防火墻在網(wǎng)絡(luò)中的作用精選(九篇)

前言：一篇好文章的誕生，需要你不斷地搜集資料、整理思路，本站小編為你收集了豐富的防火墻在網(wǎng)絡(luò)中的作用主題范文，僅供參考，歡迎閱讀并收藏。

第1篇：防火墻在網(wǎng)絡(luò)中的作用范文

關(guān)鍵詞 防火墻；網(wǎng)絡(luò)安全；技術(shù)研究

中圖分類號：TP393 文獻標識碼：A 文章編號：1671-7597（2014）02-0116-01

信息時代的到來，促使網(wǎng)絡(luò)已經(jīng)涉足到我國的各個領(lǐng)域，不論是運行工作，還是機密防護，都涉及到網(wǎng)絡(luò)，網(wǎng)絡(luò)安全逐漸成為重點關(guān)注的內(nèi)容。為保障網(wǎng)絡(luò)安全，可利用防火墻的檢測、警示、防護作用，維持網(wǎng)絡(luò)環(huán)境的安全狀態(tài)，避免惡意攻擊和病毒植入，近幾年，有關(guān)防火墻的新型技術(shù)不斷出現(xiàn)，例如：加密、認證等，嚴謹控制網(wǎng)絡(luò)環(huán)境，提高防火墻的把關(guān)工作。

1 防火墻簡介

防火墻是針對網(wǎng)絡(luò)環(huán)境而言，網(wǎng)絡(luò)信息在交互的過程中，通過防火墻，實現(xiàn)由內(nèi)而外、自外而內(nèi)的保護，例如：外部信息進入內(nèi)部網(wǎng)絡(luò)環(huán)境時，防火墻可以利用內(nèi)部的組件，對流通信息實行高質(zhì)量檢測，符合內(nèi)部網(wǎng)絡(luò)要求時，防火墻才可“放行”信息，如發(fā)現(xiàn)危險信息，防火墻會主動隔斷其與內(nèi)部的聯(lián)系，然后生成安全日志，防止同名惡意信息的再次攻擊，因此，防火墻本身具備高質(zhì)量的運行系統(tǒng)。防火墻具備防御的性質(zhì)，發(fā)揮限制信息的作用，而且防火墻干預(yù)的范圍非常廣，基本可以保護所控制的網(wǎng)絡(luò)整體，既要確保系統(tǒng)不被外界惡意信息攻擊，又要保障內(nèi)部信息的安全儲存，防止信息泄露，同時防火墻還可以起到隔離的作用，一方面有效分析運行、傳遞的信息，另一方面限制信息往來，體現(xiàn)防火墻獨立的信息處理能力。

2 防火墻在網(wǎng)絡(luò)安全中的要點

網(wǎng)絡(luò)安全技術(shù)中，防火墻具備不可缺少的一部分，同時期在對網(wǎng)絡(luò)信息進行安全保護時，表現(xiàn)出諸多要點，必須做好防火墻要點分析的工作，才可發(fā)揮防火墻的保護作用。

2.1 防火墻的維護

防火墻是根據(jù)外界攻擊的類型、特性實行升級更新，在安裝后，需實行同步維護，開發(fā)者研發(fā)防火墻后，并不是可以一直維護網(wǎng)絡(luò)環(huán)境，需對其進行有針對的更新，根據(jù)防火墻在使用中表現(xiàn)出的缺陷，進行實質(zhì)修復(fù)，所以使用者必須注重后期維護，時刻跟蹤防火墻的狀態(tài)，保障防火墻時刻處于最新型的保護狀態(tài)。

2.2 防火墻的配置

防火墻的配置，即是實現(xiàn)信息保護的策略，通過合理的配置，可以提高防火墻的防護能力，因此必須保障配置原則，首先需要分析網(wǎng)絡(luò)環(huán)境的風險級別，采取合理的防護配置，避免高風險對應(yīng)低級配，然后分析網(wǎng)絡(luò)運行要素，針對網(wǎng)絡(luò)需求，選擇合理的配置，再次明確策略，主要是根據(jù)網(wǎng)絡(luò)的危險性，制定防火墻策略，實現(xiàn)最優(yōu)處理，最后搭配適宜，重點是實現(xiàn)網(wǎng)絡(luò)是防護的高度吻合性。

2.3 防火墻的失效處理

防火墻雖然可以起到防護作用，但是在一定程度上，有可能被惡意攻破，導(dǎo)致其處于失效狀態(tài)，防火墻一旦失效，即表示其暫時失去防護能力，主要觀察防火墻的失效狀態(tài)，看是否能夠自行恢復(fù)防御效果，一般防火墻會自動重啟，逐步恢復(fù)失效前的能力，此時使用者可關(guān)閉防火墻內(nèi)的所有通道，禁止數(shù)據(jù)流通，對防火墻實行評估、檢測，達到正常后，在投入使用。

2.4 防火墻的規(guī)則使用

防火墻在使用規(guī)則方面，遵循“四部曲”的工作流程，即策略、體系、規(guī)則和規(guī)則集。按照四項使用流程，在保障信息安全的基礎(chǔ)上，增加流通性，維護信息的真實性，體現(xiàn)防火墻的保護功能，其中最重要的是規(guī)則集，其可確保防火墻的狀態(tài)，促使防火墻時刻處于信息檢查的狀態(tài)，將出、入的信息如實記錄。

3 防火墻在網(wǎng)絡(luò)安全中的分類和功能

網(wǎng)絡(luò)是時刻處于不同類型的變動狀態(tài)中，防火墻必須摸清網(wǎng)絡(luò)的變化特性，才可發(fā)揮防御功能，目前針對網(wǎng)絡(luò)的不同使用特性，防火墻出現(xiàn)不同性質(zhì)的分類，對防火墻的分類和功能做以下分析。

3.1 防火墻的分類

按照性質(zhì)可將防火墻分為三類：監(jiān)測型、型和過濾型，分析如下。

1）監(jiān)測型。監(jiān)測型屬于目前安全性能比較高的一類，支持后臺維護，即自動對正在運行的網(wǎng)絡(luò)，實行抽檢、防護，而且不會造成任何網(wǎng)絡(luò)負擔，有效監(jiān)測網(wǎng)絡(luò)是否存在外來攻擊，同時防止網(wǎng)絡(luò)內(nèi)部的自行攻擊，結(jié)合網(wǎng)絡(luò)層次和機制，監(jiān)測網(wǎng)絡(luò)運行。

2）型。型雖然效率高，但是安全性能存在不足之處，其可在內(nèi)外交接的過程中，有效掩藏內(nèi)網(wǎng)，切斷內(nèi)外連接，避免內(nèi)網(wǎng)遭遇攻擊，型主要是防止木馬、病毒以及其他惡意植入，此類防火墻使用時，必須搭配合理的服務(wù)器，以此提高防御的效率。

3）過濾型。過濾型應(yīng)用在數(shù)據(jù)流通較大的網(wǎng)絡(luò)內(nèi)，其主要的作用對象也是數(shù)據(jù)流，因為其在維護上沒有較高的要求，所以其為防護基礎(chǔ)，基本網(wǎng)絡(luò)環(huán)境中，都安裝此類防火墻。

3.2 防火墻的功能

1）控制內(nèi)部數(shù)據(jù)。通過防火墻，加強網(wǎng)絡(luò)訪問的安全度，例如：防火墻對網(wǎng)絡(luò)訪問者實行身份驗證，保障訪問安全，保障內(nèi)部訪問者的安全登錄，確保內(nèi)部信息、數(shù)據(jù)的安全，避免內(nèi)部出現(xiàn)行為攻擊。

2）提高網(wǎng)絡(luò)安全度。防火墻與網(wǎng)絡(luò)其他防護軟件形成組合，提高安全程度，高端防火墻還實現(xiàn)專有信息，即加密內(nèi)部信息，對信息進行集中處理，在信息流通的過程中，必須經(jīng)過防火墻的加密保護和檢測。

3）監(jiān)控網(wǎng)絡(luò)運行。防火墻可以有效監(jiān)控網(wǎng)絡(luò)運行，警示發(fā)生在網(wǎng)絡(luò)區(qū)域內(nèi)的行為，一旦發(fā)現(xiàn)網(wǎng)絡(luò)危險，立刻提示，記錄并處理危險動作，分析是否存在攻擊信息。

4）屏蔽外界干擾。防火墻可以針對網(wǎng)絡(luò)形成整體的保護層，避免外界危險信息的入侵，防火墻中包含協(xié)議解析功能，針對外界進入的信息，分析路徑、IP，進而搜索到信息來源，部分外界攻擊容易利用IP，因為IP協(xié)議處于暴露狀態(tài)，所以防火墻重點屏蔽網(wǎng)絡(luò)IP處的信息干擾，同時防火墻可以屏蔽網(wǎng)絡(luò)的多項暴露處，避免為外界攻擊構(gòu)成信息通道。

4 結(jié)束語

防火墻本身是建立在運行系統(tǒng)基礎(chǔ)上的軟件，針對網(wǎng)絡(luò)構(gòu)建安全的運行環(huán)境，目前，防火墻在網(wǎng)絡(luò)安全中占據(jù)重要地位，因此，社會投入大量的科研力量，重點研究防火墻中的網(wǎng)絡(luò)技術(shù)，促使其既可以形成保護系統(tǒng)，又可以提高網(wǎng)絡(luò)的安全效果，營造可靠、安全、穩(wěn)定的網(wǎng)絡(luò)環(huán)境，積極推進網(wǎng)絡(luò)在企業(yè)中的利用度，同時保障企業(yè)網(wǎng)絡(luò)系統(tǒng)的運行。

參考文獻

[1]張連銀.防火墻技術(shù)在網(wǎng)絡(luò)安全中的應(yīng)用[J].科技資訊，2012（09）：90-92.

[2]劉彥保.防火墻技術(shù)及其在網(wǎng)絡(luò)安全中的應(yīng)用[J].延安教育學院學報，2012（02）：56-58.

第2篇：防火墻在網(wǎng)絡(luò)中的作用范文

關(guān)鍵詞：防火墻；網(wǎng)絡(luò)安全；發(fā)展趨勢

一、防火墻技術(shù)在網(wǎng)絡(luò)安全應(yīng)用中的重要性

防火墻最基本的功能就是控制在計算機網(wǎng)絡(luò)中，不同信任程度區(qū)域間傳送的數(shù)據(jù)流。例如互聯(lián)網(wǎng)是不可信任的區(qū)域，而內(nèi)部網(wǎng)絡(luò)是高度信任的區(qū)域。以避免安全策略中禁止的一些通信，與建筑中的防火墻功能相似。它在網(wǎng)絡(luò)安全應(yīng)用中的重要性主要包括以下幾個方面：

1.網(wǎng)絡(luò)安全的屏障

防火墻能極大地提高一個內(nèi)部網(wǎng)絡(luò)的安全性，并通過過濾不安全的服務(wù)而降低風險。由于只有經(jīng)過精心選擇的應(yīng)用協(xié)議才能通過防火墻，所以網(wǎng)絡(luò)環(huán)境變得更安全。防火墻同時可以保護網(wǎng)絡(luò)免受基于路由的攻擊，防火墻應(yīng)該可以拒絕所有以上類型攻擊的報文并通知防火墻管理員。

2.強化網(wǎng)絡(luò)安全策略

通過以防火墻為中心的安全方案配置，能將所有安全軟件（如口令、加密、身份認證、審計等）配置在防火墻上。與將網(wǎng)絡(luò)安全問題分散到各個主機上相比，防火墻的集中安全管理更經(jīng)濟。

3.監(jiān)控網(wǎng)絡(luò)存取和訪問

如果所有的訪問都經(jīng)過防火墻，那么，防火墻就能記錄下這些訪問并作出日志記錄，同時也能提供網(wǎng)絡(luò)使用情況的統(tǒng)計數(shù)據(jù)。當發(fā)生可疑動作時，防火墻能進行適當?shù)膱缶⑻峁┚W(wǎng)絡(luò)是否受到監(jiān)測和攻擊的詳細信息。另外，收集一個網(wǎng)絡(luò)的使用和誤用情況也是非常重要的。首先的理由是可以清楚防火墻是否能夠抵擋攻擊者的探測和攻擊，并且清楚防火墻的控制是否充足。

4.防止內(nèi)部信息的外泄

通過利用防火墻對內(nèi)部網(wǎng)絡(luò)的劃分，可實現(xiàn)內(nèi)部網(wǎng)重點網(wǎng)段的隔離，從而限制了局部重點或敏感網(wǎng)絡(luò)安全問題對全局網(wǎng)絡(luò)造成的影響。再者，隱私是內(nèi)部網(wǎng)絡(luò)非常關(guān)心的問題，一個內(nèi)部網(wǎng)絡(luò)中不引人注意的細節(jié)可能包含了有關(guān)安全的線索而引起外部攻擊者的興趣，甚至因此而暴漏了內(nèi)部網(wǎng)絡(luò)的某些安全漏洞。

二、防火墻技術(shù)在網(wǎng)絡(luò)安全中的應(yīng)用現(xiàn)狀

隨著防火墻技術(shù)的不斷更新，新型的防火墻技術(shù)安全性能更高，它綜合了過濾和技術(shù)，克服二者在安全方面的缺陷，不僅覆蓋了傳統(tǒng)包過濾防火墻的全部功能，而且在全面對抗IP欺騙、ARP、ICMP、SYNFlood等共計手段方面有明顯的優(yōu)勢和效果，增強了服務(wù)，并使其與包過濾相融合，加上智能過濾技術(shù)，使得防火墻的安全性能有了長足提高。目前新型防火墻技術(shù)主要包括以下幾種：

1.分布式防火墻技術(shù)，指那些駐留在網(wǎng)絡(luò)中主機如服務(wù)器或桌面機并對主機系統(tǒng)自身提供安全保護的軟件產(chǎn)品，廣義上講，分布式防火墻是一種新的防火墻體系結(jié)構(gòu)，包括用于內(nèi)外部網(wǎng)之間和內(nèi)網(wǎng)之間防護的網(wǎng)絡(luò)防火墻、對網(wǎng)絡(luò)中服務(wù)器和桌面機保護的主機防火墻、用于保護網(wǎng)絡(luò)中單一設(shè)備的中心邊界防火墻等。

2.嵌入式防火墻技術(shù)，指內(nèi)嵌于路由器或交換機的防火墻，通常也被稱為阻塞點防火墻，這種防火墻能彌補并改善各類安全能力不足的企業(yè)邊緣防火墻、基于主機的應(yīng)用程序、網(wǎng)絡(luò)程序、入侵檢測告警程序和防病毒程序等，確保企業(yè)內(nèi)部和外部的網(wǎng)絡(luò)安全。

3.職能防火墻技術(shù)，通過利用統(tǒng)計、記憶、概率和決策的職能方法對數(shù)據(jù)進行識別，并達到訪問控制的目的，由于這些方法多時人工職能學科采用的方法，也統(tǒng)稱為職能防火墻，通常這種防火墻的關(guān)鍵技術(shù)包括防攻擊技術(shù)、防掃描技術(shù)、防欺騙技術(shù)、入侵防御技術(shù)、包擦洗和協(xié)議正?；夹g(shù)、AAA技術(shù)等。

雖然防火墻技術(shù)越來越成熟，功能也越來越強大，但依然存在一些不足，主要表現(xiàn)在以下幾個方面：

1.不能防御不經(jīng)過防火墻的攻擊，顯而易見，若果防火墻布置在企業(yè)網(wǎng)絡(luò)的邊界 ，對進出企業(yè)的信息進行過濾，而企業(yè)內(nèi)部的電腦通過撥號網(wǎng)絡(luò)直接與外網(wǎng)連接的話，防火墻就不起作用。

2.不能防御計算機病毒的攻擊，計算機病毒攻擊的方式層出不窮，大多數(shù)防火墻都是根據(jù)系統(tǒng)存在的漏洞進行攻擊，對于這種攻擊防火墻常常無能為力。

3.防火墻自身存在安全漏洞，無論是硬件還是軟件防火墻，都會或多或少的存在設(shè)計漏洞，一些不法分子可能會利用這些設(shè)計上的漏洞繞過防火墻對系統(tǒng)進行攻擊。

4.對防御數(shù)據(jù)驅(qū)動式的攻擊無能為力，作為一種常見的攻擊方式，但其每次通過防火墻時的數(shù)據(jù)卻都是符合規(guī)則的，但這些數(shù)據(jù)組合以后就會對系統(tǒng)進行破壞。

5.以損失有用服務(wù)為代價，為了信息安全，我們通常會關(guān)閉一些不必要的服務(wù)，但這些服務(wù)中也有許多有價值的服務(wù)信息，雖然可以一定程度上提高計算機應(yīng)用的安全性，但也必須以放棄一部分使用價值為代價。

三、防火墻技術(shù)的未來發(fā)展趨勢

針對目前防火墻不能解決的問題以及越來越多的網(wǎng)絡(luò)攻擊方式的出現(xiàn)，對防火墻技術(shù)也必將有更高的要求，未來將向高速度、多功能和安全性更高的方向發(fā)展，其未來發(fā)展趨勢可以從包過濾技術(shù)、防火墻體系結(jié)構(gòu)和防火墻系統(tǒng)管理三方面來實現(xiàn)。

1.在防火墻包過濾技術(shù)發(fā)展方面，首先安全策略功能會更加強大，新的防火墻技術(shù)會把在AAA系統(tǒng)上運用的用戶認證及其服務(wù)擴展到防火墻中，使其擁有可以支持基于用戶角色的安全策略功能，使得用戶在身份驗證方面的安全功能增強。其次，加強防火墻的多級過濾技術(shù)，通過多級的過濾技術(shù)并配合其它方面的鑒別手段，可以從不同層面過濾掉所有的源路由分組、假冒IP源地址、禁止出或入的協(xié)議、有害數(shù)據(jù)包、控制和監(jiān)測互聯(lián)網(wǎng)提供的所有通用服務(wù)等，在一定程度上彌補單獨過濾技術(shù)的不足。同時，新的防火墻技術(shù)或會增加更多的擴展功能，甚至包括防病毒和入侵監(jiān)測等主流功能。

2.在防火墻體系結(jié)構(gòu)發(fā)展方面，隨著互聯(lián)網(wǎng)用戶的增加，以及用戶對網(wǎng)絡(luò)的更高要求，防火墻技術(shù)也必須以更加快速的數(shù)據(jù)處理來滿足顯示要求。目前出現(xiàn)的基于ASIC的防火墻和基于網(wǎng)絡(luò)處理器的防火墻都在不同程度上順應(yīng)著這種潮流，這兩種防火墻技術(shù)性能雖然得到了大幅度的提高，但是，它們依然有其不足之處，如基于ASIC的防火墻是使用專門餓硬件處理網(wǎng)絡(luò)數(shù)據(jù)流，但純硬件的ASIC防火墻缺乏可編程性，使得其靈活性大打折扣。而基于網(wǎng)絡(luò)處理器的防火墻雖然屬于基于軟件的解決方案，而且靈活性更強，但其作用的發(fā)揮很大程度上取決于軟件性能的好壞。因此比較理想化的解決方案是增加ASIC芯片的可編程性，使其能夠更好的和軟件想配合，這樣才能同時滿足運行性能和靈活性能的要求。

3.在防火墻的系統(tǒng)管理發(fā)展方面，分布式和分層的安全結(jié)構(gòu)的集中管理方式是未來的發(fā)展趨勢，這種集中的管理方式不僅能降低管理成本，而且能在網(wǎng)絡(luò)安全中保證策略的一致性，使得防火墻能夠起到快速響應(yīng)和快速防御的效果。其次，未來防火墻的系統(tǒng)管理方面將擁有更加強大的審計功能和自動日志分析功能，通過這些方面的加強，能夠更早的發(fā)現(xiàn)潛在的威脅并采取有效地預(yù)防措施，在日常中，通過其日志分析功能，能夠及早的幫助計算機管理員發(fā)現(xiàn)系統(tǒng)中可能存在的安全漏洞，對做到早預(yù)防和調(diào)整安全管理策略是必不可少的。最后，網(wǎng)絡(luò)安全產(chǎn)品的系統(tǒng)化也是未來的發(fā)展的趨勢，因為目前的防火墻技術(shù)難以滿足當前的網(wǎng)絡(luò)安全要求，通過建立以防火墻為核心的安全體系，就可以為內(nèi)部網(wǎng)絡(luò)提供更多的安全保障，使各安全技術(shù)各司其職，從各個方面防御外來入侵。

參考文獻

[1]馬東輝.入侵檢測系統(tǒng)與防火墻在教育網(wǎng)絡(luò)中的互動應(yīng)用研究[D].中國石油大學.2011年

[2]劉波.防火墻穿透技術(shù)的研究與實現(xiàn)[D].沈陽工業(yè)大學.2009年

[3]黃晗輝.防火墻規(guī)則的異常檢測及優(yōu)化研究[D].重慶大學.2010年

[4]陳文惠.防火墻系統(tǒng)策略配置研究[D].中國科學技術(shù)大學.2007年

第3篇：防火墻在網(wǎng)絡(luò)中的作用范文

關(guān)鍵詞：網(wǎng)絡(luò)；防火墻

中圖分類號：TP393文獻標識碼：A文章編號：1007-9599 (2011) 03-0000-01

Network Firewall Technology Development

Chen Xi

(Baoding Branch of China Tietong,Baoding71000,China)

Abstract:The rapid development of the network to bring convenience,but also a lot of inconvenience to the 3G users,intrusion,virus infection and other serious threats to the user's normal use of 3G network,so firewall,played a crucial role in the development of This article on the status of 3G network development and existing threats,analysis of network firewall technology to help ensure the normal use of the user better.

Keywords:Network;Firewall

網(wǎng)址對于網(wǎng)絡(luò)安全來說防火墻是主要的一個防御機制，在整個網(wǎng)絡(luò)系統(tǒng)中起到至關(guān)重要的作用。防火墻的技術(shù)、自身的功能、保護能力、網(wǎng)絡(luò)結(jié)構(gòu)、安全策略等因素，是網(wǎng)絡(luò)安全性的決定性因素，而在網(wǎng)絡(luò)迅猛發(fā)展的今天，對網(wǎng)絡(luò)安全和防護的要求就越來越迫切，網(wǎng)絡(luò)防火墻被用作為加強控制網(wǎng)絡(luò)之間的互訪，嚴防外部網(wǎng)絡(luò)用戶惡意通過外網(wǎng)入侵內(nèi)部網(wǎng)絡(luò)，并對網(wǎng)絡(luò)之間的數(shù)據(jù)包的傳輸進行實時監(jiān)控，判斷網(wǎng)絡(luò)之間通信的合法性，以及網(wǎng)絡(luò)運行的狀態(tài)。

一、防火墻的類型

網(wǎng)絡(luò)在人們的平常生活中越來越普及化，網(wǎng)絡(luò)的安全就越來越受到了人們的重視，防火墻成為網(wǎng)絡(luò)安全的一個重要保障。防火墻的種類多樣化，根據(jù)應(yīng)用技術(shù)的不同，可分為一下幾類：

（一）防火墻的初級產(chǎn)品：包過濾型防火墻它的核心為傳輸技術(shù)，通過讀取數(shù)據(jù)包中的地址信息來辨別數(shù)據(jù)包的合法性，辨別其來自的網(wǎng)站是否安全，如果是危險的數(shù)據(jù)包，防火墻最自動將其抑制，包過濾技術(shù)具有簡單實用的優(yōu)點，而且成本低，經(jīng)常是以較小的代價實現(xiàn)對系統(tǒng)的保障，但是其常常無法識別應(yīng)用層的惡意攻擊。

（二）網(wǎng)絡(luò)地址轉(zhuǎn)化（network address translation）NATNAT的主要技術(shù)是將IP地址轉(zhuǎn)化為臨時的、注冊的外部IP地址，同時允許私有IP地址用戶訪問因特網(wǎng)，系統(tǒng)將源端口和源地址映射為一個偽裝的地址和端口，用偽裝的地址與端口與外網(wǎng)建立連接，從而以達到隱藏真實的IP地址。

（三）型防火墻型防火墻亦可稱作為服務(wù)器，它是一種安全性相對較高的產(chǎn)品，其位于服務(wù)器與用戶級之間，對于兩者之間的數(shù)據(jù)交流可以起到很好的監(jiān)控和阻攔危險數(shù)據(jù)的作用，避免了外部的一些惡意攻擊，為網(wǎng)絡(luò)與用戶之間建立了一條有效安全的綠色通道，其優(yōu)點是安全性較高，對應(yīng)用層可以做到有效的掃描和偵測，對于抑制應(yīng)用層的病毒侵入和感染十分有效，劣勢就是管理起來相對復(fù)雜。

（四）監(jiān)測型防火墻監(jiān)測型防火墻是一種新的產(chǎn)品，它對網(wǎng)絡(luò)各層的數(shù)據(jù)予以主動的、實時的監(jiān)控，對于各層中的惡意入侵和非法操作的監(jiān)控、判斷更為行之有效，而且防范能力也得到了大幅度的提升，其優(yōu)點它的防御能力已完全超越了前幾種類型防火墻，但劣勢也比較明顯，成本高，管理困難。

二、在網(wǎng)絡(luò)安全的五個體系中防火墻處于五層中的最低層，負責網(wǎng)絡(luò)數(shù)據(jù)的安全傳輸與認證

由于網(wǎng)絡(luò)的全球化和重要性，網(wǎng)絡(luò)安全的重要性也隨之深入人心。從發(fā)展的角度看，防火墻技術(shù)正在向其它各層的網(wǎng)絡(luò)安全延伸。由于網(wǎng)絡(luò)病毒的不斷升級，隨之其防火墻的技術(shù)與職能也在迅速的拓展。

（一）向著多級過濾技術(shù)發(fā)展網(wǎng)絡(luò)會向著多級過濾技術(shù)發(fā)展，多級過濾技術(shù)的定義是：采用多級過濾措施，在分組過濾（網(wǎng)絡(luò)層）一級，對所有的源路由分組和假冒的IP源地址進行過濾；應(yīng)遵循過濾規(guī)則，過濾掉所有（傳輸層）一級，違反規(guī)則的的協(xié)議和有害數(shù)據(jù)包；在應(yīng)用網(wǎng)關(guān)（應(yīng)用層）一級，能利用不同的網(wǎng)關(guān)，操控和監(jiān)測到Internet提供的所有服務(wù)。我們可以通過這個技術(shù)的理解上開發(fā)出更多的擴展技術(shù)。

（二）動態(tài)封包過濾技術(shù)動態(tài)封包過濾技術(shù)與傳統(tǒng)的數(shù)據(jù)包過濾技術(shù)相比較：傳統(tǒng)的數(shù)據(jù)包技術(shù)職能檢測到單個的數(shù)據(jù)包的包頭和單一的判斷信息是否轉(zhuǎn)發(fā)或丟棄，動態(tài)數(shù)據(jù)包過濾技術(shù)則是著重于連續(xù)封閉包包間的關(guān)聯(lián)性以及其出入的檢測；過濾；加密解密或者傳輸，并作進一步的用戶身份認證，他能夠深入檢查出數(shù)據(jù)包，查出內(nèi)部存在的惡意行為，識別惡意數(shù)據(jù)流量，阻斷惡意攻擊的出現(xiàn)，并且具備識別黑客的非法掃描，有效阻斷非法的欺騙信息。

三、網(wǎng)絡(luò)防火墻產(chǎn)品發(fā)展趨勢

網(wǎng)絡(luò)信息技術(shù)的飛速發(fā)展，硬件設(shè)施的不斷更新，隨之帶來防火墻產(chǎn)品的不斷換代以及產(chǎn)品技術(shù)的迅速進展，數(shù)據(jù)的安全、身份的認證以及病毒阻控和入侵檢測等成為了防火墻的發(fā)展方向，其發(fā)展趨勢主要有：

（一）模式轉(zhuǎn)變。傳統(tǒng)的防火墻主要是用來把數(shù)據(jù)流，形成分隔開來，從而劃分出安全的管理區(qū)。普遍位于網(wǎng)絡(luò)的邊緣。而傳統(tǒng)的防火墻設(shè)計缺乏對內(nèi)網(wǎng)惡意攻擊者的防范，而新的防火墻產(chǎn)品以網(wǎng)絡(luò)節(jié)點為保護對象，最大限度的保護對象，提高網(wǎng)絡(luò)安全級別，增強保護作用。

（二）技術(shù)整合。通過對防火墻技術(shù)的了解?？梢愿忧宄恼J識各類技術(shù)的優(yōu)缺點。這對于今后防火墻的技術(shù)整起到了促進的作用。

（三）性能提高。隨著網(wǎng)絡(luò)的飛速發(fā)展，千兆網(wǎng)絡(luò)也逐漸在普及，在未來防火墻產(chǎn)品的發(fā)展上將會有更強處理功能的防火墻問市。在硬件上，千兆防火墻的主要選擇將會為網(wǎng)絡(luò)處理器（Network Processor）和專用集成電路（ASIC）技術(shù)?？梢酝ㄟ^優(yōu)化存儲器等資源，使防火墻達到線速千兆。在軟件上為了能夠達到防火墻在性能上的要求，未來將會融入更多的先進技術(shù)理念并應(yīng)用到實踐中去，從而做到與性能相匹配。

四、結(jié)束語

在網(wǎng)絡(luò)已成為人們普遍使用工具的當下，網(wǎng)絡(luò)安全性已成為人們探討的焦點。而作為保護網(wǎng)絡(luò)安全性手段之一的防火墻技術(shù)已成為人們普遍使用的手段。不僅針對于個人，也保護著企業(yè)內(nèi)部的網(wǎng)絡(luò)安全。隨著網(wǎng)絡(luò)的安全性不斷的受到侵害，安全性也在不斷的更新。未來多級過濾技術(shù)、動態(tài)封包過濾技術(shù)將會運用到實戰(zhàn)中來。防火墻技術(shù)也將更加多元化，更加方便、快捷、安全。能夠使防火墻技術(shù)的不斷完善這不僅關(guān)系到某個領(lǐng)域，更會涉及到信息安全的未來。

參考文獻：

[1]馮登國.計算機通信網(wǎng)絡(luò)安全[M].北京:清華大學出版社,2001:104

第4篇：防火墻在網(wǎng)絡(luò)中的作用范文

【關(guān)鍵詞】網(wǎng)絡(luò)安全；校園網(wǎng)；防火墻技術(shù)

一、防火墻技術(shù)在校園網(wǎng)建設(shè)中的重要性

現(xiàn)代社會是電子信息的社會，網(wǎng)絡(luò)已經(jīng)成為遍及社會和家庭的必要工具。隨著計算機網(wǎng)絡(luò)技術(shù)的不斷進步，相應(yīng)的網(wǎng)絡(luò)安全問題也逐步成為人們的關(guān)注焦點。

一些懷有惡意的網(wǎng)絡(luò)攻擊，對網(wǎng)絡(luò)客戶端的使用者進行信息盜取，修改網(wǎng)絡(luò)數(shù)據(jù)，通過遠程控制電腦非法占用電腦使用者資料信息。網(wǎng)絡(luò)作為一個公開的信息交換工具就具有潛在的危險性。網(wǎng)絡(luò)安全是一個特殊的領(lǐng)域，收到全球的高度重視。因此網(wǎng)絡(luò)安全技術(shù)十分重要。

高校雖然和具有商業(yè)機密的企業(yè)網(wǎng)有著一定的差距，但是校園網(wǎng)依舊有自己的安全保護需要和保護內(nèi)容。首先安全安靜的網(wǎng)絡(luò)環(huán)境是學校保護學生身心健康的重要手段?，F(xiàn)在我國的大部分高校依舊采用的是大面積的覆蓋，很多棟建筑還有教學課堂都在逐步走向網(wǎng)絡(luò)化的進程中。越來越多的學生都在運用網(wǎng)絡(luò)進行學習和娛樂，并且使用網(wǎng)絡(luò)的時間在不斷加長，這些都是的網(wǎng)絡(luò)的安全管理工作越來越重要，也越來越有管理難度。

在平時的教學當中，關(guān)于教學的網(wǎng)絡(luò)資源的調(diào)配工作越來越成為學校關(guān)注的問題，網(wǎng)絡(luò)寬帶的使用和分配，如何滿足現(xiàn)代教育多媒體教學技術(shù)應(yīng)用的需求。多媒體教學中包括遠程技術(shù)的使用，校園網(wǎng)的用戶認證，防止惡意的網(wǎng)絡(luò)攻擊和校園網(wǎng)上不良信息的傳播等。很多校園網(wǎng)絡(luò)沒有設(shè)置相應(yīng)的安全防護系統(tǒng)，學生們在課堂上能夠任意鏈接IE瀏覽各種信息，其中包括一些網(wǎng)上的不良信息。這些不僅影響教師的教學進度，而且影響學生的身心健康和正常發(fā)展。

網(wǎng)絡(luò)安全是當前所有網(wǎng)絡(luò)用戶最為關(guān)注的問題，目前的防火墻技術(shù)已經(jīng)成為保護校園網(wǎng)絡(luò)安全，正確解決校園安全隱患的有效工具。防火墻并不是單單包括防火墻軟件的應(yīng)用，還包括防火墻硬件的配置。這樣的防火墻技術(shù)能夠確保電腦更加安全，但是費用也相對來說比較高。防火墻技術(shù)必須隨著網(wǎng)絡(luò)技術(shù)的不斷發(fā)展而進步變化，只有如此才能真正確保電腦校園網(wǎng)絡(luò)的安全和穩(wěn)定。

二、防火墻技術(shù)在高校校園網(wǎng)中的選用原則

（一）防火墻技術(shù)概念

防火墻技術(shù)對于加強網(wǎng)絡(luò)管理和網(wǎng)絡(luò)控制起到很大的作用。通過對網(wǎng)絡(luò)的訪問之間加強控制，防止用戶受到非法訪問的騷擾。防火墻是一種保護網(wǎng)絡(luò)整體環(huán)境安全的設(shè)備。它對多個網(wǎng)絡(luò)用戶之間的資源傳送和連接方式都有相應(yīng)的安全策略。網(wǎng)絡(luò)之間的通信只有通過防火墻技術(shù)的檢查才能夠確保整個網(wǎng)絡(luò)的安全運行，是整個網(wǎng)絡(luò)處于防火墻技術(shù)的監(jiān)控下。

（二）高校校園網(wǎng)中使用防火墻的選用原則

選擇防火墻的標準有很多，但最重要的是以下幾條：

1.總體擁有成本

防火墻產(chǎn)品作為網(wǎng)絡(luò)系統(tǒng)的安全屏障，其TCO（Total Cost of Ownership，總體擁有成本）不應(yīng)該超過受保護網(wǎng)絡(luò)系統(tǒng)可能遭受最大損失的成本。以一個非關(guān)鍵部門的網(wǎng)絡(luò)系統(tǒng)為例，假如其系統(tǒng)中的所有信息及所支持應(yīng)用的總價值為10萬元，則該部門所配備防火墻的總成本也不應(yīng)該超過10萬元。當然，對于關(guān)鍵部門來說，其所造成的負面影響和連帶損失也應(yīng)考慮在內(nèi)。

2.防火墻本身是安全的

作為信息系統(tǒng)安全產(chǎn)品，防火墻本身也應(yīng)該保證安全，不給外部侵入者以可乘之機。

3.管理與培訓

管理和培訓是評價一個防火墻好壞的重要方面。人員的培訓和日常維護費用通常會在TCO中占據(jù)較大的比例。一家優(yōu)秀秀的安全產(chǎn)品供應(yīng)商必須為其用戶提供良好的培訓和售后服務(wù)。

4.可擴充性

網(wǎng)絡(luò)系統(tǒng)在建設(shè)的初始階段往往由內(nèi)部信息的系統(tǒng)規(guī)模比較小，遭受的損失可能就比較小，太昂貴的防火墻產(chǎn)品就顯得沒有必要。隨著現(xiàn)代社會中的網(wǎng)絡(luò)不斷發(fā)展，網(wǎng)絡(luò)信息安全成本不斷上升，遭受網(wǎng)絡(luò)損失的可能性和危害性都增強了，因此越來越多的用戶面對可能付出的昂貴的損失，選擇了更加安全可靠的防火墻產(chǎn)品。好的防火墻技術(shù)能夠在保障網(wǎng)絡(luò)安全的同時給予用戶高度是自我空間，有較好的的產(chǎn)品彈性。

三、高校校園網(wǎng)中常用的防火墻技術(shù)

防火墻是一種在內(nèi)外部網(wǎng)絡(luò)建立保護層，保護內(nèi)外部網(wǎng)絡(luò)資源不被破壞。使用防火墻能夠有效的使內(nèi)部網(wǎng)絡(luò)的訪問受到保護，使其擁有一個保護層，避免內(nèi)部網(wǎng)絡(luò)受到外部網(wǎng)絡(luò)的干擾，而不影響內(nèi)部網(wǎng)絡(luò)成員對外網(wǎng)絡(luò)資源的訪問。同時校園網(wǎng)絡(luò)的為了維護網(wǎng)絡(luò)的穩(wěn)定和安全一定不會選用單一的防火墻技術(shù)。其中常用的保護校園網(wǎng)絡(luò)的技術(shù)主要包括以下幾方面。這些技術(shù)能夠綜合全面的解決高校校園網(wǎng)絡(luò)的各項安全問題。

（一）包過濾技術(shù)

包過濾技術(shù)是在網(wǎng)絡(luò)中適當?shù)奈恢蒙蠈?shù)據(jù)包實施有選擇的過濾。包過濾防火墻一般含有一個包檢查模塊，它可以安裝在網(wǎng)關(guān)或路由器上，處于系統(tǒng)的TCP（Transfer Controln Protocol，傳輸控制協(xié)議）層和IP（Internet Protocol，網(wǎng)際協(xié)議）層之間，以便搶在操作系統(tǒng)或路由器的TCP層之前對IP包進行處理。通過檢查模塊的處理，防火墻可以對進出站的數(shù)據(jù)進行檢查，驗證數(shù)據(jù)包是否符合過濾規(guī)則。

（二）技術(shù)

技術(shù)是針對每一個特定應(yīng)用服務(wù)的控制，它作用于應(yīng)用層，具有狀態(tài)性的特點，能提供部分與傳輸有關(guān)的狀態(tài)，起到外部網(wǎng)絡(luò)向內(nèi)部網(wǎng)絡(luò)申請服務(wù)時的中間轉(zhuǎn)接作用。內(nèi)部網(wǎng)絡(luò)只接受提出的服務(wù)請求，拒絕外部網(wǎng)絡(luò)其他節(jié)點的直接請求。提供服務(wù)的可以是一臺雙宿網(wǎng)關(guān)，也可以是一臺堡壘主機。

（三）狀態(tài)檢查技術(shù)

在網(wǎng)絡(luò)層實現(xiàn)網(wǎng)絡(luò)防火墻技術(shù)包括很多方面技術(shù)的支持。其中狀態(tài)檢查就是其中一項技術(shù)。狀態(tài)檢查技術(shù)采用的是在網(wǎng)關(guān)上安裝和運行安全引擎，對網(wǎng)絡(luò)進行模塊檢測。模塊檢測是在不影響網(wǎng)絡(luò)正常運行的前提下進行的。它能夠?qū)W(wǎng)絡(luò)通信進行信息抽取，實行動態(tài)檢測，更容易實現(xiàn)網(wǎng)絡(luò)系統(tǒng)的全面安全管理。

（四）內(nèi)容檢查技術(shù)

內(nèi)容檢查技術(shù)提供對高層服務(wù)協(xié)議數(shù)據(jù)的監(jiān)控，以確保數(shù)據(jù)流的安全。它是一個利用智能方式來分析數(shù)據(jù)，使系統(tǒng)免受信息內(nèi)容安全威脅的軟件組。

以上內(nèi)容是在解決高校網(wǎng)絡(luò)安全中防火墻措施所起到的作用和相應(yīng)的設(shè)置。防火墻不僅完美的過濾掉了高校局域網(wǎng)中的不良信息，保留了健康有用的信息，而且維護了課堂的正常秩序，同時防火墻的安裝能夠保障校園網(wǎng)絡(luò)的平穩(wěn)運行。通過以上的闡述，我們能夠正確認識到防火墻技術(shù)在網(wǎng)絡(luò)安全尤其是校園網(wǎng)絡(luò)安全方面的重要性和必要性。近年來計算機網(wǎng)絡(luò)的發(fā)展已經(jīng)成為了不可阻擋的潮流，人們對于計算機網(wǎng)絡(luò)的要求也在不斷的增加。網(wǎng)絡(luò)安全問題也成為人們所關(guān)注的焦點問題，針對計算機網(wǎng)絡(luò)世界的安全問題，更加先進的防火墻技術(shù)和合理的軟硬件搭配組合就會隨之出現(xiàn)，計算機網(wǎng)絡(luò)的安全在不斷的增強。經(jīng)過事實證明，好的合理的防火墻技術(shù)選擇是保護計算機安全的重要條件。對于擁有商業(yè)機密的企業(yè)電子網(wǎng)絡(luò)或者是高校的局域網(wǎng)絡(luò)，只有通過合理的防火墻技術(shù)才能夠保證網(wǎng)絡(luò)安全。維護了網(wǎng)絡(luò)安全就是維護了我們的教育成果，保證了我們的教學方法能夠順利實施。相信在不久的將來，我國的防火墻技術(shù)也會隨著我國的網(wǎng)絡(luò)技術(shù)不斷發(fā)展，超越現(xiàn)有的能力和水平，更加強大的網(wǎng)絡(luò)防火墻技術(shù)會不斷呈現(xiàn)在我們的面前。

參考文獻：

第5篇：防火墻在網(wǎng)絡(luò)中的作用范文

關(guān)鍵詞：防火墻技術(shù)；網(wǎng)絡(luò)；安全

1防火墻技術(shù)

防火墻是計算機網(wǎng)絡(luò)安全必須用到的技術(shù)，其能夠?qū)⒂嬎銠C網(wǎng)絡(luò)資源確保在安全范圍內(nèi)。這種技術(shù)的使用原理是要提前設(shè)置該保護目標，讓其有規(guī)律地對計算機網(wǎng)絡(luò)信息以及數(shù)據(jù)進行授權(quán)和限制，防火墻技術(shù)在使用過程中會主動記錄網(wǎng)絡(luò)信息與數(shù)據(jù)來源，其控制著計算機的運行條件與使用方法，以此杜絕外來攻擊對計算機內(nèi)部造成的影響，其可以在不同的角度與層面上來確保計算機網(wǎng)絡(luò)資源的安全。防火墻技術(shù)在計算機網(wǎng)絡(luò)信息安全中發(fā)揮著非常重要的作用。

2計算機網(wǎng)絡(luò)安全中的防火墻技術(shù)

2.1服務(wù)器型

在防火墻技術(shù)中服務(wù)器型防火墻是通過在主機上運用的一種服務(wù)程序，直接面對計算機上特定的應(yīng)用服務(wù)，因此也將它稱為應(yīng)用型防火墻。這種技術(shù)將參照計算機上的運行模式先進行設(shè)置服務(wù)器，之后再利用服務(wù)器展開信息交換模式，即外部網(wǎng)絡(luò)想要與內(nèi)部網(wǎng)絡(luò)建立連接，就必須得通過服務(wù)器的轉(zhuǎn)換，內(nèi)部網(wǎng)絡(luò)只接受服務(wù)器所提出的要求，拒絕外部網(wǎng)絡(luò)連接的直接請求。把網(wǎng)絡(luò)信息從內(nèi)部網(wǎng)絡(luò)傳送到外部網(wǎng)絡(luò)之后將帶著正確的IP信息歸來，因此黑客也正是利用服務(wù)器的這個特點，將病毒植于數(shù)據(jù)IP之中帶到內(nèi)部網(wǎng)絡(luò)中來，這時，殺毒軟件也利用同樣的原理與防火墻聯(lián)合將攻擊者的IP信息路徑進行分析，準確地找到攻擊者IP的源頭。由于服務(wù)器可以虛擬IP，這使攻擊者IP找不到實用的信息，這樣可以很好地保護計算機內(nèi)部網(wǎng)絡(luò)安全，再加上服務(wù)器還有中轉(zhuǎn)的特性，能夠很好地控制內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)的信息交換，從而大大提升了計算機網(wǎng)絡(luò)的安全水平。服務(wù)器對網(wǎng)關(guān)具有很高的要求，要建立相應(yīng)的網(wǎng)關(guān)層面，充分發(fā)揮網(wǎng)關(guān)的作用，使服務(wù)器的價值得到有效的運用，以此來實現(xiàn)計算機網(wǎng)絡(luò)安全與穩(wěn)定的維護和發(fā)展。

2.2包過濾型技術(shù)

這種包過濾技術(shù)是在傳統(tǒng)的路由器中增加了分組過濾功能的防火墻，其能夠在計算機網(wǎng)絡(luò)中進行安全風險識別過濾，這種防火墻技術(shù)是一種最簡單完全透明的過濾型技術(shù)。此技術(shù)在計算機傳輸信息過程中能獲取數(shù)據(jù)來源地的IP，并且還能主動將該IP的數(shù)據(jù)信息掌握標記好。如果注冊該技術(shù)與標記的IP相符，就存在著數(shù)據(jù)包有危險因素，此時就要將其中的安全隱患處理好才可以進行數(shù)據(jù)傳輸。包過濾技術(shù)將計算機傳輸路徑進行劃分工作，確定不同的傳輸路徑，能夠很好地保障計算機網(wǎng)絡(luò)的傳輸安全，這種技術(shù)通常用于路由器以及主機等地方，可以根據(jù)計算機網(wǎng)絡(luò)需求提供相應(yīng)的安保需求。但是，這種技術(shù)也受本身的端口限制，因此在兼容性能上來說是比較差的。

2.3混合型技術(shù)

混合型防火墻技術(shù)在計算機網(wǎng)絡(luò)安全中是效果最突出的一種復(fù)合技術(shù)，是把包過濾與服務(wù)器等諸多功能相結(jié)合形成的新型防火墻結(jié)構(gòu)。這種技術(shù)可以很靈活的保障計算機網(wǎng)絡(luò)的安全運行，此技術(shù)把單一的技術(shù)問題與漏洞進行了改善，是近年來計算機網(wǎng)絡(luò)安全運行非常重視的一項技術(shù)研究。這種技術(shù)具有一定的靈活性，以動態(tài)的過濾方法打破信息交換的方式，智能的感應(yīng)系統(tǒng)有效地提高了計算機網(wǎng)絡(luò)信息傳輸?shù)碾[蔽性，提升了網(wǎng)絡(luò)空間的安全水平。防火墻技術(shù)與復(fù)合技術(shù)二者雙管齊下進行保護，形成了一種混合型的多方位層次度不同的防火墻系統(tǒng)，充分提高了防火墻的實時安保效果。

3防火墻技術(shù)的發(fā)展

3.1檢測模式的轉(zhuǎn)變

如今這種類型防火墻技術(shù)已成為計算機網(wǎng)絡(luò)安全中最具代表性的一種防火墻模式。傳統(tǒng)的防火墻都是在邊界處以數(shù)據(jù)傳輸進行分隔安全管理，不能很好地對內(nèi)部網(wǎng)絡(luò)進行安全隱患提醒清除。因此，防火墻技術(shù)開始分布式結(jié)構(gòu)轉(zhuǎn)變，將每個網(wǎng)絡(luò)節(jié)點進行覆蓋保護，很好的確定了流量的方向，減少了計算機網(wǎng)絡(luò)安全檢測的難度，最大限度地提升了網(wǎng)絡(luò)安全保護的強度，很好地改善了傳統(tǒng)防火墻的缺陷與漏洞問題，讓網(wǎng)絡(luò)安全防御性得到升華，大大提升了計算機網(wǎng)絡(luò)信息安全保障。

3.2功能改變

如今防火墻技術(shù)呈現(xiàn)出一種集多種功能于一體的設(shè)計趨勢，其包括aaa、vpn，甚至是防病毒以及入侵檢測等功能都被設(shè)計于防火墻之中，這樣多功能技術(shù)的防火墻對網(wǎng)絡(luò)信息管理帶來了不少便捷。當然，這種擴展式網(wǎng)絡(luò)管理首先要想到防火墻系統(tǒng)本身的安全性能不被破壞。

3.3性能提升

由于計算機網(wǎng)絡(luò)應(yīng)用逐漸豐富、流量也日益復(fù)雜，所以，在防火墻技術(shù)硬件性能上的要求也越來越高。當防火墻某個硬件性能達到一定瓶頸期的時候，我們可以把部分硬件進行升級處理，以此來達到網(wǎng)絡(luò)安全的目的。因此，在未來防火墻技術(shù)軟件中融入更先進的設(shè)計技術(shù)來衍生出更多專用平臺來緩解防火墻性能要求是必不可少的技術(shù)研究。

4防火墻技術(shù)在計算機網(wǎng)絡(luò)安全中的應(yīng)用及策略

4.1訪問策略中應(yīng)用

訪問策略對于計算機使用中的網(wǎng)絡(luò)安全具有直接的影響作用，把配置通過詳細的安排讓訪問策略對整個計算機的運行信息進行細致入微的分析統(tǒng)計，以此來建立起完善的防護系統(tǒng)。訪問策略在網(wǎng)絡(luò)安全執(zhí)行保護的過程中會產(chǎn)生策略表，此表可以很好地將策略活動進行記錄，然后防火墻技術(shù)會根據(jù)策略表來執(zhí)行其應(yīng)有的任務(wù)，真正有效地實現(xiàn)計算機網(wǎng)絡(luò)安全保護的效果與目的。

4.2日志監(jiān)控中應(yīng)用

防火墻技術(shù)對保護日志進行分析，能夠讓人們掌握高價值的信息，在計算機運行的過程中，需要對日志進行重點保護，對于某個類型的日志進行全面的采集，這就使防火墻需要承擔巨大的工作內(nèi)容，因此需要合理地進行分門別類，將監(jiān)管力度加大，使日志采集更具有便捷性，避免一些惡意屏蔽信息的現(xiàn)象出現(xiàn)。有時關(guān)鍵信息會隱藏在類別信息中，用戶可以根據(jù)需求將有價值的信息提取出來，根據(jù)日志監(jiān)控的基礎(chǔ)，提升防火墻技術(shù)安全保護效果，以此讓其更好地進行篩選，從而實現(xiàn)網(wǎng)絡(luò)流量得到優(yōu)化的目的。

4.3安全配置中應(yīng)用

防火墻技術(shù)對于安全配置有著很高的要求，其最大的特點在于安全配置隔離區(qū)域之中的運行方式，即信息流由防火墻技術(shù)自動監(jiān)控，通過對地址轉(zhuǎn)換的利用，將內(nèi)網(wǎng)信息IP流入外網(wǎng)時轉(zhuǎn)換為公共IP信息，這樣才能防止IP信息被追蹤解析，這時安全配置會很好地發(fā)揮其隱藏IP、防止外網(wǎng)入侵等作用，為內(nèi)網(wǎng)安全提供有力的保護。

第6篇：防火墻在網(wǎng)絡(luò)中的作用范文

關(guān)鍵詞：網(wǎng)絡(luò)信息安全；大型網(wǎng)絡(luò)；硬件防火墻；三次握手；過濾；CPU負載

伴隨著信息技術(shù)的發(fā)展，網(wǎng)絡(luò)已經(jīng)成為人們工作生活必不可少的工具，而網(wǎng)絡(luò)信息安全也越來越受到人們的重視。防火墻技術(shù)的發(fā)展將促進防火墻成為網(wǎng)絡(luò)安全的重要保障，而硬件防火墻會成為保護大中型網(wǎng)絡(luò)信息安全的首選!

一、大中型網(wǎng)絡(luò)為何選擇硬件防火墻

軟件防火墻是安裝在計算機操作平臺的軟件產(chǎn)品，它通過在操作系統(tǒng)底層工作來實現(xiàn)管理網(wǎng)絡(luò)和優(yōu)化防御功能。

對于大中型網(wǎng)絡(luò)來說，將軟件防火墻裝人內(nèi)部網(wǎng)絡(luò)的每臺設(shè)備和內(nèi)部服務(wù)器中來保護網(wǎng)絡(luò)安全的工作量是巨大的，在實際操作比較困難。首先，大中型網(wǎng)絡(luò)需要穩(wěn)定高速運行，而基于操作系統(tǒng)的軟件防火墻運行將會給CPU增加超重負荷，造成路由不穩(wěn)定，勢必影響網(wǎng)絡(luò)。其次，大中型網(wǎng)絡(luò)會是黑客們攻擊的對象，面對高速密集的DOS(拒絕服務(wù))攻擊，顯然，單憑軟件防火墻本身承受能力是無法做到抵御黑客，保護網(wǎng)絡(luò)安全的。再次，軟件防火墻在兼容性方面不及硬件防火墻。正是軟件防火墻存在這些缺點．在大中型網(wǎng)絡(luò)中一般會采用硬件防火墻。

二、硬件防火墻的工作原理和網(wǎng)絡(luò)安全防御策略

2．1防火墻在網(wǎng)絡(luò)中的位置

外部防火墻工作在外部網(wǎng)絡(luò)和內(nèi)部網(wǎng)絡(luò)之間，這樣的布署將內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)有效地隔離起來，已達到增加內(nèi)部網(wǎng)絡(luò)安全的目的。一般情況下，還要設(shè)立一個隔離區(qū)(DMZ)，放人公開的服務(wù)器，讓外網(wǎng)訪問時，就能增加內(nèi)網(wǎng)的安全。而內(nèi)部防火墻保護隔離區(qū)對內(nèi)網(wǎng)的訪問安全，這樣的綜合布署將有效提高網(wǎng)絡(luò)安全。

2．2硬件防火墻的構(gòu)成

硬件防火墻為了克服軟件防火墻在大中型網(wǎng)絡(luò)中的不足，對軟件防火墻進行了改進。通過硬件和軟件的結(jié)合來設(shè)計防火墻，硬件和軟件部分都必須單獨設(shè)計，將軟件防火墻嵌入在硬件中同時，采用專門的操作系統(tǒng)平臺(加入Linux系統(tǒng)，因為有些指令程序需要安裝在Windows系統(tǒng)之中，而Windows穩(wěn)定性不如Linux，如果在本身就很脆弱的系統(tǒng)平臺中布署安全策略．這樣的防火墻也會不安全)，從而避免通用操作系統(tǒng)的安全性漏洞。對軟硬件的特殊要求，使硬件防火墻的實際帶寬與理論值基本一致，提高吞吐量、增加安全性，加快運行速度。將這樣的硬件防火墻安裝進入大中型網(wǎng)絡(luò)，不僅在可以有效地保障內(nèi)網(wǎng)與外網(wǎng)鏈接時的安全．而且可以保障內(nèi)部網(wǎng)絡(luò)中不同部門不同區(qū)域之間的安全。

2．3大中型網(wǎng)絡(luò)安全威脅來源

現(xiàn)今的網(wǎng)絡(luò)使用的都是TcP，IP協(xié)議，TCP報文段傳輸最重要的就是報文段首部(segmenthea&r)~的內(nèi)容?？蛻舳撕头?wù)端的服務(wù)響應(yīng)都是與報文段首部的數(shù)據(jù)相關(guān)聯(lián)，而三次握手能夠?qū)崿F(xiàn)也和報文段首部的數(shù)據(jù)相關(guān)，其安全性也取決于首部內(nèi)容，因此黑客經(jīng)常利用TCPflP協(xié)議的漏洞對報文段首部下手從而實現(xiàn)有外網(wǎng)對內(nèi)網(wǎng)進行攻擊。

在大中型網(wǎng)絡(luò)內(nèi)部也有部門的劃分，對于一些比較重要的部門就連內(nèi)部網(wǎng)絡(luò)其他部門也要授權(quán)后才能進行訪問，這樣就會最大限度保障網(wǎng)絡(luò)的安全，因為有的大型網(wǎng)絡(luò)的安全關(guān)系到國家社會的安全和穩(wěn)定，所以如果在內(nèi)部發(fā)生網(wǎng)絡(luò)威脅將會帶來更大的損失。

2．4網(wǎng)絡(luò)中的攻擊手段

網(wǎng)絡(luò)中主要的攻擊手段就是對服務(wù)器實行拒絕服務(wù)攻擊，用IP欺騙使服務(wù)器復(fù)位合法用戶的連接，使其不能正常連接．還有就是迫使服務(wù)器緩沖區(qū)滿，無法接受新的請求。

2．4．1偽造IP欺騙攻擊

IP欺騙中攻擊者構(gòu)造一個TCP數(shù)據(jù)，偽裝自己的IP和一個合法用戶IP相同，并且對服務(wù)器發(fā)送TCP數(shù)據(jù)，數(shù)據(jù)中包含復(fù)位鏈接位(RST)，當發(fā)送的連接有錯誤時，服務(wù)器就會清空緩沖區(qū)中建立好的正確連接。這時，如果那個合法用戶要再發(fā)送合法數(shù)據(jù)，服務(wù)器就不會為其服務(wù)，該用戶必須重新建立連接。

2．4．2SYNFLooD攻擊

SYNFLOOD是利用了TCP協(xié)議的缺陷，一個正常的TCP連接需要三次握手，首先客戶端發(fā)送一個包含SYN標志的數(shù)據(jù)包，然后服務(wù)器返回一個SYN／ACK的應(yīng)答包，表示客戶端的請求被接受，最后客戶端再返回一個確認包ACK，這樣才完成TCP連接。在服務(wù)器端發(fā)送應(yīng)答包后，如果客戶端不發(fā)出確認，服務(wù)器會等待到超時，期間這些半連接狀態(tài)都保存在一個空間有限的緩沖區(qū)隊列(BacklogQueue)中。SYNFLOOD攻擊就是利用服務(wù)器的連接緩沖區(qū)，使用一些特制的程序(可以設(shè)置TCP報文段的首部，使整個T0P拉文與正常報文類似，但無法建立連接)，向服務(wù)器端不斷地成倍發(fā)送僅有SYN標志的TCP連接請求，當服務(wù)器接收的時候，都認為是沒有建立起來的連接請求，于是為這些請求建立會話，排到緩沖區(qū)隊列中，這樣就會使服務(wù)器端的TCP資源迅速耗盡，當緩沖區(qū)隊列滿時，服務(wù)器就不再接收新的連接請求了。其他合法用戶的連接都會被拒絕，導(dǎo)致正常的連接不能進入，甚至會導(dǎo)致服務(wù)器的系統(tǒng)崩潰。

2．4．3ACKHood攻擊

用戶和服務(wù)器之間建立了TCP連接后，所有TCP報文都會帶有ACK標志位，服務(wù)器接受到報文時，會檢查數(shù)據(jù)包中表示連接的數(shù)據(jù)是否存在，如果存在，在檢查連接狀態(tài)是否合法，合法就將數(shù)據(jù)傳送給應(yīng)用層，非法則服務(wù)器操作系統(tǒng)協(xié)議棧會回應(yīng)RST包給用戶。對于JSP服務(wù)器來說，小的ACK包沖擊就會導(dǎo)致服務(wù)器艱難處理正常得連接請求，而大批量高密度的ACKFlood會讓A．pache或IIS服務(wù)器出現(xiàn)高頻率的網(wǎng)卡中斷和過重負載，最終會導(dǎo)致網(wǎng)卡停止響應(yīng)。ACKFlood會對路由器等網(wǎng)絡(luò)設(shè)備以及服務(wù)器造成影響。

2．4．4UDPFlood攻擊

UDPFlood攻擊是利用UDP協(xié)議無連接的特點，偽造大量客戶端IP地址向服務(wù)器發(fā)起UDP連接，一旦服務(wù)器有一個端口響應(yīng)并提供服務(wù)，就會遭到攻擊，UDPFlood會對視頻服務(wù)器和DNS服務(wù)器等造成攻擊。

2．4．5ICMPFlood攻擊

ICMPFlood通過Pin生的大量數(shù)據(jù)包，發(fā)送給服務(wù)器，服務(wù)器收到大量ICMP數(shù)據(jù)包，使CPU占用率滿載繼而引起該TCP／IP棧癱瘓，并停止響應(yīng)TCP／IP請求，從而遭受攻擊，因此運行逐漸變慢，進而死機。

除了以上幾種攻擊手段，在網(wǎng)絡(luò)中還存在一些其他攻擊手段，如寬帶DOS攻擊，自身消耗DOS攻擊，將服務(wù)器硬盤裝滿，利用安全策略漏洞等等，這些需要硬件防火墻對其做出合理有效防御。

2．5硬件防火墻防御攻擊的策略

2．5．1偽造IP欺騙攻擊的防御策略

當IP數(shù)據(jù)包出內(nèi)網(wǎng)時檢驗其IP源地址，每一個連接內(nèi)網(wǎng)的硬件防火墻在決定是否允許本網(wǎng)內(nèi)部的IP數(shù)據(jù)包發(fā)出之前，先對來自該IP數(shù)據(jù)包的IP源地址進行檢驗。如果該IP包的IP源地址不是其所在局域網(wǎng)內(nèi)部的IP地址，該IP包就被拒絕，不允許該包離開內(nèi)網(wǎng)。這樣一來，攻擊者至需要使用自己的IP地址才能通過連接網(wǎng)關(guān)或路由器。這樣過濾和檢驗內(nèi)網(wǎng)發(fā)出數(shù)據(jù)包的IP源地址的方法基本可以做到預(yù)防偽造IP欺騙攻擊。

2．5．2SYNFLo0D攻擊防御策略

硬件防火墻對于SYNFLOOD攻擊防御基本上有三種，一是阻斷新建的連接，二是釋放無效連接，三是SYNCookie和SafeRe．set技術(shù)。

阻斷新建連接就是在防火墻發(fā)現(xiàn)連半開連接數(shù)閾值和新建連接數(shù)閾值被超時時，SYNFLOOD攻擊檢測發(fā)現(xiàn)攻擊，暫時阻止客戶向服務(wù)器發(fā)出的任何請求。防火墻能在服務(wù)器處理新建連接報文之前將其阻斷，削弱了網(wǎng)絡(luò)攻擊對服務(wù)器的影響，但無法在服務(wù)器被攻擊時有效提升服務(wù)器的服務(wù)能力。因此，一般配合防火墻SYNFlood攻擊檢測，避免瞬間高強度攻擊使服務(wù)器系統(tǒng)崩潰。釋放無效鏈接是當服務(wù)器上半開連接過多時，要警惕冒充客戶端的虛假IP發(fā)起無效連接，防火墻要在這些連接中識別那些是無效的．向服務(wù)器發(fā)送復(fù)位報文，讓服務(wù)器進行釋放，協(xié)助服務(wù)器恢復(fù)服務(wù)能力。SYNCo0kie和SafeReset是驗證發(fā)起連接客戶的合法性。防火墻要保護服務(wù)器入口的關(guān)鍵位置，對服務(wù)器發(fā)出的報文進行嚴格檢查。

2．5．3ACKFlood攻擊防御策略

防火墻對網(wǎng)絡(luò)進行分析，當收包異常大于發(fā)包時，攻擊者一般采用大量ACK包，小包發(fā)送，提高速度，這種判斷方法是對稱性判斷．可以作為ACKFlood攻擊的依據(jù)。防火墻建立hash表存放TCP連接狀態(tài)，從而大致上知道網(wǎng)絡(luò)狀況。

2．5．4UDPHood攻擊防御策略

UDPF1ood攻擊防御比較困難，因為UDP是無連接的，防火墻應(yīng)該判斷UDP包的大小，大包攻擊則采用粉碎UDP包的方法，或者對碎片進行重組。還有比較專業(yè)的防火墻在攻擊端口不是業(yè)務(wù)端口是丟棄UDP包，抑或?qū)DP也設(shè)一些和TCP類似的規(guī)則。

2．5．5ICMPFlood攻擊防御策略

對于ICMPFlood的防御策略，硬件防火墻采用過濾ICMP報文的方法。硬件防火墻還對網(wǎng)絡(luò)中其他的一些攻擊手段進行著安全有效的防御，保護著網(wǎng)絡(luò)的安全。

三、硬件防火墻的配置考慮要素和選購標準

硬件防火墻是網(wǎng)絡(luò)硬件設(shè)備，需要安裝配置，網(wǎng)絡(luò)管理人員應(yīng)該要考慮實際應(yīng)用中硬件規(guī)則的改變調(diào)整，配置參數(shù)也在不斷改變。對于硬件防火墻的安全策略也應(yīng)該考慮到，哪些數(shù)據(jù)流被允許，哪些不被允許，還有等等，還有授權(quán)的問題，外網(wǎng)域內(nèi)網(wǎng)之問，內(nèi)網(wǎng)里各個不同部門之間，還有DMZ區(qū)域和內(nèi)網(wǎng)等，這些都需要照顧到。詳盡的安全策略應(yīng)該保證硬件防火墻配置的修改工作程序化．并能盡量避免因修改配置所造成的錯誤和安全漏洞。除此之外還要考慮CPU負載問題，過高的CPU負載可能是遭到網(wǎng)絡(luò)DOS攻擊。硬盤中保留日志記錄也很重要，這對檢查硬件防火墻有著重要作用，還要定期檢查。:

第7篇：防火墻在網(wǎng)絡(luò)中的作用范文

雖然防火墻和入侵檢測技術(shù)在網(wǎng)絡(luò)安全領(lǐng)域中占著舉足輕重的地位，但由于它們自身存在的一些不足，導(dǎo)致其無法滿足網(wǎng)絡(luò)安全整體化的需求。通過分析比較兩者的優(yōu)缺點，提出將入侵檢測技術(shù)與防火墻緊密結(jié)合，二者之間進行聯(lián)動，從而實現(xiàn)對網(wǎng)絡(luò)系統(tǒng)的即時保護。

關(guān)鍵詞：

防火墻；入侵檢測；聯(lián)動；網(wǎng)絡(luò)安全

隨著互聯(lián)網(wǎng)的深入發(fā)展，網(wǎng)絡(luò)攻擊方式層出不窮，令人防不勝防；而防火墻和入侵檢測作為防護網(wǎng)絡(luò)安全的兩種重要技術(shù)手段，雖被廣泛采用，但由于自身缺陷，使得兩者的防范內(nèi)容不盡相同。比如防火墻只能防范來自外部的攻擊而無法解決來自網(wǎng)絡(luò)內(nèi)部的攻擊；入侵檢測只能識別攻擊發(fā)出報警卻不能自動產(chǎn)生適當?shù)捻憫?yīng)去阻止攻擊等等，為了滿足網(wǎng)絡(luò)安全整體化的要求，提出將防火墻和入侵檢測這兩種具有較強互補性的技術(shù)整合在一起進行聯(lián)動，揚長避短，充分發(fā)揮各自的優(yōu)勢，提高網(wǎng)絡(luò)安全防護水平，最大程度的保障網(wǎng)絡(luò)及信息的安全。

1防火墻技術(shù)

防火墻[1]指的是一個由軟件和硬件組合而成的高級訪問控制設(shè)備，是置于不同網(wǎng)絡(luò)安全域之間執(zhí)行訪問控制策略的一種或一系列部件的組合。防火墻位于網(wǎng)絡(luò)安全防護體系的最外一層，通常會被放置在外網(wǎng)與內(nèi)網(wǎng)之間的出入口處。作為不同網(wǎng)絡(luò)安全域之間通信流的唯一通道，它為實現(xiàn)網(wǎng)絡(luò)安全起到了把關(guān)的作用。防火墻技術(shù)實際上是一種隔離技術(shù),通過制訂安全策略（允許、拒絕、監(jiān)視、記錄），將內(nèi)部信任區(qū)域與外部不安全區(qū)域（如因特網(wǎng)）或內(nèi)部網(wǎng)不同可信區(qū)域有效隔離,最大限度的對外部屏蔽網(wǎng)絡(luò)內(nèi)部的信息、結(jié)構(gòu)和運行狀況，以此來實現(xiàn)網(wǎng)絡(luò)的安全防護。雖然防火墻能在網(wǎng)關(guān)級進行保護，但只提供靜態(tài)防御，防御規(guī)則事先就已經(jīng)設(shè)置完畢，一旦規(guī)則設(shè)置有誤或者安全形勢發(fā)生變化，防火墻就失去了即時應(yīng)變的能力，因此它是一種被動的安全防護技術(shù)，存在一定的局限性，主要表現(xiàn)為：1）防火墻默認內(nèi)部網(wǎng)絡(luò)都是可信的，如果內(nèi)部網(wǎng)絡(luò)中存在后門，那些不經(jīng)過防火墻的攻擊數(shù)據(jù)包進入到內(nèi)網(wǎng)時防火墻無法防范和響應(yīng)。2）防火墻的訪問控制策略需事先設(shè)置，不能實時調(diào)整策略規(guī)則來阻止正在進行的攻擊，缺少應(yīng)變性無法主動防范新的安全威脅。3）防火墻既不能防止受病毒感染的文件或程序的傳輸也不能防止基于某些標準網(wǎng)絡(luò)協(xié)議的攻擊。

2入侵檢測技術(shù)

入侵檢測[2]是對計算機網(wǎng)絡(luò)系統(tǒng)中入侵行為的檢測。它通過收集和分析網(wǎng)絡(luò)行為、日志數(shù)據(jù)以及網(wǎng)絡(luò)系統(tǒng)中若干關(guān)鍵點信息，檢查網(wǎng)絡(luò)系統(tǒng)中是否存在入侵或違反規(guī)則的行為并及時做出響應(yīng)，例如斷網(wǎng)、報警、記錄事件信息等。入侵檢測系統(tǒng)簡稱IDS(IntrusionDetectiveSystem)由進行入侵檢測的軟件和硬件所構(gòu)成。與防火墻的被動防御不同，入侵檢測采取的是一種積極主動地安全防護手段，能在不影響網(wǎng)絡(luò)性能的前提下通過旁路監(jiān)聽方式不間斷地收取網(wǎng)絡(luò)數(shù)據(jù)，主動尋找入侵信號，對系統(tǒng)中的異?，F(xiàn)象或未授權(quán)的訪問、活動等事件進行審計、追蹤、識別和檢測。入侵檢測不僅能察覺到來自系統(tǒng)外部的入侵，同時也能發(fā)現(xiàn)系統(tǒng)內(nèi)部用戶未經(jīng)授權(quán)的活動，主動保護自己免受網(wǎng)絡(luò)攻擊，因此被認為是防火墻之后的第二道安全閘門。盡管如此，入侵檢測技術(shù)還是存在一些局限性：1）由于入侵檢測通常依賴特征匹配，每截獲一個數(shù)據(jù)包都要分析和匹配，檢測其中的數(shù)據(jù)是否具備攻擊特征，因此會耗費大量的時間和系統(tǒng)資源，使得入侵檢測的檢測速度跟不上網(wǎng)絡(luò)數(shù)據(jù)的傳輸速度，通常在數(shù)據(jù)包巨多的流量面前它會迅速失效。2）入侵檢測的漏報率和誤報率都比較高，產(chǎn)生漏報的一大原因是攻擊特征數(shù)據(jù)庫不能及時更新；另外一些舊式的攻擊對已更新的操作系統(tǒng)不起作用，如果模式庫中還存有這些攻擊特征，就會導(dǎo)致入侵檢測頻繁報警，這些無效報警很大程度上無疑加大了入侵檢測的誤報率。3）入侵檢測往往重點都放在對網(wǎng)絡(luò)中入侵攻擊行為的識別上，所以即使檢測到攻擊也很難采取有效的保護措施去阻止攻擊。

3防火墻與入侵檢測的聯(lián)動

通過以上的分析對比可以看出兩者在網(wǎng)絡(luò)安全防護方面都存在一定的缺陷，防火墻側(cè)重于提供靜態(tài)訪問控制、入侵檢測側(cè)重于主動發(fā)現(xiàn)入侵。如果把這兩種技術(shù)結(jié)合在一起，集中二者的長處，形成互補，建立緊密的聯(lián)動關(guān)系，相互提供保護屏障，既可以提升防火墻的機動性也能增強入侵檢測系統(tǒng)的阻斷能力。

所謂聯(lián)動[3]是指通過一種組合的方式，將不同的安全技術(shù)進行整合，由其他安全技術(shù)彌補某一安全技術(shù)自身功能和性能的缺陷，以適應(yīng)網(wǎng)絡(luò)安全立體化、整體化的要求。本文提出的防火墻與入侵檢測系統(tǒng)聯(lián)動的方式是指將防火墻和入侵檢測劃分為兩個獨立的子系統(tǒng)，單獨完成各自的任務(wù)，兩者之間通過相應(yīng)的通信接口和協(xié)議進行信息共享和互動，實現(xiàn)一體化的主動防御；同時為了防止交互信息被黑客竊取和攻擊，相互間的通信需要進行認證和加密。防火墻與入侵檢測系統(tǒng)之間的聯(lián)動協(xié)作流程如圖1所示。聯(lián)動實現(xiàn)過程如下：1)首先防火墻安置于Internet與內(nèi)部網(wǎng)絡(luò)的連接處，這樣當外網(wǎng)中的數(shù)據(jù)包要進入內(nèi)網(wǎng)時就需經(jīng)過它預(yù)先設(shè)定的訪問規(guī)則控制鏈表，通過篩選過濾數(shù)據(jù)包可以阻擋一部分攻擊。2)經(jīng)過防火墻篩選過濾后的數(shù)據(jù)包以及繞過防火墻沒有經(jīng)過篩選的數(shù)據(jù)包都進入到內(nèi)網(wǎng)中，這時部署在內(nèi)網(wǎng)中的入侵檢測系統(tǒng)不間斷的提取這些數(shù)據(jù)包依據(jù)自身的規(guī)則庫對它們進行分析比對，一旦發(fā)現(xiàn)入侵企圖立即報警并將報警信息[4]（包括事件入侵類型，源地址，目的地址，源端口，目的端口及阻斷時間等）轉(zhuǎn)換成統(tǒng)一的報警格式，通過加密、認證后發(fā)送給防火墻。3)防火墻收到入侵檢測的通知后立刻做出針對性的改進，動態(tài)修改相應(yīng)的安全策略完善其訪問控制規(guī)則，從而避免該攻擊行為的再次發(fā)生。4)入侵檢測系統(tǒng)每隔一段時間自動升級入侵特征庫防止當新的攻擊類型出現(xiàn)時，不能及時做出響應(yīng)。

4結(jié)束語

本文根據(jù)防火墻和入侵檢測的特點，提出建立防火墻與入侵檢測系統(tǒng)的聯(lián)動，這是目前網(wǎng)絡(luò)安全產(chǎn)品的發(fā)展趨勢；但由于防火墻和入侵檢測本身都是比較復(fù)雜的系統(tǒng)，若將兩者結(jié)合勢必要對各自的硬件進行升級同時聯(lián)動中多了認證和加密，如果在數(shù)據(jù)傳輸中被假冒和竊聽則防火墻和入侵檢測的性能都會受到影響，今后還需在這方面展開研究，力爭創(chuàng)造一個更加智能、穩(wěn)固的安全防護系統(tǒng)。

參考文獻:

[1]曲朝陽,崔洪杰,王敬東,等.防火墻與入侵檢測系統(tǒng)聯(lián)動的研究與設(shè)計[J].微型機與應(yīng)用,2012(5):48-50.

[2]江保利.防火墻與入侵檢測聯(lián)動防御系統(tǒng)研究[J].信息技術(shù),2013(10):28-29.

[3]桂春梅,鐘求喜,王懷民.基于UML的防火墻和入侵檢測聯(lián)動模型的研究[J].計算機工程與科學,2004,26(11):25-26.

第8篇：防火墻在網(wǎng)絡(luò)中的作用范文

關(guān)鍵詞：信息安全防火墻過濾遷移

在信息社會中，信息具有和能源、物源同等的價值，在某些時候甚至具有更高的價值。具有價值的信息必然存在安全性的問題，對于企業(yè)更是如此。經(jīng)濟社會的發(fā)展更要求各用戶之間的通信和資源共享，需要將一批計算機連成網(wǎng)絡(luò)才能保證電子商務(wù)活動的正常開展，這樣就帶來了更多的安全隱患。特別是對當今最大的網(wǎng)絡(luò)——國際互聯(lián)網(wǎng)，很容易遭到別有用心者的惡意攻擊和破壞。信息的泄露問題也變得日益嚴重，因此，計算機網(wǎng)絡(luò)的安全性問題就變得越來越重要。

如何來保證計算機網(wǎng)絡(luò)的安全性呢？方法雖然很多，但防火墻技術(shù)絕對是其中最高效、實用的方法之一。在構(gòu)建安全的網(wǎng)絡(luò)環(huán)境的過程中，防火墻作為第一道安全防線，正受到越來越多用戶的關(guān)注。通常一個公司在購買網(wǎng)絡(luò)安全設(shè)備時，總是把防火墻放在首位。目前，防火墻已經(jīng)成為世界上用得最多的網(wǎng)絡(luò)安全產(chǎn)品之一。那么，防火墻是如何保證網(wǎng)絡(luò)系統(tǒng)的安全，又如何實現(xiàn)自身安全的呢？本文從防火墻的概念出發(fā)，詳細分析了防火墻的功能，并按其保證安全方法的不同進行了分類:包過濾式防火墻、服務(wù)式防火墻、地址遷移式防火墻等。

一、防火墻介紹

防火墻是指一種將內(nèi)部網(wǎng)和公眾訪問網(wǎng)分開的方法，是網(wǎng)絡(luò)之間一種特殊的訪問控制設(shè)施。在Internet網(wǎng)絡(luò)與內(nèi)部網(wǎng)之間設(shè)置的一道屏障，防止黑客進入內(nèi)部網(wǎng)，由用戶制定安全訪問策略，抵御各種侵襲的一種隔離技術(shù)。它能允許你“同意”的人和數(shù)據(jù)進入你的網(wǎng)絡(luò)，將“不同意”的人和數(shù)據(jù)拒之門外，最大限度地阻止網(wǎng)絡(luò)中的黑客來訪問你的網(wǎng)絡(luò)，防止他們更改、拷貝、毀壞你的重要信息；能限制被保護的網(wǎng)絡(luò)與互聯(lián)網(wǎng)絡(luò)之間，或者與其他網(wǎng)絡(luò)之間進行的信息存取、傳遞操作；能根據(jù)企業(yè)的安全策略控制出入網(wǎng)絡(luò)的信息流，且本身具有較強的抗攻擊能力。是提供信息安全服務(wù)，實現(xiàn)網(wǎng)絡(luò)和信息安全的基礎(chǔ)設(shè)施。在邏輯上，防火墻是一個分離器，一個限制器，也是一個分析器，有效地監(jiān)控了內(nèi)部網(wǎng)和Internet之間的任何活動，保證了內(nèi)部網(wǎng)絡(luò)的安全。防火墻的安全技術(shù)包括包過濾技術(shù)、技術(shù)和地址遷移技術(shù)等。

二、防火墻的作用

1.作為網(wǎng)絡(luò)安全的屏障

只有經(jīng)過精心選擇的應(yīng)用協(xié)議才能通過防火墻，可使網(wǎng)絡(luò)環(huán)境變得更安全。如防火墻可以禁止NFS協(xié)議進出受保護的網(wǎng)絡(luò)，這樣外部的攻擊者就不可能利用這些脆弱的協(xié)議來攻擊內(nèi)部網(wǎng)絡(luò)。防火墻同時可以保護網(wǎng)絡(luò)免受基于路由的攻擊，如IP選項中的源路由攻擊和ICMP重定向中的重定向路徑。防火墻應(yīng)該可以拒絕所有以上類型攻擊的報文并通知防火墻管理員。

2.可以強化網(wǎng)絡(luò)安全策略

通過以防火墻為中心的安全方案配置，能將所有安全軟件（如口令、加密、身份認證、審計等）配置在防火墻上。與將網(wǎng)絡(luò)安全問題分散到各個主機上相比，防火墻的集中安全管理更經(jīng)濟。例如在網(wǎng)絡(luò)訪問時，一次一密口令系統(tǒng)和其他的身份認證系統(tǒng)完全可以不必分散在各個主機上，而集中在防火墻身上。

3.可以對網(wǎng)絡(luò)存取和訪問進行監(jiān)控審計

如果所有的訪問都經(jīng)過防火墻，那么，防火墻就能記錄下這些訪問并做出日志記錄，同時也能提供網(wǎng)絡(luò)使用情況的統(tǒng)計數(shù)據(jù)。當發(fā)生可疑動作時，防火墻能進行適當?shù)膱缶?，并提供網(wǎng)絡(luò)是否受到監(jiān)測和攻擊的詳細信息。另外，收集一個網(wǎng)絡(luò)的使用和誤用情況也是非常重要的?？梢郧宄阑饓κ欠衲軌虻謸豕粽叩奶綔y和攻擊，并且清楚防火墻的控制是否充足。而網(wǎng)絡(luò)使用統(tǒng)計對網(wǎng)絡(luò)需求分析和威脅分析等也是非常重要的。

4.可以防止內(nèi)部信息的外泄

通過利用防火墻對內(nèi)部網(wǎng)絡(luò)的劃分，可實現(xiàn)內(nèi)部網(wǎng)重點網(wǎng)段的隔離，從而限制了局部重點或敏感網(wǎng)絡(luò)安全問題對全局網(wǎng)絡(luò)造成的影響。

三、防火墻的技術(shù)分類

1.包過濾技術(shù)（PacketFilter）式防火墻

包過濾是在網(wǎng)絡(luò)層中對數(shù)據(jù)包實施有選擇的通過，依據(jù)系統(tǒng)事先設(shè)定好的過濾邏輯，檢查數(shù)據(jù)據(jù)流中的每個數(shù)據(jù)包，根據(jù)數(shù)據(jù)包的源地址、目標地址，以及包所使用端口確定是否允許該類數(shù)據(jù)包通過。在互聯(lián)網(wǎng)這樣的信息包交換網(wǎng)絡(luò)上，所有往來的信息都被分割成許許多多一定長度的信息包，包中包括發(fā)送者的IP地址和接收者的IP地址。當這些包被送上互聯(lián)網(wǎng)時，路由器會讀取接收者的IP并選擇一條物理上的線路發(fā)送出去，信息包可能以不同的路線抵達目的地，當所有的包抵達后會在目的地重新組裝還原。包過濾式的防火墻會檢查所有通過信息包里的IP地址，并按照系統(tǒng)管理員所給定的過濾規(guī)則過濾信息包。如果防火墻設(shè)定某一IP為危險的話，從這個地址而來的所有信息都會被防火墻屏蔽掉。這種防火墻的用法很多，比如國家有關(guān)部門可以通過包過濾防火墻來禁止國內(nèi)用戶去訪問那些違反我國有關(guān)規(guī)定或者“有問題”的國外站點。包過濾路由器的最大的優(yōu)點就是它對于用戶來說是透明的，也就是說不需要用戶名和密碼來登錄。這種防火墻速度快而且易于維護，通常做為第一道防線。包過濾路由器的弊端也是很明顯的，通常它沒有用戶的使用記錄，這樣就不能從訪問記錄中發(fā)現(xiàn)黑客的攻擊記錄。而攻擊一個單純的包過濾式的防火墻對黑客來說是比較容易的。如“信息包沖擊”是黑客比較常用的一種攻擊手段，黑客們對包過濾式防火墻發(fā)出一系列信息包，不過這些包中的IP地址已經(jīng)被替換掉了，取而代之的是一串順序的IP地址。一旦有一個包通過了防火墻，黑客便可以用這個IP地址來偽裝他們發(fā)出的信息。通常它沒有用戶的使用記錄，這樣我們就不能從訪問記錄中發(fā)現(xiàn)黑客的攻擊記錄；此外，配置繁瑣也是包過濾防火墻的一個缺點。它阻擋別人進入內(nèi)部網(wǎng)絡(luò)，但也不告訴你何人進入你的系統(tǒng)，或者何人從內(nèi)部進入網(wǎng)際網(wǎng)路。它可以阻止外部對私有網(wǎng)絡(luò)的訪問，卻不能記錄內(nèi)部的訪問。包過濾另一個關(guān)鍵的弱點就是不能在用戶級別上進行過濾，即不能鑒別不同的用戶和防止ip地址盜用。所以說包過濾型防火墻是某種意義上的安全系統(tǒng)。

2.服務(wù)式防火墻

服務(wù)是另一種類型的防火墻，它通常是一個軟件模塊，運行在一臺主機上。服務(wù)器與路由器的合作，路由器實現(xiàn)內(nèi)部和外部網(wǎng)絡(luò)交互時的信息流導(dǎo)向，將所有的相關(guān)應(yīng)用服務(wù)請求傳遞給服務(wù)器。服務(wù)作用在應(yīng)用層，其特點是完全“阻隔”了網(wǎng)絡(luò)通信流，通過對每種應(yīng)用服務(wù)編制專門的程序，實現(xiàn)監(jiān)視和控制應(yīng)用層通信流的作用。服務(wù)的實質(zhì)是中介作用，它不允許內(nèi)部網(wǎng)和外部網(wǎng)之間進行直接的通信。

用戶希望訪問內(nèi)部網(wǎng)某個應(yīng)用服務(wù)器時，實際上是向運行在防火墻上的服務(wù)軟件提出請求，建立連接;理服務(wù)器代表它向要訪問的應(yīng)用系統(tǒng)提出請求，建立連接;應(yīng)用系統(tǒng)給予服務(wù)器響應(yīng);服務(wù)器給予外部網(wǎng)用戶以響應(yīng)。外部網(wǎng)用戶與應(yīng)用服務(wù)器之間的數(shù)據(jù)傳輸全部由服務(wù)器中轉(zhuǎn)，外部網(wǎng)用戶無法直接與應(yīng)用服務(wù)器交互，避免了來自外部用戶的攻擊。通常服務(wù)是針對特定的應(yīng)用服務(wù)而言的，不同的應(yīng)用服務(wù)可以設(shè)置不同的服務(wù)器。目前，很多內(nèi)部網(wǎng)絡(luò)都同時使用分組過濾路由器和服務(wù)器來保證內(nèi)部網(wǎng)絡(luò)的安全性，并且取得了較好的效果。

3.地址遷移式防火墻

由于多種原因，IPv4地址逐步面臨耗盡的危機，而Ipv6的實際應(yīng)用還有待時日。隨著企業(yè)上網(wǎng)的人數(shù)增多，企業(yè)獲得的公共IP地址（稱全局IP地址，或者實際IP地址）可能難以和企業(yè)上網(wǎng)的實際設(shè)備數(shù)目匹配，這種現(xiàn)象具有加劇的傾向。一種可能的解決方案是為每個企業(yè)分配若干個全局IP地址，企業(yè)網(wǎng)內(nèi)部使用自定義的IP地址（稱為本地IP地址或者虛擬IP地址）。當內(nèi)外用戶希望相互訪問時,專門的路由器（NAT路由器）負責全局/本地IP地址的映射。NAT路由器位于不同地址域的邊界處，通過保留部分全局IP地址的分配權(quán)來支持IP數(shù)據(jù)報的跨網(wǎng)傳輸。其工作原理:(1)地址綁定（靜態(tài)或者動態(tài)的建立本地/全局地址的映射關(guān)系）;(2)地址查找和轉(zhuǎn)換（對數(shù)據(jù)報中的相關(guān)地址信息進行修改）;(3)地址解綁定（釋放全局地址）。

地址遷移式防火墻實際上融合了分組過濾和應(yīng)用的設(shè)計思想，可以根據(jù)應(yīng)用的需求限定允許內(nèi)外網(wǎng)訪問的結(jié)點；可以屏蔽內(nèi)網(wǎng)的地址，保證內(nèi)網(wǎng)的安全性。數(shù)據(jù)報分析是NAT路由器必須做的工作（例如，修改IP數(shù)據(jù)報攜帶的高層協(xié)議數(shù)據(jù)單元中的地址信息），因此可以有選擇地提供/拒絕部分跨網(wǎng)的應(yīng)用服務(wù)。

四、小結(jié)

在互聯(lián)網(wǎng)上防火墻是一種非常有效的網(wǎng)絡(luò)安全模型，通過它可以隔離風險區(qū)域與安全區(qū)域的連接，同時不會妨礙人們對風險區(qū)域的訪問。隨著電子商務(wù)的不斷發(fā)展，防火墻技術(shù)必將在網(wǎng)絡(luò)安全方面著發(fā)揮更加重要的作用和價值。

參考文獻:

[1]高峰許南山:防火墻包過濾規(guī)則問題的研究[J].應(yīng)用,2003,23(6)

第9篇：防火墻在網(wǎng)絡(luò)中的作用范文

當前，日益嚴重的Web威脅已是網(wǎng)絡(luò)安全的發(fā)展趨勢。據(jù)不完全統(tǒng)計，目前70％的網(wǎng)絡(luò)攻擊是發(fā)生在應(yīng)用層，而不是網(wǎng)絡(luò)層。對于這類攻擊，傳統(tǒng)網(wǎng)絡(luò)防火墻往往“心有余而力不足”。因為，傳統(tǒng)網(wǎng)絡(luò)防火墻的防護重點在網(wǎng)絡(luò)層，所以，很多Web攻擊利用網(wǎng)絡(luò)防火墻開放的端口，躲過其監(jiān)測，直接針對目標應(yīng)用程序。

隨著應(yīng)用層受到攻擊的概率越來越大，傳統(tǒng)網(wǎng)絡(luò)防火墻的不足之處開始明顯暴露。對此，一些防火墻廠商開始有意識地針對應(yīng)用層的威脅，在防火墻產(chǎn)品上增加一些彈性概念的特征，推出所謂的Web應(yīng)用防火墻，試圖防范這些來自應(yīng)用層的攻擊。

難以抵擋的Web威脅

有統(tǒng)計數(shù)字顯示，過去的2008年中，網(wǎng)絡(luò)安全漏洞數(shù)量比2007年增長13.5％，總共發(fā)現(xiàn)了7406個全新的安全漏洞。2001-2006年間，安全漏洞平均年增長率是36.5％。安全漏洞數(shù)置在2008年達到前所未有的水平。在所有的安全漏洞中，有54.9％是Web應(yīng)用安全漏洞，2008年披露的Web應(yīng)用安全漏洞中，有74.0％到年底都還沒有補丁。

這就是當前的網(wǎng)絡(luò)安全現(xiàn)狀，網(wǎng)絡(luò)威脅已經(jīng)轉(zhuǎn)向以Web威脅為主。雖然傳統(tǒng)網(wǎng)絡(luò)防火墻在抵御SQL注入攻擊等網(wǎng)絡(luò)層攻擊方面，發(fā)揮了重要作用，但其不足之處也越來越明顯。

首當其沖的是無法檢測加密的Web流量。由于網(wǎng)絡(luò)防火墻對于加密的SSL流中的數(shù)據(jù)是不可見的，防火墻無法迅速截獲SSL數(shù)據(jù)流并對其解密，因此無法阻止應(yīng)用程序的攻擊，甚至有些網(wǎng)絡(luò)防火墻，根本就不提供數(shù)據(jù)解密的功能。

在如今大多數(shù)網(wǎng)絡(luò)防火墻中，依賴的是靜態(tài)的特征庫，與入侵監(jiān)測系統(tǒng)的原理類似。只有當應(yīng)用層攻擊行為的特征與防火墻中的數(shù)據(jù)庫中已有的特征完全匹配時，防火墻才能識別和截獲攻擊數(shù)據(jù)。因此，普通應(yīng)用程序加密后，也能輕易躲過防火墻的檢測。

應(yīng)該說，由于體系結(jié)構(gòu)的原因，即使是先進的網(wǎng)絡(luò)防火墻，在防范Web應(yīng)用程序時，由于無法全面控制網(wǎng)絡(luò)、應(yīng)用程序和數(shù)據(jù)流，也無法截獲應(yīng)用層的攻擊。由于對于整體的應(yīng)用數(shù)據(jù)流，缺乏完整的、基于會話(Session)級別的監(jiān)控能力，因此，傳統(tǒng)網(wǎng)絡(luò)防火墻很難預(yù)防新的未知攻擊。

這種情況下，企業(yè)級防火墻開始增加統(tǒng)一威脅管理(UTM)服務(wù)，如防病毒、防間諜軟件、入侵防御、內(nèi)容過濾，甚至一些防垃圾郵件服務(wù)，以增強威脅防御功能。這就是Web應(yīng)用防火墻產(chǎn)生的原因。

基于策略聯(lián)動防御

與傳統(tǒng)防火墻作為單一的硬件盒子不同，Web應(yīng)用防火墻不只是單一產(chǎn)品，還需要基于策略并且結(jié)合企業(yè)的Web應(yīng)用進行具體的安全咨詢。因此，在給企業(yè)用戶部署Web應(yīng)用防火墻時，安全廠商需要對企業(yè)的各種內(nèi)部應(yīng)用非常了解，比如對OA、MIS、ERP等應(yīng)用系統(tǒng)的支持。

目前，Web應(yīng)用防火墻的實際應(yīng)用并不多，用戶對其的認知接受也在過程中。從技術(shù)上看，很多Web應(yīng)用防火墻已經(jīng)脫離了防火墻本身的范疇，可以理解為一個Web應(yīng)用交付平臺。目前已推出基于策略的防火墻產(chǎn)品基本以國外廠商為主，國內(nèi)廠商暫時少見類似的產(chǎn)品。

事實上，并非對Web服務(wù)器提供保護的“盒子”都是Web應(yīng)用防火墻，目前而言，一個標準的Web應(yīng)用防火墻至少需要具備四大功能：安全防護，即對于針對Web服務(wù)器的攻擊要具備防御能力，同時還要對數(shù)據(jù)泄密具備監(jiān)管能力；應(yīng)用加速。除了防護以外，企業(yè)用戶在網(wǎng)絡(luò)之中，需要對應(yīng)用的運轉(zhuǎn)效率進行控制，比如對TCP協(xié)議的緩沖、對SSL VPN的加速、對訪問管理的卸載等；可擴展性。很多企業(yè)的Web服務(wù)器數(shù)量龐大，Web應(yīng)用防火墻需要對應(yīng)用交付和負載均衡提供支持；IP審計。Web應(yīng)用防火墻本身對所有流量進行過濾的時候，本身必須具備一套策略，即哪些流量需要阻斷，哪些可以放過。這些相關(guān)的策略標準與策略模型需要對企業(yè)流行的應(yīng)用進行支持。