開篇：寫作不僅是一種記錄，更是一種創造，它讓我們能夠捕捉那些稍縱即逝的靈感，將它們永久地定格在紙上。下面是小編精心整理的12篇防火墻技術的研究，希望這些內容能成為您創作過程中的良師益友，陪伴您不斷探索和進步。

第1篇

【關鍵詞】計算機網絡 防火墻技術 功能 趨勢

隨著信息化時代的到來，計算機網絡逐漸成為人們有效開展信息交換的重要手段，并滲透到社會生活的各個方面，給人們生活帶來了巨大影響。與此同時，保障計算機網絡信息安全，愈來愈成為當今社會面臨的亟需解決的課題。

1 防火墻技術的含義

“所謂防火墻指的是一個由軟件和硬件設備組合而成、在內部網和外部網之間、專用網與公共網之間的界面上構造的保護屏障?！彼且环N計算機硬件和軟件的結合，使Internet與Intranet之間建立起一個安全網關，從而保護內部網免受非法用戶的侵入。它實際上是一種隔離技術。

2 防火墻的功能

防火墻對計算機網絡具有很好的保護作用。入侵者必須先穿越防火墻的安全防線，才能接觸目標計算機。具體來說防火墻有以下功能。

2.1 防火墻有保障計算機網絡安全的功能

防火墻通過自身過濾功能將不安全的數據包隔擋在“代碼墻”以外，降低Internet給計算機造成的風險。然后通過驗證程序檢測哪些數據包是安全的，并使之進入計算機，由此使得網絡環境變得更安全。

2.2 防火墻具有監控網絡存取和訪問的功能

由于進入計算機的數據包都要經過防火墻的檢測和篩選，那么防火墻就能記錄下這些數據包并對網絡的使用情況進行統計。當發生可疑數據包時，防火墻能進行適當的報警，并提供網絡是否受到監測和攻擊的詳細信息。因此，防火墻對網絡使用統計與監控具有非常重要的作用。

2.3 可以防止內部信息的外泄

隱私是網絡使用者最關心的問題。很多隱私的被流露于公眾的視野，多數都是因為計算機網絡內部某些安全漏洞。而使用防火墻就可以利用防火墻對內部網絡的劃分，實現內部網的隔離，從而限制了局部或敏感網絡安全問題對全局網絡造成的影響。進而隱蔽了那些透漏內部細節DNS服務。這樣一臺主機的域名和IP地址就不會被外界所了解。

2.4 防火墻對數據庫安全的實時保護功能

防火墻通過驗證工具和包過濾系統分析，根據預定義的禁止和許可策略讓合法的SQL 操作通過，阻斷非法違規操作，形成數據庫的防御圈，實現SQL 危險操作的主動預防、實時審計。同時，還可以對來自于外部的入侵行為，提供SQL 注入禁止和數據庫虛擬補丁包功能。

3 防火墻技術的發展趨勢

隨著新的網絡病毒的出現，防火墻技術的發展更應該注重放行數據的安全性研究。因為使用者對網絡安全的要求是既要保證網絡安全，也必須保證網絡的正常運行。因此，新型防火墻技術在研發過程中要集成其它安全技術，使防火墻的安全性得以進一步提升。這一些新的發展趨勢，可以從防火墻體系結構、包過濾技術和防火墻系統管理三方面展開。

3.1 防火墻的體系結構發展趨勢

隨著信息化潮流的到來，計算機網絡的應用更加廣泛，規模更加龐大。使用者對網絡寬帶的安全提出了更高的要求。這意味著防火墻技術必須緊跟時代的發展，加快提升自身處理數據的能力，為計算機網絡提供更加有效的安全保護和有效的運行保障。尤其是，在當今信息化社會的生活中，計算機網絡、手機網絡等網絡媒體的應用越來越普遍，這就要求防火墻技術對流入網絡的數據處理更加有效、準確、及時。要想滿足這種需要，防火墻技術研發人員就必須制定超前的研發方案，完善防火墻的結構體系。例如當前部分制造商開發的基于ASIC的防火墻和基于網絡處理器的防火墻。

3.2 防火墻數據包過濾技術發展趨勢

（1）防火墻的主要功能就是對來自外網的木馬程序、病毒程序等危險程序進行防范和抵御。因而，在實際網絡使用中使用主體通常經防火墻稱之為病毒防火墻。從目前網絡使用者通過各種途徑選取不同的防火墻，并按照與計算機內，目的就是防范病毒的入侵。

（2）注重研發多級過濾技術。“所謂多級過濾技術，是指防火墻采用多級過濾措施，并輔以鑒別手段”。該過濾技術主要是通過編制不同的程序系統，逐級設立功能。各級根據自身的功能開展對流入網絡的數據流進行識別，檢測。層層把關，能夠更加有效的抵御病毒對計算機網絡的入侵。這是一種綜合性防火墻技術，它可以彌補各種單一過濾技術的不足。

（3）為了進一步強化防火墻的安全策略功能。目前，很多防火墻技術生產商在現有的防火墻技術的基礎上，又增加了用戶認證系統。用戶認證系統隨著無線網絡的普及應用，獲得了眾多無線網絡電信商和用戶的青睞。并逐漸成為無線網絡安全應用的必備系統。

3.3 防火墻的系統管理發展趨勢

隨著防火墻技術的快速發展，加強防火墻的系統管理也成為網絡技術發展的重點。首先是集中式管理。集中式管理的優點就是能夠使生產商以最小的投入獲取最大的效益。同時，還可以保證網絡安全保障系統的一致性。從目前成功研發的事例來看，Cisco（思科）、3Com等幾個大的防火墻技術開發商已經在注重加強防火墻的系統管理發展。其次是加大開發防火墻的監控和審計功能的力度。在防火墻技術研發過程中，我們不僅要注重事后治理，更要注重事前預防，未雨綢繆，將潛在的威脅扼殺在流入之初。最后是建立以防火墻為核心的網絡安全體系。因為我們在現實中發現，僅現有的防火墻技術難以滿足當前網絡安全需求。通過建立一個以防火墻為核心的安全體系，就可以為內部網絡系統部署多道安全防線，各種安全技術各司其職，從各方面防御外來入侵。

參考文獻

[1]羅霽.并行多模式匹配算法及硬件實現研究[D].杭州電子科技大學，2013（06）：10.

[2]楊旭.計算機網絡信息安全技術研究[D]. 南京理工大學，2008（06）：43

[3]信息技術研究中心.網絡信息安全新技術與標準規范實用手冊（第1版） [M].北京：電子信息出版社，2004：20-21.

作者簡介

鄧龍敏（1998-），男 ，湖北省黃石市人?，F就讀于鄂南高中，熱衷于計算機網絡技術研究。

第2篇

關鍵詞:網絡安全;防火墻技術

中圖分類號:TP393 文獻標識碼:B

Research&Application of Firewall Technology in Network Security Policy

Wang YanshuangWang Li

(1.Tangshan Radio&Television,Ad Management Center,Tangshan063000,China;2.Tangshan Radio&Television,Transmission Broadcast Department,Tangshan063000,China)

Abstract:Today,the Internet already from the basic information sharing to the electronic commerce,the network using and so on,more complex aspect developed,along with commercial use's increase,the network security becomes a latent huge question gradually.And will also involve to whether to constitute the criminality question.The firewall technology's introduction gives manages and enhances the network the security,has provided the essential and convenient way.

Keywords:Network security;Firewall technology

一、防火墻的概念

防火墻是一種裝置,它是由軟件或硬件設備組合而成,通常處于企業的內部局域網與Internet之間,限制Internet用戶對內部網絡的訪問以及管理內部用戶訪問外界的權限。換言之,防火墻是一個位于被認為是安全和可信的內部網絡與一個被認為是不那么安全和可信的外部網絡(通常是Internet)之間的一個封鎖工具。防火墻是一種被動的技術,因為它假設了網絡邊界的存在,它對內部的非法訪問難以有效地控制。因此防火墻只適合于相對獨立的網絡,例如企業內部的局域網絡等。

二、防火墻的功能

(一)防火墻是網絡安全的屏障:

防火墻能極大地提高一個內部網絡的安全性,并通過過濾不安全的服務而降低風險。由于只有經過精心選擇的應用協議才能通過防火墻,所以網絡環境變得更安全。防火墻同時可以保護網絡免受基于路由的攻擊,如IP選項中的源路由攻擊和ICMP重定向中的重定向路徑。防火墻可以拒絕所有以上類型攻擊的報文并通知防火墻管理員。

(二)防火墻可以強化網絡安全策略:

通過以防火墻為中心的安全方案配置,能將如口令、加密、身份認證、審計等的應用配置在防火墻上。與將網絡安全問題分散到各個主機上相比,防火墻的集中安全管理更經濟,更堅固。

(三)對網絡存取和訪問進行監控審計

如果所有的訪問都經過防火墻,那么,防火墻就能記錄下這些訪問并作出日志記錄,同時也能提供網絡使用情況的統計數據。當發生可疑動作時,防火墻能進行適當的報警,并提供網絡是否受到監測和攻擊的詳細信息。網絡使用統計對網絡需求分析和威脅分析等而言也是非常重要的。

三、防火墻技術原理

(一)數據包過濾技術

數據包過濾技術工作在OSI網絡參考模型的網絡層和傳輸層,它是個人防火墻技術的第二道防護屏障。數據包過濾技術在網絡的入口,根據數據包頭源地址,目的地址、端口號和協議類型等標志確定是否允許通過。只有滿足過濾條件的數據包才被轉發到相應的目的地,其余數據包則被從數據流中丟棄。

(二)應用網關技術

應用級網關可以工作在OSI七層模型的任一層上,能夠檢查進出的數據包,通過網關復制傳遞數據,防止在受信任服務器和客戶機與不受信任的主機間直接建立聯系。應用級網關能夠理解應用層上的協議,能夠做復雜一些的訪問控制,并做精細的注冊。通常是在特殊的服務器上安裝軟件來實現的。

(三)地址翻譯技術

地址翻譯技術是將一個IP地址用另一個IP地址代替。地址翻譯技術主要模式有以下幾種。

1.靜態翻譯。按照固定的翻譯表,將主機的內部地址翻譯成防火墻的外網接口地址。

2.動態翻譯。為隱藏內部主機或擴展的內部網絡地址之間,一個大的用戶群共享一個或一組小的Internet IP地址。

3.負載平衡翻譯。一個IP地址和端口被翻譯為同等配置的多個服務器。當請求到達時,防火墻按照一個算法平衡所有連接到內部的服務器。

4.網絡冗余翻譯。多個連續被附結在一個NAT防火墻上,防火墻根據負載和可用性對連接進行選擇和使用。

(四)狀態檢測技術

狀態檢測防火墻采用基于連接的狀態檢測機制,將屬于同一連接的所有包作為一個整體的數據流看待,構成連接狀態表,通過規則表與狀態表的共同配合,對表中的各個連接因素加以識別。

四、防火墻的特性

網絡防火墻是一種用來加強網絡之間訪問控制的特殊網絡設備,它對兩個或多個網絡之間傳輸的數據包和連接方式按照一定的安全策略對其進行檢查,來決定網絡之間的通信是否被允許,其中被保護的網絡稱為內部網絡或私有網絡,另一方則被稱為外部網絡或公用網絡。防火墻能有效得控制內部網絡與外部網絡之間的訪問及數據傳輸,從而達到保護內部網絡的信息不受外部非授權用戶的訪問和過濾不良信息的目的。

一個好的防火墻系統應具有以下五方面的特性:

①有的內部網絡和外部網絡之間傳輸的數據必須通過防火墻;

②只有被授權的合法數據及防火墻系統中安全策略允許的數據可以通過防火墻;

③火墻本身不受各種攻擊的影響;

④使用目前新的信息安全技術,比如現代密碼技術等;

⑤人機界面良好,用戶配置使用方便,易管理。

結束語:

通過網絡防火墻的部署,可以有效起到防止內部信息的外泄,防止外部網絡人員惡意入侵。開放安全端口,保護系統服務器免受惡意攻擊。通過利用防火墻對內部網絡的劃分,可實現內部網重點網段的隔離,從而限制了局部重點或敏感網絡安全問題對全局網絡造成的影響,大大提高網絡的整體安全性。

參考文獻:

[1]趙戰生.我國信息安全及其技術研究.中國信息導報,1999,(8):5-7

第3篇

[關鍵詞]計算機網絡防火墻研究和應用

計算機技術的不斷發展，給我們帶來了前所未有的便捷，也帶來了改革發展的新力量，尤其是計算機在這些年的發展程度，在全世界范圍內都得到了普及。在計算機應用上，網絡資源和計算機技術的結合對我們生活造成了很大的變化。但是，在網絡技術的推動下我們的生活節奏加快的同時，也增加了我們以前所沒遇到的很多問題，包括對網絡資源的保護，以及個人信息的保障。這就讓我們對于網絡環境的凈化開始逐漸重視起來，在網絡資源沒有防護或者只是一部分防護的情況下，黑客的存在經常會造成我們信息和資源的丟失，所以我們必須加強網絡防火墻的建設力度必不可少。

一、網絡防火墻技術的分類

防火墻技術是我們使用網絡性的防護設備，起到一個保護資源的作用。但是卻只能抵擋外部的侵入而不能有效的抵擋內部的損傷的手段。但是隨著現代技術的發展，現代化的防火墻已經具有一定的內外皆備的特點，但是防火墻的作用依然是只能過濾掉自己認為不安全的信息，不能夠達到所有信息都檢索的缺點，所以我們需要建立更高程度的防火墻，就得先從可以過濾所有數據的能力著手，這也是我們現在需要大力發展的方向。下面是兩種我們最常見的兩種防火墻：

（一）包過濾性防火墻技術

包過濾性防火墻的技術的工作原理是建立在OSI網絡參考模型中的網絡層面和傳輸層面之中，這種防火墻技術是根據不同數據的源頭地址和終端口的數據安全性之來自行判斷是否可以通過防火墻的技術，只有符合條件的資源才可以傳輸過來，不符合義上安全條件的都被擋在外部，不能自行進入。

（二）應用型防火墻

應用型防火墻技術的原理是建立在OSl網絡層面的頂層，也就是我們說的應用層面，最顯著的特點就是全部阻截網絡通信留的數據，通過對所有應用貼上專門的編制程序，達到一種監督的作用。除了這兩種技術以外，還有很多的防火墻技術，具有突出特點的就是邊界防火墻和混合式防火墻技術等。

二、防火墻的工作原理

（一）包過濾性防火墻的工作原理

包過濾性防火墻的工作原理就是對許多規則作出一種組合形式，之后再讓用戶進行選擇和設置自己想要過濾掉的資源以及留下資源的程度。但是這也需要經驗老到的防火墻技術人員對防火墻進行操作以及對當前最新的被攻擊資源進行集中，然后再進行加載信息。比如信息的名稱、說明和協議等，包括著所有數據包進出防火墻的方法。對于IP包過濾性防火墻技術的工作原理就是根據IP數據包的各種信息，對其進行相應的過濾，如果這種IP包是攜帶著封裝的TCP或者是ICMP協議一起進入防火墻的，就需要對這種情況進行特殊處理，不能讓之隨意出入。應用層面的協議主要是RPC應用服務的過濾以及FTP過濾等，主要的工作過程就是，防火墻可以在不同文件的組成上面，判斷出該文件的初發地址、目的地址以及文件的保存時間和特點，然后再根據這些信息對其進行最后的檢測和掃描，確認該文件的安全性以及可使用性。

（二）應用型網絡防火墻的原理

應用型防火墻，顧名思義是在應用層面提供服務的一種防護手段。服務是在接收到用戶的連接請求是，向服務器發出與請求有關的訴求，之后在這樣的情況下，服務器根據服務器的要求，對用戶的請求做出一個回答。為了能夠更好的確定鏈接中的效率，在進行工作的時候需要維護服務器的數據信息和連接表，服務器還在一定情況下維護一個擴展字段的集合，達到一種更好的提供授權的效果。

三、兩種防火墻的優點和缺點

（一）包過濾性防火墻

優點：操作簡單。包過濾性防火墻可以通過一個過濾路由器就可以對整個網絡系統完成保護作用，數據包在過濾的過程當中完全對用戶透明，保證了用戶的安全性，而且這種方式的工作效率比較高，過濾速度相當快，可以很大程度上解決用戶的速度需要。

缺點：不能徹底的防御因為地址欺騙的問題，內有一個只能的識別黑客的攻擊，完全不支持應用層面的協議。

（二）應用型防火墻

優點：型防火墻最大的優點就是網關可以直接隔開內網和外網的聯系，用戶對外網進行使用的時候自動轉換成防火墻對外網的訪問，然后防火墻自動判定之后再轉給用戶，使得安全性大大的提高。而且型防火墻所有的通信數據都是通過應用層的軟件完成防護，用用不可以直接和服務器建立連接，對于數據包的檢測性非常好。

缺點：型防火墻因為其工作性質，導致速度比較慢，對于用戶是完全屏蔽的，對不同的需要需要用不同的服務器來完成，適應能力比較弱。

四、防火墻的研究開發

在防火墻的研究與開發中，需要對數據層安裝一定程度的監聽功能以及讀卡能力，著重研究對于上層數據進行物理幀的拆封和密封，保證數據的安全性。對于有時候會出現很極端的情況，防火墻需要修改IP地址的報頭才能解決問題，這對于IP層的處理來說是非常復雜的一個環節，而且需要進行大量的安全性工作，所以一般情況下是不可以使用修改IP報頭的方法，只能是包過濾性防火墻和ICMP的相關功能結合。隨著技術的不斷發展，包過濾性防火墻必須室友路由器的支持才能完成，而現在的IP層面遇到的對打的問題是IP地址的騙術，并且在許多的上層結構存在著相當多的IP地址欺騙問題，這就需要我們進一步來研發更準確更方便的防火墻來解決問題，讓我們能夠減少網絡的安全隱患。

五、小結

第4篇

關鍵詞：防火墻技術；屏蔽路由器；雙穴主機網關；屏蔽主機網關

中圖分類號：TP319文獻標識碼：A文章編號：1672-7800（2013）001-0070-02

1主機防火墻軟件系統組成

為了更好地對主機防火墻軟件系統進行開發與設計，先對主機防火墻軟件系統的組成進行分析。主機防火墻軟件系統主要包括屏蔽路由器、雙穴主機網關以及被屏蔽主機網關。這三個元器件組成了主機防火墻軟件系統，在系統運行中具有獨特的功能。

1.1屏蔽路由器

主機防火墻軟件系統最基本的組成原件就是屏蔽路由器。網絡用戶一般都是購買廠家生產好的屏蔽路由器，然后安裝到主機當中實現保護功能。硬件和軟件是屏蔽路由器的兩個重要組成部分。報文的過濾功能一般的路由器就能實現，但是一般路由器的這個功能非常簡單，為了更好地對報文進行過濾，屏蔽路由器被引入到主機中。因此，屏蔽路由器在很大程度上確保了主機系統的安全性能。

1.2雙穴主機網關

網絡接口是雙穴主機的一個重要特點，雙穴主機網關的工作原理是將堡壘主機當做防火墻，主機防火墻軟件系統的運行就是靠堡壘主機來實現的。網絡用戶的管理人員可以通過雙穴主機網關的部分功能及時發現網絡安全問題，并及時解決網絡安全問題。因此，雙穴主機網關在維護網絡系統的安全上起到了非常重要的作用。

1.3被屏蔽主機網關

被屏蔽主機網關在主機系統中占據了非常重要的位置。被屏蔽主機網關的主要功能就是為了防止外部不安全信息對網絡用戶的入侵，被屏蔽主機網關在很大程度上保證了網絡用戶的安全。網絡系統外部的用戶如果沒有得到網絡系統管理者的進入許可，就不能進入網絡系統。因此，被屏蔽主機網關在很大程度上確保了網絡系統的安全性能。

2主機防火墻軟件系統發展趨勢

主機防火墻軟件系統的3個重要組成部分在網絡運行過程中的作用各不相同。3個組成部分的功能共同確保了網絡運行環境的安全。近年來，防火墻技術發展飛速，在技術方面也不斷成熟，但是隨著科學技術的不斷改革與創新，網絡系統也在不斷地更新換代。網絡技術的不斷發展給網絡安全提出了巨大的挑戰，隨著網絡技術的發展，幾乎無時無刻都有網絡用戶的信息被竊取。因此，為了給廣大的網絡用戶提供一個安全的網絡運行環境，防火墻軟件系統必須繼續進行技術方面的創新。防火墻軟件系統只有在技術方面獲得突破之后，才能有效地保證網絡用戶的安全。主機防火墻軟件系統相關技術的研究也因此變得更加重要。為了保證網絡系統的安全，主機防火墻軟件系統必須及時地加以更新。

近些年來，主機防火墻技術在模式上發生了巨大的轉變，主機防火墻軟件系統以前的位置經常被設置在網絡比較邊緣的位置上。防火墻軟件系統在網絡的邊界上進行設置的目的是為了對進入網絡系統的數據進行分析，如果防火墻軟件系統在數據分析的過程中發現數據存在不安全因素，那么數據則不被允許進入網絡系統。然而，這種防火墻軟件系統由于被動的防御方式，在應用方面受到了很大的限制。為了使得防火墻軟件系統更能適應網絡用戶的要求，并更好地對網絡系統進行安全保護，外網之外則成為防火墻軟件系統安裝的位置。當防火墻軟件系統安裝位置定在了外網之外，網絡系統的安全性能也得到了明顯的提高。

目前，防火墻軟件系統的主要功能是為了防止外部用戶對網絡系統的入侵。為了對防火墻軟件系統的功能進行拓展以更大程度地滿足網絡用戶的要求，防火墻軟件系統在今后應該將殺毒功能也放到其中。殺毒技術在防火墻軟件系統中的應用，將使得防火墻軟件系統的防御功能變得更加強大。這將是今后防火墻軟件系統的一個必然發展趨勢。

3主機防火墻軟件系統開發與設計

為了更好地對主機防火墻軟件系統進行優化以最大限度地滿足網絡用戶的需求，下面主要對主機防火墻軟件系統中的關鍵技術進行分析研究。分布式防火墻的重要組成原件是主機防火墻，主機防火墻在整個網絡系統中發揮了重要作用。主機防火墻軟件系統是在主機上運行，以此來組織外界對網絡系統的入侵。

3.1主機防火墻軟件系統的包過濾功能

宿主機操作系統的內核是主機防火墻軟件系統運行的具置。所以網絡協議及主機操作系統與主機防火墻軟件系統有著直接聯系。主機防火墻軟件系統的主要功能是為了對主機操作系統的網絡協議進行分析，將攔截點設置在比較恰當的位置上。這些攔截點將會對所有進入網絡系統的數據進行分析，進入網絡系統的數據只有被攔截點審查通過之后才能進入網絡系統。如果進入網絡系統的數據存在安全方面的問題，則這些數據將被攔截點阻止在網絡系統的外部。主機防火墻軟件系統就是采取這種手段對進入網絡系統的數據進行過濾，以此來保證網絡系統運行環境的安全。

3.2主機防火墻軟件系統的核心功能

包過濾是主機防火墻軟件系統的一個核心技術。主機防火墻軟件系統除了具有強大的包過濾功能外，還具有一些其它的功能。為了更好地了解主機防火墻軟件系統，下面主要對主機防火墻軟件系統的核心功能進行介紹。

主機防火墻軟件系統的核心功能主要有以下幾個方面：第一，主機防火墻軟件系統可以對策略中心所配置的一些相關安全策略進行接收，以此來增強數據的過濾功能；第二，主機防火墻軟件系統為了對應用程度的聯網動作進行一定程度的過濾，使得應用程序的訪問策略變得尤為重要；第三，主機防火墻軟件系統可以對一些網絡活動進行及時監控，如果發現一些網絡活動對網絡系統具有破壞作用，那么主機防火墻軟件系統則可以對這些網絡活動進行阻止以保證網絡系統的安全；第四，主機防火墻軟件系統可以對一些網絡活動進行記錄，以便網絡系統出現問題后能及時地對這些網絡活動進行分析；第五，主機防火墻軟件系統為了讓策略中心知道防火墻軟件系統處于運行狀態，還可以定時發送消息給策略中心。以上五個方面的功能就是主機防火墻軟件系統的核心功能，它們在主機防火墻軟件系統中起到了非常重要的作用，網絡系統運行環境的安全性就是靠這五項功能來實現的。

3.3主機防火墻軟件系統設計思路

主機防火墻軟件系統設計思路的完善與否將直接影響到整個網絡系統的安全。因此，為了確保整個網絡系統擁有一個安全的運行環境，必須充分重視主機防火墻軟件系統的設計。主控單元和網絡處理單元是主機防火墻軟件系統的主要設計內容。下面對主控單元和網絡處理單元進行簡單介紹。

3.3.1主控單元設計

通用的中央處理單元是主控單元硬件經常采用的。主控單元硬件的主要功能是為了對網絡處理板進行管理及配置。主控單元在保證網絡系統運行環境的安全方面起著非常重要的作用。因此，為了保證網絡系統能夠擁有一個更加安全的運行環境，主控單元的設計工作必須引起設計人員的重視。主控單元在進行設計的過程中，要注重采用一些比較強大的組成原件，以此來增加主控單元的功能。

3.3.2網絡處理單元設計

網絡處理單元設計的好壞直接影響到整個主機防火墻軟件系統的功能，最終影響到整個網絡系統的安全。因此，為了確保網絡系統能夠擁有一個安全的運行環境，網絡處理單元的設計必須引起設計人員的重視。專用的網絡處理器在網絡處理單元中的應用是網絡處理單元的一個顯著特點，主控單元與專用網絡處理器總線的連接是網絡處理單元的外部設置內容。網絡處理單元的主要功能是對來自主控單元的信息進行分析，這些信息只有被確認沒有破壞性之后才能被傳輸到網絡系統中，如果這些數據被發現具有破壞性，那么數據將會被阻止在網絡系統的外面。網絡處理單元是不被主機防火墻軟件系統所控制的，其功能主要靠專用的網絡處理器來決定。

4結語

為了更好地對主機防火墻軟件系統進行開發與設計，本文主要對主機防火墻軟件系統的組成部分、主機防火墻軟件系統的發展趨勢以及主機防火墻軟件系統開發設計中的幾個關鍵問題等方面進行了分析研究。主機防火墻技術是確保網絡系統不被外來用戶入侵的一項技術保證措施，為了給網絡系統營造一個安全的運行環境，必須對主機防火墻技術進行不斷地改進與完善。

參考文獻：

[1]郝身剛.具有系統防御功能的新型主機防火墻系統設計[J].南陽師范學院學報，2011（12）.

[2]李曉.基于透明網橋的垃圾信息防火墻軟件系統設計與實現[D].成都：電子科技大學，2008.

[3]劉潔宇，任新華.分布式防火墻系統中主機防火墻的設計與實現[J].山西電子技術，2008（3）.

[4]蘆志朋.深度包檢測主機防火墻的研究與實現[D].成都：電子科技大學，2010.

第5篇

1.1 防火墻技術概念

從字面意思來看, 防火墻技術就是在計算機網絡與防火墻之間構筑一面墻, 起到保護效果。防火墻技術將系統中的硬軟件結合起來, 完成對不良信息的過濾與篩選工作, 一旦篩選出不良信息, 防火墻便會及時進行攔截, 從而保護計算機網絡安全。目前, 計算機防火墻技術較為完善, 最為常見的有監測型、過濾型、型3種防火墻。計算機防火墻技術在計算機系統維護中有著非常重要的作用, 是當前計算機網絡領域研究的重要方向, 怎樣不斷地提高計算機網絡安全技術, 構建系統可靠的防火墻網絡是計算機領域需要研究的關鍵內容[1]。

1.2 類型

防火墻是保護網絡安全的有效手段, 當然, 它也有很多類型, 既能夠存在于硬件部分, 也能在獨立機器中運行, 該機制就變成了防火墻所在網絡的。為了有效實現安全防護的目標, 就必須要讓內外部網絡中全部數據都經過防火墻進入, 同時, 只有和防火墻規則具有一致性的數據流才能經過防火墻, 并且防火墻自身也必須要具備很強的抗攻擊與免疫力。防火墻可以連接因特網, 也可以將其應用在組織網內部重要數據信息的保護過程中, 因此, 可以將防火墻分成網絡層防火墻與應用層防火墻兩種類型[2]。

1.3 基本功能

1.3.1 動態包過濾技術

動態包過技術實際上也可以稱作狀態檢測技術, 可以快速截獲經過經過防火墻的數據包, 提取相關信息, 并結合信息的安全程度看是否允許信息經過, 能夠達到動態網絡監控的效果。防火墻能夠動態管理經過端口的信息, 前提是要連接[3]。

1.3.2 控制不安全服務

防火墻能夠控制不完全服務, 提前將信任域和不信任域間數據出入情況設置好, 從而避免不安全服務的進入, 確保內部網的運行安全。

1.3.3 集中安全保護

防火墻能夠將內部要防護的軟件全部集中起來, 還包含全部要改動及附加的軟件, 如身份認證、電子口令等。這類安全問題都能由防火墻集中管理, 且操作起來非常簡單。

1.3.4 加強網絡系統訪問控制

防火墻能夠設置外部網對內部網訪問服務, 并加強訪問控制, 如涉及到重大網絡安全服務能夠屏蔽外部網, 使其無法訪問;針對那些涉及較小網絡安全服務, 可以對外部網進行訪問[4]。

2 防火墻技術

2.1 過濾技術

防火墻技術在特定位置提供過濾服務, 如在網絡系統TCP位置, 防火墻先對TCP位置接收到的數據包的安全性進行檢查, 一旦發現存在安全隱患, 就不允許數據包傳輸。同時, 將過濾技術應用到外網環境中, 其預防特征特別明顯, 有效防止不良信息的傳輸, 從而保證TCP區域運行安全。過濾技術的應用不僅能夠實現對計算機網絡安全控制, 而且在路由器方面應用價值非常明顯。

2.2 協議技術

該種技術主要是用來防止Dos攻擊, 若Dos攻擊就會使整個計算機系統陷入癱瘓, 系統難以有效運行, 該類攻擊并未進行明確限制。防火墻使用協議技術, 在Dos攻擊中對計算機內部網絡進行保護, 并提供相關網關服務, 得到防火墻的回應, 服務器才能有效運行。

2.3 檢測技術

檢測技術主要是對計算機網絡運行狀態進行檢測, 外網傳輸的數據包當成整體, 對數據包狀態內容進行準確分析, 并將分析結果進行匯總, 生成記錄表, 分成規則、狀態兩個記錄表, 對兩表的數據信息進行分析, 判斷數據狀態。目前, 檢測技術在各層網絡間運用的非常普遍, 能夠準確地獲取網絡連接狀態, 擴寬網絡安全防護范圍, 從而保證計算機網絡系統運行的安全性[5]。

3 計算機網絡安全中防火墻技術的應用

隨著計算機網絡技術的廣泛運用, 其各種安全問題也逐漸顯現出來, 采取有效措施保護計算機網絡網絡安全是目前需要解決的重點問題, 下面對計算機網絡安全中防火墻技術的應用相關內容進行了分析。

3.1 包過濾防火墻

該種防火墻通常只應用在OSI 7層模型中網絡層數據?？梢酝瓿煞阑饓顟B的檢測, 預先將邏輯策略確定好, 主要包括端口、地址及源地址等, 所有經過防火墻的數據都必須要分析, 若數據包中的信息與策略中的要求不符, 則數據包能夠通過, 若完全相符, 則數據包就會被攔截。數據包在傳輸過程中都會被分解成很多個由目的、地質等構成的小數據包, 在經過防火墻時, 它們可以通過各種傳輸路徑傳輸過去, 但最后會在同一個地方會合。在目的地點, 數據包還是要接受防火墻檢測, 合格之后, 才能通過。一旦在傳輸時, 數據包丟失或者是地址發生變化等都會被丟棄。但是, 該技術在應用的過程中也有一些缺點, 如:部分包過濾網關對有效的用戶認證并不支持;規則表變化快, 規則難以測試, 隨著規則表的結構與復雜性的增大, 規則結構的漏洞也會隨之增多;該種防火墻是由一個獨立的部件來保護, 一旦該部件出現問題, 就會危害整個網絡系統;通常情況下, 包過濾防火墻智能對一種類型的IP威脅進行阻止, 也就是外部主機偽裝內部主機的IP[6]。

3.2 深層檢測防火墻

深層檢測防火墻是計算機防火墻技術發展的主要方向, 該技術先完成對網絡信息的檢測, 再對流量走向進行實時跟蹤, 并繼續完成檢測任務。該種防火墻技術的保護作用, 并不只是停留于網絡層面, 而是有效防護應用層網絡攻擊, 安全性能強。

3.3 應用網關防火墻

該種防火墻也可以稱為防火墻, 其主要應用在OSI的網絡層及傳輸層。這種防火墻技術與包過濾防火墻存在一定的差異, 即認證的是個人, 并非相關設備, 只有當個人驗證成功之后, 才能對網絡資源進行有效訪問, 認證主要包含的內容有密碼、用戶名等。通過應用網關防火墻, 就能有效防止黑客的攻擊。同時, 應用網關防火墻又可以分成直通與連接網關防火墻兩種, 其中連接網關防火墻一般屬于認證機制, 能夠以截獲數據流量的方式來認證, 認證完成后, 連接網關防火墻才能開始訪問。另外, 該種防火墻還能有效保護應用層, 使應用層運行更加安全, 而直通式并不能實現這一目標。但是, 應用網關防火墻也有自身的不足之處:利用相關軟件來處理數據包, 支持的應用非常少, 有時必須要制定客戶端軟件。

3.4 分布防火墻

該種防火墻主要是由安全策略及客戶端服務器組成, 客戶端防火墻主要工作于各個服務器、工作站上, 依據安全策略文件中的相關內容, 依賴包過濾等幾層安全檢測, 確保計算機在正常運用的情況下不會受到網絡黑客的攻擊, 確保網絡運行安全。而安全策略管理服務器主要是服務安全策略、用戶等的管理。該服務器是集中管理控制中心, 統一制定和分發安全策略, 負責管理系統, 因而, 其是集中控制管理中心, 減少了終端運用的工作負擔。分布防火墻主要應用于企業或者是單位局域網內部, 其安全運行必須要依賴于一些安全防護軟件, 主要包含網絡與主機防火墻兩種, 其中網絡防火墻主要應用于內外部網之間, 主機防火墻應用于局域網內部。該種防火墻主要是對內部缺陷進行防護, 有效防止外部攻擊, 從而確保局域網運行安全。

4 結語

網絡信息技術的普及與運用, 給人們的生活帶來了極大的便利, 但也面臨著許多安全問題, 在經過很多網絡安全問題之后, 人們對網絡安全越來越重視, 大多數網絡用戶都安裝了計算機網絡防火墻。網絡資源有著很多可利用的優勢資源, 怎樣充分利用網絡資源優勢, 解決網絡中遇到的問題, 是廣大從業者必須要思考和解決的問題, 需要不斷地去研究探索, 滿足新時代計算機發展的現實需要。

參考文獻

[1]徐凌云, 周立中, 朱平陽.關于防火墻技術在計算機網絡安全中的應用剖析[J].數字通訊世界, 2014, (22) :129-135.

[2]秦素梅, 龔艷春, 張淑敏, 等.淺析防火墻技術在計算機網絡安全方面的具體應用[J].網絡安全技術與實際應用, 2015, (16) :208-216.

[3]徐東純, 周艷萍, 王馨悅, 等.基于CC2530的環境監測無線傳感器網絡節點設計[J].計算機應用, 2016, (20) :325-329.

[4]江科, 周立軍.淺議防火墻技術在計算機網絡信息安全中的應用及研究[J].計算機光盤軟件與應用, 2016, (15) :108-116.

第6篇

關鍵詞：防火墻技術；網絡安全；應用探究

當前，隨著社會的進步和科學的發展，以互聯網為代表的先進技術逐漸深入人們的工作和生活，并帶來了巨大的便利。而互聯網技術作為一把“雙刃劍”，其網絡安全問題也時刻威脅著人們的生產生活，盡管其影響力大、破壞性強，但在入侵過程中卻往往難以被人察覺。從本質來說，網絡安全能夠通過訪問控制和通信安全兩種服務來保障自身安全，而防火墻是網絡入口的首要防線，這種服務要達到最佳效果，需要防火墻技術與加密技術聯合防護。實踐證明，防火墻技術的網絡防御效果顯著，并且能夠廣泛用于各個領域，有效保障網絡安全。隨著科學的發展，防火墻技術也會不斷進步與發展，實時保障用戶的網絡安全。

1概述

1．1基本概念

所謂防火墻，就其概念而言來源于建筑學，意指防止火災從建筑物燃燒至另一建筑物的阻礙物，而網絡上防火墻意指防止網絡入侵的阻擋技術。有些工程師將防火墻定義為：計算機系統中所有通信無論是由內部到外部或是外部到內部都必須經過的，并且只有內部訪問權的通信方允許通過的技術。實質上，防火墻即為一種隔離控制技術，以增強系統內部網絡的可靠性，保障用戶安全為目的。

1．2基本功能

作為保障用戶網絡安全的重要技術，防火墻主要有以下基本功能：（1）防止用戶內部信息的泄露。使用防火墻技術能夠將計算機內部網絡進行劃分，隔離重點網，以防出現局部網不安全造成全局網不安全的現象。此外，防火墻技術通過對進入系統的用戶身份進行嚴格驗證，對網絡進行相應技術加密，能夠有效防止入侵者竊取用戶數據信息。（2）增強網絡安全策略。防火墻能夠利用其執行站點的安全模式把保障系統安全的相應指令、加密等軟件與防火墻連接在一起，與傳統防護模式中各個系統主機共同處理網絡安全的解決方式相比，顯然這種集中管理模式保障安全顯得更為方便、高效。（3）保障網絡安全。主要表現在防火墻可以阻止不安全的進程，減小入侵風險，保障網絡安全。此外，防火墻還能拒絕部分來自路由的攻擊，并報告給網絡管理員，以盡可能減少對其他用戶造成麻煩的情況。（4）網絡存取及訪問監控審計。防火墻能有效記錄網絡活動并對可疑動作提供報警功能。為管理員提供誰在訪問網絡、在網絡上做什么等信息，當發生可疑動作時，防火墻能進行適當的報警，并提供網絡是否受到監測和攻擊的詳細信息。

2防火墻的分類

2.1電路級網關防火墻

電路級網關防火墻是目前較為常見的一種防火墻，其本質是一個用于監控客戶機或服務器的通用服務器，它主要通過作用于OSI互聯網模型中的會話層或者TCP協議的TCP層來實現其功用。這種防火墻技術雖然也可應用于多個協議，但缺陷在于對同一協議棧運行的不同應用無法及時識別，因此此類防火墻也就不用設置相應模塊來應對不同的應用。在實際工作中，電路級網關防火墻的服務器會對客戶端進行部分修改，當客戶端發送相應的請求，服務器便對請求進行接收，并客戶端完成網絡的連接工作?？梢钥闯?，此類防火墻能夠將網絡信息進行隱藏，保障信息安全。

2.2應用級網關防火墻

應用級網關防火墻是一種應用服務器，主要在內、外部網絡在進行網絡交換申請服務時起連接的功能，其工作方式如下：（1）驗證用戶是否符合進入條件，如若驗證成功，則將用戶請求發送到內部網絡的主機，此時也會對用戶進行的操作進行實時監測；若發現危險或疑似危險則阻斷訪問。（2）當用戶是由內部網絡申請連接外部網絡時，防火墻工作模式會先對內部網絡發送的請求進行接收和檢查，若合乎要求，防火墻將請求發送至外部網絡。由此看出，這兩種工作的工作方式恰好相反。應用級網關防火墻的優勢在于方便配置、工作環境良好，它在內外網主機之間起連接作用，而不允許其直接連接，能夠有效保障使用過程中的安全性。此外，這種服務器還能夠對用戶的操作記錄得更加詳盡。

2.3靜態包過濾防火墻

靜態包過濾防火墻作用于網格層，對進出內部網絡的信息進行全面分析，再根據相應安全策略對信息過濾，其篩選Internet防火墻路由器內部網…堡壘主機原則是以所監測到的數據包的初始信息為基礎，允許授權信息進出，限制危險信息進出。當前，路由器被廣泛用于網絡的信息傳輸，連接在內、外部網路之間，因此是影響網絡安全的重要因素之一。而包過濾型防火墻就是一種專門對路由器產生作用的技術，因此從某種意義上說靜態包過濾防火墻也是一種包過濾路由器。靜態包過濾防火墻的優勢在于簡單實用，運行速度快，且透明性較高。這種防火墻技術的工作運用同應用層沒有關系，這就意味著不用對用戶主機的應用程序進行修改，配置和使用都顯得較為方便。它的缺點在于這種防火墻需要對TCL、IP等相應協議有較深的認識；另外這種防火墻技術不能夠對用戶的操作進行鑒別。

2.4狀態監測型防火墻

狀態監測型防火墻的作用機制在于使用了在網關上執行網絡安全策略的軟件引擎來實現其作用和功能。這種防火墻工作在網絡層與鏈路層之間，可以對網絡通信進行跟蹤監測，并對相關狀態信息進行提?。淮送?，狀態型監測防火墻還能對動態鏈接表中的狀態和信息進行儲存，并及時更新，通過信息積累不斷為下面的通信檢查提供數據支撐。狀態監測型防火墻的另一大優勢在于可以為類似NFS的基于端口動態分配協議的應用提供技術支持和類似DNS的無連接的協議提供應用支撐，相對而言，型網關防護墻和靜態包過濾型防火墻則不能支持以上應用。綜上所述，狀態型防火墻能夠有效減少端口開放時間，并提供相應服務支撐。它的缺點在于會默許內部主機與外部網絡不通過第三方直接連接，對部分網絡安全隱患難以起到防護作用；此外，狀態監測型防火墻不能夠對用戶操作進行鑒別。

3防火墻在網絡安全訪問控制中的應用

3.1雙宿主主機模式

雙宿主主機模式是通過主機的使用來實現的，這臺主機擁有用于連接內部網絡和外部網絡的兩個接口。防火墻將雙宿主網關置于內部網絡和外部網絡之間，以阻斷IP層之間的數據傳輸。內部網絡和外部網絡的主機不能夠直接進行通信，它們都只能與網關進行通信，而內部網絡與外部網絡的通信需要利用應用層的數據共享或服務達成。

3.2屏蔽主機模式

屏蔽主機防火墻主要由堡壘主機和過濾路由器兩部分組成，其中堡壘主機位于內部網絡，過濾器位于內部網絡和外部網絡之間。堡壘主機作為連接外部網絡和內部網絡的唯一通道，使得外部網絡和內部網絡都只能連接到堡壘主機，當內部網絡有通信需求時，必須先到堡壘主機，堡壘主機再進行判斷，并決定是否允許連接到外部網絡。因此，入侵者要想實現對用戶電腦的入侵，必須首先將主機攻克，方能到達內部網絡，主機結構如圖1所示。

3．3屏蔽子網模式

屏蔽子網包括堡壘主機以及兩個包過濾器等部分，其內、外部網絡主機間設置具有隔離功能的子網，以形成隔離區，設置屏蔽子網的作用在于防止MAIL、Web服務器等公共服務直接通過內外部網絡。通常情況下，內、外部網絡都能夠訪問屏蔽子網，而不允許穿過子網進行通信，這種配置使得當堡壘主機被攻克時，內部網絡仍然可以受到來自包過濾路由器的保護。這種屏蔽子網防火墻的最大好處在于為計算機多提供一層防護，因為必須攻克兩個路由器和一個網關才能成功入侵。

4防火墻未來發展趨勢與展望

防火墻技術作為保障網絡安全的重要舉措之一，未來必將得到發展和更新。筆者認為未來的防火墻技術將朝著多元化、智能化、高速化方向發展，可全面保障用戶信息、應用程序與操作過程的安全，且會具有如下新的優點：（1）高速性?，F階段，防火墻的運行速度不夠快的問題突出，而隨著科學技術的發展，防火墻將會更多與芯片技術相融合，利用芯片提升計算的速度和精度，最終成為以芯片技術為主的全硬件型網關，大幅度提升網絡安全。（2）智能化。現階段，網絡安全威脅主要包括病毒傳播、網絡攻擊、內容控制，其典型代表分別是蠕蟲病毒和垃圾郵件。而目前防火墻對這些形式的威脅似乎沒有明顯效果，因此未來的防火墻技術一定是朝智能化方向發展的。（3）多元化。隨著網絡技術的不斷發展，多種網絡模式已被運用，未來的防火墻將會形成一種可隨意伸縮的模塊化解決方案，為不同網絡設置不同技術的防火墻，為用戶提供多元化的保障。

5結語

隨著人們對網絡技術的運用越來越多，依賴性越來越強，人們對網絡安全也越加重視。實踐表明，防火墻在保障網絡安全方面成效顯著。為應對復雜的網絡安全威脅，防火墻技術需要不斷地更新和發展，在保障網絡安全這條隱蔽的道路上，人們需要做的仍然很多。只有人人注重網絡安全，采用先進技術，才能形成全方位的防御體系，保護人們的信息資源。

作者:張林 單位:中國航空動力機械研究所

參考文獻

第7篇

關鍵詞：計算機網絡；安全技術；防火墻

隨著計算機網絡技術的快速發展，各種信息在網絡中傳遞的速度越來越快，計算機網絡技術在為人們帶來方便的同時，也給人們帶來極大的困擾。目前，很多行業都在使用計算機網絡技術進行信息管理，如果計算機網絡不安全，很容易造成信息泄露、丟失、修改等現象，因此，計算機網絡安全技術成為當前比較熱門的技術之一，防火墻安全防范技術是計算機網絡安全技術的一種，在計算機網絡安全中發揮著十分重要的作用。

1 計算機網絡安全概述

計算機網絡安全的含義沒有明確的規定，不同的使用者對計算機網絡安全的要求和認識有很大的差別，但計算機網絡安全從本質上講，包括計算機網絡系統的軟件安全、硬件安全、傳遞信息安全等幾部分，計算機網絡安全既需要技術安全也需要管理安全。計算機網絡安全的主要內容有保密性、安全協議、接入控制等三部分，任務用戶提供安全、可靠、真實、保密的信息是計算機網絡系統的主要任務之一，如果計算機網絡系統達不到保密要求，那么計算機網絡就沒有安全可言；安全協議是一種保護信息安全的手段，對計算機網絡安全有十分重要的作用；接入控制主要是對接入網絡權限和相關限制進行控制，由于網絡技術比較復雜，傳遞的信息比較多，因此，常在接入控制中采用加密技術。

2 防火墻安全防范技術

2.1 防火墻安全防范技術概述

在計算機網絡安全中，防火墻安全防范技術是一種計算機網絡安全防范應用比較廣泛的技術，防火墻是重要的計算機網絡安全保障方式，在計算機網絡安全防范中，防火墻能對網絡環境的進出權限進行控制，對相關鏈接方式進行檢查，對計算機網絡信息進行保護，防止網絡信息受到惡意破壞和干擾。在計算機網絡環境中，防火墻大多是以獨立的系統或者利用網絡路由器進行安全保護。

2.2 計算機網絡安全中常用的防火墻技術

隨著計算機網絡技術快速發展，防火墻安全防范技術也不斷的發生著變化，目前，常用的防火墻技術有型防火墻安全技術、包過濾型防火墻安全技術、監測型防火墻安全技術、網址轉換防火墻安全技術等。

2.2.1 型防火墻安全技術

型防火墻安全技術是一種服務器，屬于高級防火墻技術，型防火墻安全技術常用于用戶之間，對可能對電腦信息造成危害的動作進行攔截，從用戶的角度講，服務器是有用的服務器，從服務器的角度看，型服務器，就是用戶機。當用戶的計算機進行信息溝通、傳遞時，所有的信息都會通過型服務器，型服務器會將不利的信息過濾掉，例如阻攔各種攻擊信息的行為，服務器會將真正的信息傳遞到用戶的計算機中。型防火墻技術的最大的特點是安全性能高，針對性強，能將不利的信息直接過濾掉。

2.2.2 包過濾型防火墻安全技術

包過濾防火墻安全技術是一種比較傳統的安全技術，其關鍵技術點是網絡分包傳輸，在信息傳遞過程中，以包為單位，每個數據包代表不同的含義，數據包可以根據信息數據的大小、信息的來源、信息的性質等進行劃分，包過濾防火墻技術就是對這些數據包進行識別，判斷這些數據包是否合法，從而實現計算機網絡安全防護。

包過濾型防火墻安全技術是在計算機網路系統中設定過濾邏輯，使用相關軟件對進出網絡的數據進行控制，從而實現計算機網絡安全防護。包過濾防火墻技術的最重要的是包過濾技術，包過濾型防火墻安全技術的特點有適應性強、實用性強、成本低，但包過濾型防火墻技術的最大缺點是不能對惡意程序、數據進行進行識別，一些非法人員可以偽造地址，繞過包過濾防火墻，直接對用戶計算機進行攻擊。

2.2.3 監測型防火墻安全技術

監測型防火墻安全技術是對數據信息進行檢測，從而提高計算機網絡安全，但監測型防火墻安全技術成本費用比較高，不容易管理，從安全角度考慮，監測型防火墻安全技術還是可以用于計算機網絡中。

2.2.4 網址轉換防火墻安全技術

網址轉換技術將網絡地址轉換成外部的、臨時的地址，這樣外部IP對內部網絡進行訪問時，其他用戶不能利用其他IP重復訪問網絡，外部IP在訪問網絡時，首先會轉到記錄和識別中進行身份確認，系統的源地址通過外部網絡和非安全網卡連接真正的IP會轉換成虛擬的IP，將真正的IP隱藏起來。當用戶訪問網絡時，如果符合相關準則，防火墻就會允許用戶訪問，如果檢測不符合準則，防火墻就會認為該訪問不安全，進行攔截。

3 防火墻安全防范技術在計算機網絡安全中的應用

3.1 訪問策略設置

訪問策略設置是防火墻的核心安全策略，因此，在設置訪問策略時，要采用詳細的信息說明和詳細的系統統計，在設置過程中，要了解用戶對內部及外部的應用，掌握用戶目的地址、源地址，然后根據排序準則和應用準則進行設置在，這樣防火墻在執行過程中，能按照相應的順序進行執行。

3.2 安全服務配置

安全服務的是一個獨立的局域網絡，安全服務的隔離區將系統管理的機群和服務器的機群單獨劃分出來，從而保障系統管理和服務器的信息安全，安全服務既是獨立的網絡又是計算機內部網絡的重要組成部分。對于內部網絡可以采用網址轉換防火墻安全技術進行保護，將主機地址設置成有效的IP地址，并且將這些網址設置公用地址，這樣就能對外界IP地址進行攔截，有效的保護計算機內部網絡安全，確保計算機內部網絡安全、穩定的運行。如果企業擁有邊界路由器，可以利用原有的邊界路由器，采用包過濾防火墻安全技術進行網絡安全保護，這樣還可有降低防火墻成本費用。

3.3 日志監控

日志監控是保護計算機網絡安全的重要管理手段之一，在進行日志監控時，一些管理員認為不必要進行日志信息采集，但防火墻信息數據很多，并且這些信息十分繁雜，只有收集關鍵的日志，才能當做有效的日志。系統警告信息十分重要，對進入防火墻的信息進行選擇性記錄，就能記錄下對計算機網絡有威脅的信息。

4 結束語

計算機網絡技術的快速發展必然會為網絡安全帶來一定的隱患，因此，要不斷更新完善計算機網絡安全技術，改革防火墻安全防范技術，抵抗各種對計算機信息有害的行為，提高計算機網絡安全防護能力，確保計算機網絡安全，從而保證計算機網絡系統安全穩定的運行。

參考文獻

[1]王麗玲.淺談計算機安全與防火墻技術[J].電腦開發與應用，2012（11）：67-69.

[2]劉可.基于計算機防火墻安全屏障的網絡防范技術[J].電腦知識與技術，2013，9（06）：1308-1309.

[3]徐囡囡.關于計算機網絡安全防范技術的研究和應用[J].信息與電腦（理論版），2011（06）：106-108.

[4]王吉.基于計算機防火墻安全屏障的網路防范技術[J].信息與電腦（理論版），2014（01）：162-163.

第8篇

關鍵詞：計算機 互聯網 防火墻 網絡安全

中圖分類號：TP393 文獻標識碼：A 文章編號：1007-9416（2014）05-0197-01

1 引言

網絡安全對于國家民族以及社會穩定的作用影響較為深遠，進行計算機網絡安全的分析研究，主要也是進行計算機網絡信息安全技術的研究分析。在計算機安全問題研究中，造成計算機網絡安全問題以及隱患發生的主要因素包括，計算機網絡病毒以及計算機網絡犯罪、計算機網絡黑客等，并且隨著計算機網絡信息技術在商業領域中的應用范圍不斷擴大，上述因素造成的計算機網絡安全問題影響與經濟損失也在不斷增加，該文將結合計算機網絡安全指標與等級標準，從防火墻安全屏障的概念含義分析出發，對于常用的計算機防火墻網絡安全防范技術進行分析介紹。

2 計算機防火墻的概念和功能

2.1 概念

防火墻是一種具象化的表述，又被稱為防護墻，于1993年被運用到互聯網中，防火墻的實質是一種介于網絡內部和外部之間，為了對信息起到保護作用的安全系統，簡單來說就是一種對于網絡訪問的篩選和控制技術。防火墻的工作原理是通過計算機中的硬件和軟件進行結合，形成一個作用于不同網絡的安全管卡，從而使得其具備對于各種信息的驗證和過濾功能。談到網絡防范技術，就必須要提到防火墻技術，這是在信息安全防護中運用的最為廣泛，也是最為基礎的技術。它通過對網絡進行限制和分析，實現對于網絡活動的監控，如果探測到問題的發生，就會自動進行屏蔽。這種技術主要是在網絡中運用的，能夠很好的過濾不良信息，自動的抵抗安全威脅，使得信息在網絡上的傳播和交流能夠擁有安全可靠的環境。

2.2 功能

防火墻，顧名思義，其功能的核心在于對非法或者是不良的訪問進行限制，起到安全防范的作用。而且隨著技術的進步，更新一代的防火墻開始具備傳統防火墻所沒有的功能，比如微軟的windows7系統中自帶的防火墻，可以對數據包進行自動的過濾和分析，更具職能性?？傊阑饓δ軌驈娀嬎銠C與網絡的信息安全，能夠對互聯網的訪問進行分析和控制，能夠對不良和非法信息進行檢測和過濾，功能可靠且強大。

3 常用防火墻技術分析

3.1 包過濾型

這類產品在防火墻中屬于最為初級和基本的，其工作原理是互聯網中的最為核心的概念，即分包傳輸。我們都知道，在網絡上，信息和數據在傳輸過程中要以“包”為單位，在傳輸之前，信息會被進行既定的分割，這些被處理過的信息就被稱為“數據包”。每個數據包中所涵蓋的信息是不同的，而防火墻在接收到這些數據包后，會通過分析其地址來源和危險系數，從而判斷出其中的信息是否會對網絡安全造成危害，一旦有妨害危險，這些“數據包”就會被系統自動過濾，當然，為了實際考慮，防火墻的判斷規則是可以被修改的，這取決于用戶的安全需求。

3.2 型

這種類型的防火墻又叫做服務器，它是比包過濾型防火墻較為高端，功能較多的一種技術類型。它不僅擁有包過濾型的功能價值，而且隨著技術的不斷發展，這一類型的產品在慢慢向應用層面轉變。型具有高可靠性的特點，但是由于要在使用前進行設定，所以在方便性上明顯不足。

3.3 監測型

作為防火墻技術的最新成就，監測型已經不再局限于單純的防火墻傳統價值。它最大的特點就是實時性和主動性，可以對于不同節點和層面的信息進行全方位的監測，并通過自帶的強大分析和處理系統，對非法侵入進行防范。不過監測型最為突出的特點是其對于網絡內部威脅的防范性，因為其自帶的分布式探測器可以對于任何節點進行監測，所以不僅對于網外，網內也可以起到安全防范的作用。

4 結語

綜上所述，我們知道防火墻技術在計算機和互聯網中的運用意義十分重大，雖然隨著科技的進步，越來越多的網絡防范信息安全技術被創造出來，但是其基本地位是無法被取代的。在在信息資源的傳播和交流過程中，由于網絡的一些特性和社會中不良分子的影響，使得安全保密問題成為計算機信息系統的重點和難點，所以一定要不斷的創新，提高技術含量，使得防火墻發揮出更強大的功能。

參考文獻

[1]張安妮，李明東.拒絕服務（DoS）攻擊的分析與防御對策[A].辦公自動化學會.OA’2005第九屆辦公自動化國際學術研討會論文集[C].辦公自動化學會，2005：4.

[2]陳關勝.防火墻技術現狀與發展趨勢研究[A].中國優選法統籌法與經濟數學研究會計算機模擬分會.信息化、工業化融合與服務創新――第十三屆計算機模擬與信息技術學術會議論文集[C].中國優選法統籌法與經濟數學研究會計算機模擬分會，2011：6.

第9篇

關鍵詞：防火墻技術 校園網絡 安全應用

中圖分類號：TP393 文獻標識碼：A 文章編號：1007-9416（2016）10-0210-01

隨著社會的高速發展，計算機和互聯網科技得到了全球化普及，不同的用戶都能通過計算機等網絡終端在互聯網的交流中滿足自我需求。新時期下，學校的教學任務中也相應地增加了網絡方面的系統知識，既要引導學生如何正確利用計算機和互聯網開展學習和工作，又要加強學生的網絡安全意識，提高網絡安全操作技能?；ヂ摼W在校園內基本實現了全面鋪設，頻繁使用過程中必然也容易產生諸多安全問題，阻礙教學科研等工作的順利開展。要加強校園網絡的安全性，必然需要重視防火墻技術，并通過積極努力實現在效果網絡中的應用。

1 防火墻技術簡述

防火墻技術的主要保護對象是某一網絡內部結構的安全性。借助不斷更新的電腦硬件和軟件，現代技術能夠在某一局域網絡與外源互聯網之間搭建安全防護體系，從而實現了對外部危險信息的隔絕，保障局域內網的信息安全。這種抵御外來入侵的技術就是防火墻技術。因為防火墻的存在，別有用心的網絡用戶對局域網展開的非法訪問直接被拒絕和阻止。其主要的作用原理是將眾多沒有得到內網主機驗證的IP地址碼進行分組，形成具有高度隱蔽性的偽裝，同時其地址功能主動斷開內網與外網之間的數據連接，使得內網有了可靠的安全屏障。正是源于這樣的作用機理，包括校園網、機關單位內網等網絡都搭建了包含防火墻技術的安全防御系統。

2 校園網絡安全性的內涵

校園網的用戶主要是廣大師生群體。這樣的內網系統必然包含更多用于教學和科研等交流內容的數據，具有一定的特殊性，因此，校園網的安全性必然需要高度重視，才能確保網絡可靠運行，過濾眾多社會不良信息，保護內部資源的流失。校園網絡的安全性主要體現在幾個方面：①強化相關網絡安全制度，實現優質高效的安全管理；②較高的用戶身份識別，可以有效區分不法分子入侵；③防火墻的構建，及時阻止外界不健康的信息的傳播，并主動過濾和屏蔽不信任網站；④師生個人信息的嚴密保存，通過各種加密措施實現信息安全，杜絕失竊或篡改行為；⑤安全監控系統的建立，能夠對校園內的各種網絡設備進行監控和保護。

3 防火墻技術在校園網絡中的應用體現

3.1 不斷鞏固和優化內網防火墻

學校作為網絡應用更為頻繁的集中區域，不但要加強網絡安全的制度管理和行為管理，更要在網絡應用中不斷改良和優化防火墻技術的，使之始終保持與校園發展環境的適應性。學校應該組建專業部門和專業人員，落實網絡防火墻的重點建設，全面考察市場中的防火墻技術，引進與校園網絡環境高匹配度的設備和技術，例如當前華為集團收購賽門鐵克企業后強強聯合推出的多業務防火墻系列，高達2000數值的吞吐量，集合Dos.DDoS系統加強檢測外界入侵，設備上設置1個廣域網接口，8個局域網接口，配置有可擴展式插槽。這樣的防火墻配置有多核處理器，能夠同時滿足不同網絡用戶的需求。校園網應該緊跟時展，引進更高技術的安全保護設備，才能實現校園網絡的安全運行。

3.2 實時開展外界不良入侵監控

網絡入侵是當前互聯網應用的常見風險，對網絡進行入侵監控，能夠及時對出現的網絡問題采取相應的檢測，并保持跟蹤記錄，便于未來具體處理時可供參考。防火墻技術應該加強對于不同等級的外界入侵攻擊的有效防御能力。尤其在校園網中，入侵檢測功能能夠將某段時間出現的異常狀況，以電郵的形式及時匯報到網絡管理員處，管理員在啟酉嚶υぞ機制后將積極開展危機處理。

3.3 加強登錄用戶認證

校園防火墻可以直接對登錄網絡的用戶進行身份認證，同時也能夠對用戶點擊訪問的不同網站進行認證。如發現某網站不可信，或存在其他風險，防火墻將及時鎖定用戶數據庫信息，完成IP地址或MAC地址的綁定，從未限制用戶進入該網站，顯示為無法訪問。

3.4 保持系統的日常檢測維護

防火墻在安裝接入到校園網后，就會始終保持工作狀態。因此，應該由專人開展定期檢查和維護工作。通過查閱某一周期內的網絡流量，核對異常記錄，加強對網絡日志的備份和清除，提供可存儲效率。

3.5 持續開展系統漏洞掃描

校園網絡防火墻的應用，不但能夠有效降低來自外網的危險入侵，而且能夠對自身的網絡系統進行漏洞掃描。網絡結構一向具有復雜性，無論是簡單的程序還是復雜的軟件運行，都會導致網絡出現一定的不良反應，從而產生異常。防火墻技術在功能優化后，應成為專業網管的有力輔助工具，人工與機器的同步掃描下，網絡漏洞存在的概率進一步降低，安全隱患能夠在較短的時間內被消除。

3.6 選購正規可靠的相關防御裝置

談及防火墻技術在校園網絡中的應用，還應該注意加強對防御裝置的選購。當前市面上防火墻類別五花八門，使用效果也不盡相同，因此，還是應該面向擁有市場好口碑的主流產品進行選購，如金山網絡防護、天網安全系統等。學校在確保自身投入符合預算要求后，可以配備更多的配套裝置，如校園網專業瀏覽器、服務器、專業版殺毒軟件等等，借助不同手段綜合提升網絡安全保護能力。

4 結語

校園網絡的安全問題值得重視。在加強制度管理、行為管理的同時，對于網絡防火墻技術的應用要保持科學性和嚴謹性。不但需要積極購入設備優化防火墻、加強入侵檢查和用戶認證、加強日常檢測維護和漏洞掃描，更要結合其他手段，形成多元化的綜合防御系統，才能更好地實現校園網絡的安全運行。

參考文獻

[1]楊帆.防火墻技術及其在校園網絡安全中的應用研究[J].科技展望，2015（35）：10.

[2]王謙，馬全福.關于現代網絡安全技術及其在校園網絡中的應用探討[J].網絡安全技術與應用，2016 （02）：30-31.

[3]馬麗君.淺析防火墻技術在校園網絡安全中的應用[J].網絡安全技術與應用，2014（12）：64，66.

第10篇

關鍵詞計算機；網絡安全；防火墻技術；應用對策

中圖分類號TP3文獻標識碼A文章編號1674-6708（2018）210-0147-02

隨著網絡技術的快速發展和廣泛應用，計算機在各個行業大力普及并實現了網絡互連信息共享。但是，網絡的開放性給計算機網絡安全帶來了威脅，為病毒和黑客提供了可入侵的空間。為了防止計算機網絡運行中遭到病毒的攻擊，采用防火墻技術是非常必要的。

通過分析網絡型病毒，根據對病毒以及黑客的分析結果具有針對性地使用防火墻技術，塑造安全的計算機網絡環境，可以保證計算機網絡安全穩定地運行。

1防火墻技術的概述

防火墻的構成上主要包括3個部分，即限制器、分離器和分析器。防火墻是用于計算機防病毒的硬件，安裝在互聯網與內部網之間，對互聯網信息進入到內部網可以起到門戶的作用，對于不良信息進行阻隔，可以起到降低內部網遭到病毒侵襲的發生率[1]。

可見，防火墻技術事實上是隔離技術。如果外網信息傳遞中，經過防火墻檢測屬于安全信息，就可以允許進入到內部網絡。防火墻是保證計算機安全運行環境的重要屏障。防火墻技術所發揮的功能具體如下。

1.1防火墻技術對網絡安全可以起到強化作用

防火墻技術對網絡安全可以起到強化作用，體現在防火墻的設計方案、口令等都是根據計算機網絡的運行需要量身定做的。

安裝防火墻后，計算機可以過濾不安全信息，使得網絡環境更為安全。防火墻可以禁止網絡數據信息系統（NetworkFileSystem；縮寫：NFS），對網絡起到一定的保護作用，不良企圖的分子就不會利用網絡數據信息系統攻擊內部網。防火墻還可以拒絕各種類型的數據塊，即網絡中交換與傳輸的數據單元，即為報文（message），可以進行一次性發送，由此提高了內網的安全性。

如果發現有不良信息，還可以及時通知管理員，由此可以降低自身的損失率。

1.2防火墻技術可以避免內網信息出現泄露問題

防火墻技術可以將重點網段起到保護作用，發揮隔離作用，使得內網之間的訪問受到限制。內網的訪問人員得到有效控制，對于經過審查后存在隱患的用戶就可以通過防火墻技術進行隔離，使得內網的數據信息更為安全[2]。

在內網中，即便是不被人注意的細節也會引起不良用戶的興趣而發起攻擊，使得內網的數據信息泄露，這是由于內網產生漏洞所導致的。

比如，Finger作為UNIX系統中的實用程序，是用于查詢用戶的具體情況的。如果Finger顯示了用戶的真實姓名、訪問的時間，不良用戶一旦獲得這些信息后，就會對UNIX系統的使用程度充分了解。在網絡運行狀態下，不良用戶就會對UNIX系統進行在線攻擊。

防火墻技術的應用，就可以避免這種網絡攻擊事件發生。域名系統（DomainNameSystem；縮寫DNS）會被隱藏起來，主機用戶真實姓名以及IP地址都不是真實的，不良用戶即便攻擊，防火墻技術發揮作用，使得沒有授權的信息不會進入到網絡環境中，保護了網絡環境，網絡安全性能有所提高[3]。

1.3防火墻技術可以對網絡訪問的現象起到一定的監督控制作用

計算機安裝防火墻后，所有對主機的訪問都要接受防火墻的審查，在防火墻技術的使用中，完整的訪問記錄會被制作出來。

如果有可疑的現象存在，防火墻就會啟動報警系統，不良用戶的IP地址提供出來，包括各種記錄的信息、網絡活動狀態都會接受審計，而且還可以做出安全分析，對于各種威脅也可以進行詳細分析。通過使用防火墻技術，就可以使得不良用戶被抵擋在“門”外，由此起到了預防隱患的作用[4]。

2防火墻技術在計算機網絡安全中的應用

2.1采用防火墻技術對網絡數據信息進行加密

采用防火墻技術對計算機數據信息實施保護，就是通過數據信息加密的方法對數據信息實施保護。

在數據信息進行傳輸或者對數據信息存儲的過程中，就可以采用加密的形式，以保證數據信息在傳輸的過程容易被識辨，而且真實的信息被加密之后，就會被錯誤的信息所覆蓋，不會被病毒所攻擊而導致信息缺失或者被篡改，由此降低了被網絡病毒攻擊的幾率。

對數據信息采用防火墻技術實施保護，所使用的密碼是通過密碼算法計算出來的，這些密碼可以是對稱的，也可以是不對稱的。

對稱密碼所加密的數據信息，加密的密碼與解密的密碼是相同的，密碼的安全度不是很高，所以密碼與數據信息的保密程度密切相關；不對稱密碼對數據信息加密所采用的密碼與解密的密碼不同，而解密密碼的安全度直接決定了數據信息的安全度[5]，所以不對稱密碼所發揮的保密作用會更好一些。

2.2防火墻技術對域網系統安全運行提供保護

應用防火墻技術保護計算機網絡，是為了防止不良訪問者攻擊網絡。防火墻安裝在網絡系統的外部，阻止來自外部網絡的病毒攻擊，由此維護了內部網絡環境的安全。

防火墻技術重在保證信息安全，是基于網絡通信技術建立起來的。對于兩個網絡之間有不同的信任程度，就可以使用防火墻這種防護設備，由此避免了外來病毒的攻擊[6]。

防火墻技術發揮作用，可以避免非法用戶訪問，確保網絡處于安全穩定的運行狀態，維護了網絡信息以及網絡數據庫信息。

當瀏覽網絡信息的過程中有“不良信息被攔截”的提示的時候，就意味著在網絡上已經安裝了防火墻，對網絡起到了安全保護的作用，對不良信息進行了成功攔截。

防火墻技術的應用，不僅可以發揮攔截信息的功能，還會阻攔垃圾信息并對垃圾信息自動刪除，避免產生信息擾而無法發揮其作用的現象。

防火墻安裝在局域網和互聯網之間，當信息在網絡之間傳輸的時候，防火墻就會檢驗信息，對局域網系統運行實施了安全保護。

比如，采用防火墻技術對校園網數據中心所接收的信息實時檢測。對于要通過防火墻的病毒，防火墻技術就可以發揮病毒檢測作用，對數據庫中心進行防護。當數據庫中心被攻擊，防火墻技術就可以在線檢測，有效地阻斷網絡型病毒的不良影響[7]。

3結論

綜上所述，計算機網絡是開放的空間，在虛擬的網絡空間中實現信息共享，這就為網絡型病毒的入侵提供了可利用的空間。

計算機網絡運行中，做好安全維護工作是非常必要的，以在充分發揮計算機網絡的作用的同時，還可以提高信息傳播質量。

計算機網絡運行中，由于安全維護不到位而存在問題，就會給病毒以可乘之機，使得病毒會通過網絡運行中所存在的系統漏洞而入侵到計算機系統中。為了避免由此導致的嚴重后果，就需要對網絡型病毒進行分析，對防火墻技術充分利用，做好計算機網絡的安全維護工作，以避免計算機網絡遭到威脅。

參考文獻 

[1]胡菊.計算機網絡安全方面問題的分析[J].中國電子商情（科技創新），2014（3）：15. 

[2]姜可.淺談防火墻技術在計算機網絡信息安全中的應用及研究[J].計算機光盤軟件與應用，2013（4）：178-179. 

[3]駱兵.計算機網絡信息安全中防火墻技術的有效運用分析[J].信息與電腦（理論版），2016（4）：54-55. 

[4]張武帥，王東飛.防火墻技術在計算機網絡安全中的應用探究[J].電腦知識與技術，2015（31）：35-36. 

[5]李國勝，張靜薇.計算機網絡安全管理相關安全技術探析[J].科技創新導報，2013（8）：215. 

[6]楊敏.虛擬專用網絡技術在計算機網絡信息安全中的應用探討[J].科技創新與應用，2014（23）：72. 

第11篇

關鍵詞：防火墻；網絡；新一代

一、新一代防火墻技術的特點

1、多級過濾技術。

為保證系統的安全性和防護水平，新一代防火墻采用三級過濾措施，并輔以鑒別手段。在分組過濾一級，能過濾掉所有的源路由分組和假冒IP地址;在應用級網關一級，能利用FTP、SMTP等各種網關，控制和監測internet提供的所有通用服務;在電路網關一級，實現內部主機與外部站點的透膽連接，并對服務的通行實行嚴格控制。

2、透明的訪問方式

以前的防火墻在訪問方式上要么要求用戶作系統登錄，要么需要通過SOCKS等庫路徑修改客戶機的應用。新一代防火墻利用了透明的系統技術從而降低了系統登錄固有的安全風險和出錯概率。

3、網絡地址轉換技術。

新一代防火墻利用NAT技術能透明地對所有內部地址做轉換，使得外部網絡無法了解內部網絡的內部結構，同時允許內部網絡使用自己編的IP源地址和專用網絡，防火墻能詳盡記錄每一個主機的通信，確保每個分組送往正確的地址。

4、用戶鑒別與加密

為了降低防火墻產品在Telnet FTP等服務和遠程管理上的安全風險鑒別功能必不可少第四代防火墻采用一次性使用的口令字系統來作為用戶的鑒別手段并實現了對郵件的加密

5、審計和告警。

新一代防火墻產品采用的審計和告警功能十分健全，日志文件包括:一般信息、內核信息、核心信息、接收郵件、郵件路徑、發送郵件、已收消息、己發消息、連接需求、已鑒別的訪問、告警條件、管理日志、進站、FTP、出站、郵件服務器、域名服務器等。告警功能會守住每一個TCP或UDP探尋，并能以發出郵件、聲響等多種方式報警。

二、新一代防火墻技術的應用和發展

1、智能防火墻技術

智能防火墻是利用統計、記憶、概率和決策的方法來對數據進行識別，并達到訪問控制的目的。由于這些方法多是人工智能學科采用的方法，因此被稱為智能防火墻。智能防火墻能智能識別惡意數據流量，并有效地阻斷惡意數據攻擊。智能防火墻可以有效地切斷惡意病毒或木馬的流量攻擊。智能防火墻能智能識別黑客的惡意掃描，并有效地阻斷或欺騙惡意掃描者。智能防火墻可以防止被掃描。防掃描技術還可以有效地解決代表或惡意代碼的惡意掃描攻擊。智能防火墻支持包擦洗技術，對IP、TCP、UDP、ICMP等協議的擦洗，實現協議的正?；?，消除潛在的協議風險和攻擊。這些方法對消除TCP/IP協議的缺陷和應用協議的漏洞所帶來的威脅，效果顯著。智能防火墻增加了對IP層的身份認證?；谏矸輥韺崿F訪問控制。總之，智能防火墻解決了拒絕服務攻擊的問題、病毒傳播問題和高級應用入侵問題，代表著防火墻的主流發展方向，與傳統防火墻相比有質的飛躍。主要應用領域主要包括:入侵防御、防范黑客攻擊、防范潛在風險、防范惡意數據攻擊、防范，，智能防火墻在保護網絡和站點免受黑客的攻擊、阻斷病毒的惡意傳播、有效監控和管理內部局域網、身份認證授權和審計管理等方面。

2、嵌入式防火墻技術

嵌入式防火墻也被稱為阻塞點防火墻，是內潛于路由器或交換機的防火墻。嵌入式防火墻工作于IP層，所以無法保護網絡免受病毒、蠕蟲和特洛伊木馬程序等來自應用層的威脅。就本質而言，嵌入式防火墻常常是無監控狀態的，它在傳遞信息包時并不考慮以前的連接狀態。嵌入式防火墻彌補并改善各類安全能力不足的企業邊緣防火墻、防病毒程序、基于主機的應用程序、入侵檢測告警程序以及網絡程序而設計，它確保了企業內部與外部的網絡具有以下功能:不論企業局域網的拓撲結構如何變更，防護措施都能延伸到網絡邊緣為網絡提供保護;基于硬件、能夠防范入侵的安全特性能獨立于主機操作系統與其他安全性程序運行，甚至在安全性較差的寬帶鏈路上都能實現安全移動與遠程接入，可管理的執行方式使企業安全性能夠被用戶策略而非物理設施來進行定義。能夠為那些需要在家訪問公司局域網的遠程辦公用戶提供了保護。

3、分布式防火墻技術

分布式防火墻產品是指那些駐留在網絡主機如服務器或桌面機并對主機系統自身提供安全保護的軟件產品。它包含:(l)網絡防火墻。用于內部網和外部網之間和內部網子網之間的保護產品，后者區別于前者的一個特征是需支持內部網可能有的IP和非IP協議。(2)主機防火墻。對于網絡中的服務器和桌面機進行防護，這些主機的物理位置可能在內部網中，也可能在內部網外，如托管服務器或便攜式計算機。分布式防火墻克服了傳統防火墻的缺陷，它的優勢在于:在網絡內部增加了另一層安全，有效抵御來自內部的攻擊，消除網絡邊界上的通信瓶頸和單一故障點，支持基于加密和認證的網絡應用;與拓撲無關，支持移動計算。主要應用在企業的網絡和服務器主機，在于堵住內部網的漏洞，解決來自企業內部網的攻擊。分布式防火墻實施在企業各個網絡端點上，克服了傳統防火墻的缺陷，有效地保護了主機，適應了新的網絡應用的需要。

三、結語

總之，隨著新的網絡攻擊方式的出現，對網絡寬帶提出了更高的要球。這意味著防火墻要能夠以非常高的速率處理數據。在以后幾年里，多媒體應用將會越來越普遍，它要求數據穿過防火墻所帶來的延遲要足夠小，同時滿足來自靈活性和運行性能的要求。為了滿足這種需要，新一代防火墻的研究將任重道遠。

參考文獻：

[1]周學廣、劉藝，信息安全學，北京:機械工業出版社.2003

第12篇

關鍵詞：防火墻；包過濾；服務器；狀態檢測

中圖分類號：TP393文獻標識碼：A文章編號：1009-3044(2007)04-10942-01

1 引言

近年來，計算機網絡在全球得到了迅速的發展，其應用涉及到社會的各個領域，人們的諸多活動也越來越依賴于網絡。然而，網絡并非是安全的，由于網絡本身存在的安全缺陷，再加上黑客攻擊、病毒傳播以及各種各樣的威脅日益增多，使得網絡的安全防線十分脆弱。為了確保網絡系統的安全，目前人們研究并使用了多種安全防護措施，防火墻技術就是其中非常重要的一種防御手段。

2 防火墻的概念

防火墻是建立在內部網絡和外部網絡邊界上的一種網絡安全檢測系統，它可以記錄進出網絡的數據傳輸，并且能根據已經制定好的安全策略，決定是否允許數據流通過。其目的是要防止未經授權的通信進出被保護的內部網絡，通過邊界控制來強化內部網絡的安全政策。在這里內部網絡被認為是安全和可信賴的，外部網絡通常指的是Internet，被認為是不安全的和不可信賴的。

一般來說，防火墻都具有以下這些功能：一是限制來自網絡外部的訪問，過濾掉不安全的服務和非法用戶，保護內部網絡資源不受外部的入侵；二是提供集中管理方式，即將所有的安全軟件配置在防火墻上來保護內部網絡；三是盡可能對外隱藏內部網絡的數據、結構和運行狀況；四是能完整地記錄網絡訪問情況，一旦網絡發生了入侵或者遭到破壞，就可以通過對日志進行審計和查詢以獲得相關信息。

防火墻作為內部和外部網絡之間的一道屏障，兩種網絡之間的接口，必須滿足以下幾點才可以起作用：所有進出被保護網絡的通信都應該通過防火墻；所有通過防火墻的通信必須經過安全策略的過濾或者防火墻的授權；理論上講，防火墻本身是不可進入的。

3 防火墻的關鍵技術

3.1 包過濾技術

包過濾(Packet Filter)技術又稱為靜態數據包過濾，是最早出現的防火墻技術，雖然防火墻技術發展到現在提出了很多新的理念，但是包過濾仍然是防火墻為系統提供安全保障的主要技術，它可以阻擋攻擊，禁止外部/內部訪問某些站點以及限制單個IP地址的流量和連接數。包過濾技術的原理是在網絡層中依據過濾規則和包頭信息選擇性地轉發或阻斷數據包。用戶可以根據自身的安全需求制定相關的規則，這些規則存儲在包過濾設備的端口中，當數據包到達端口時，防火墻會依據這些過濾規則，獨立地審查每個數據包的包頭，根據數據包的源地址、目的地址、所使用的TCP或UDP端口、包頭中的各種標志位及用來傳送數據包的協議等因素來確定是允許該數據包通過還是刪除該數據包。

包過濾技術的優點是簡單實用，處理速度快，而且它對于用戶來說是透明的，合法用戶在進出網絡時，根本感覺不到它的存在。同時，包過濾技術的缺陷也很明顯的：一是安全性低，一般的包過濾防火墻對數據包數據內容不做任何檢查，只檢查數據包頭信息，無法徹底防止地址欺騙；二是過濾規則很難配置，規則之間會存在沖突或漏洞，檢查起來相對困難；三是缺少日志功能，當系統被滲入或被攻擊時，很難得到大量的有用信息。

3.2 服務器技術

服務器(Proxy Server)在網絡應用層提供授權檢查，并且在內部用戶與外部主機進行信息交換時起到中間轉發作用。當內部客戶機要使用外部服務器的數據時會向其發出訪問請求，服務器接收到該請求后會檢查其是否符合規定，如果規則允許，服務器會修改數據包中的IP地址，然后發送給外部服務器，此時會認為是服務器發送訪問請求；同樣外部服務器返回的數據包會經過服務器的檢測，得到允許后轉發給發送請求的客戶機。服務器運行在兩個網絡之間，對于客戶機來說像是一臺真的服務器，對于外界的服務器來說它又是一臺客戶機。由于每個內外網絡之間的連接都要經過服務器的介入和轉換，因此沒有給內外網絡的計算機以任何直接會話的機會，從而確保內部網絡安全。

服務器的優點是有安全性好，能有效隔離內外網的直接通信，實施較強的數據流監控、過濾和日志功能。但是它也存在一些缺陷，首先它會使訪問速度變慢，因為進出網絡的每次通信都必須經過，而服務都要消耗一定的時間；其次，對于每一種應用服務都必須為其設計一個專門的軟件模塊來進行安

全控制，而且，并不是所有的互聯網應用軟件都可以使用服務。

3.3 狀態檢測技術

狀態檢測(Stateful Inspection)防火墻又叫做動態包過濾防火墻，是在傳統包過濾技術的基礎上進行改進的結果，傳統包過濾技術只能檢查單個的數據包并且安全規則是靜態的，而狀態檢測防火墻可以將前后數據包的上下文聯系起來，根據過去的通信信息和其他應用程序獲得的狀態信息動態生成過濾規則，并根據此規則過濾新的通信。而新的通信結束后新生成的過濾規則將自動從規則表中刪除。

狀態檢測防火墻的理論基礎是使用客戶機/服務器模式進行的連接具有連接狀態，最典型的是TCP連接，TCP連接必須經過3次握手，在這些不同的階段中其狀態是不一樣的，而狀態的轉換又有著其規律，因此防火墻通過TCP包頭的標志位就可以確定連接處于何種狀態，一旦發現所發送包和狀態不符，就可認為是狀態異常的包進行拒絕，而不必對IP地址或TCP端口進行檢查。

狀態檢測防火墻中有一個規則集和一個狀態表(State Table)。狀態表中保留著當前活動的合法連接，它的內容是動態變化的。當防火墻接收到初始化TCP連接的數據包時，會根據事先設定的靜態規則集對此數據包進行檢查，如果在檢查所有的規則之后，該數據包都沒有被允許通過，那么拒絕此次連接。如果該數據包被接受，則在狀態表中記錄下該連接的相關信息。對于隨后的數據包，就將其與狀態表里紀錄的連接內容進行比較，如果狀態表中存在此會話而且數據包狀態正確，則接受此數據包，否則丟棄。

這種方式的好處在于：不是每個數據包都要和安全規則比較，只有在新的請求連接的數據包到來時才進行安全檢查，從而提高了系統的性能；而且狀態表是動態的，保存了數據包的狀態信息，安全性高。

4 防火墻的局限性

雖然防火墻能夠提高網絡的安全性，但它并不是全能的，它也具有一定的局限性：

4.1 防火墻不能防范不通過它的連接。

防火墻一般位于內部網絡的邊界上，監控所有通過它的通信，如果信息能夠通過無線接入技術或撥號訪問等方式繞過防火墻進出網絡，那么防火墻就沒有任何用處。

4.2 防火墻不能防范全部的威脅。

防火墻是在已知的攻擊模式下制定相應的安全策略的，因此能夠防范已知的威脅，對于全新的攻擊方式則難以有效。

4.3 防火墻不能防止感染了病毒的軟件或文件的傳輸。

雖然很多防火墻都會對通過的所有數據包進行安全檢測，已決定是否允許其通過，但一般只會檢查數據包的包頭部分，對數據包的具體內容不太關心。即使是最先進的數據包過濾，在病毒防范上也是不適用的，因為病毒的種類太多，操作系統也有多種，而且有很多方法可以將病毒在數據中隱藏起來，因此不能期望防火墻能替代殺毒軟件。要解決病毒問題還必須在每臺主機上安裝專門的殺病毒軟件。

4.4 防火墻不能防范內部用戶的惡意行為。

由于內部用戶進行的偷竊數據或其它破壞行為都處于網絡內部，其各種信息均不通過防火墻，因此防火墻無法阻止。

5 防火墻的發展方向

隨著網絡技術的發展，黑客攻擊、惡意軟件及病毒等各種安全威脅的進一步升級，促使防火墻也在不斷發展。

5.1 目前的防火墻采取數據匹配檢查的方法，安全性越高，需要的計算量就越大，效率也就隨之降低。未來的防火墻要求是高安全性和高效率的統一。使用專門的芯片負責訪問控制功能，設計新的防火墻的技術構架是未來防火墻的方向。

5.2 分布式防火墻。當前的防火墻一般都是邊界防火墻，只能監控通過防火墻的數據，并且認為內部網絡是絕對安全的。然而事實并非如此，網絡上的很多災難常常是由內部用戶的無意或惡意行為造成的，于是提出了分布式防火墻的概念。分布式防火墻是一種全新的防火墻體系結構，包括網絡防火墻、主機防火墻和中心管理三個部分，對網絡邊界、各子網和網絡內部各節點之間的進行安全防護。這種方式加強了對內部網絡的監控，構建了一個全方位的保護體系。

5.3 聯動防火墻?；诜阑饓Ρ旧淼木窒扌砸约捌渌踩夹g的成熟應用，出現了聯動防火墻的概念。將防火墻同其他安全設備進行整合，充分發揮各自的優勢，協同配合，架構起立體的安全防范體系。例如將防火墻與防病毒產品聯動，可以在網關處對病毒進行查殺，將病毒阻擋在網絡之外。此外防火墻與入侵監測系統的聯動也是非常重要的，因為兩種技術有很強的互補性。

5.4 智能防火墻。智能防火墻是利用統計、記憶、概率和決策的智能方法來對數據進行識別，并達到訪問控制的目的。新的數學方法，消除了匹配檢查所需要的海量計算，高效發現網絡行為的特征值，直接進行訪問控制。智能防火墻能解決普遍存在的拒絕服務攻擊（DDOS）的問題，病毒傳播的問題和高級應用入侵的行為，比傳統的防火墻更安全，效率更高。

6 結束語

防火墻是網絡安全的屏障，能有效地提高網絡的安全性，但不要將網絡安全單純的依賴于防火墻，它僅是全面的安全策略中的一個重要組成部分，應該和防病毒、入侵檢測、數據加密、身份認證等安全防護技術結合起來，共同建立一個有效的安全防范體系。

參考文獻：

[1]黎連業,張維,向東明.防火墻及其應用技術[M].北京:清華大學出版社,2004.7.

[2]胡道元,閔京華.網絡安全[M].北京:清華大學出版社,2004.1.

[3]陳天洲,陳純,谷小妮.計算機安全策略[M].浙江大學出版社,2004.8.