制定防火墻戰(zhàn)略的動手點。一個站點能夠把一些必需的而又不能經(jīng)過防火墻的效勞放在屏蔽子網(wǎng)上，和其他的系統(tǒng)隔離。

五、設(shè)計時需求思索的問題

為了肯定防火墻設(shè)計謀略，進而構(gòu)建完成戰(zhàn)略的防火墻，應(yīng)從最平安的防火墻設(shè)計謀略開端，即除非明白允許，否則制止某種效勞。戰(zhàn)略應(yīng)該處理以下的問題：需求什么效勞；在哪里運用這些效勞；能否應(yīng)當支持撥號入網(wǎng)和加密等效勞；提供這些效勞的風險是什么；若提供這種維護，可能會招致網(wǎng)絡(luò)運用上的不便當?shù)蓉撁嬗绊?，這些影響會有多大，能否值付出這種代價；和可用性相比，站點的平安性放在什么位置。