防火墻技術的介紹

　　網絡的快速發(fā)展給人們帶來了極大的方便，不出家門便可坐知天下事、完成相應工作。同時因特網也面臨著空前的威脅，各類網絡違法案件逐年劇增，尤其以電子郵件、特洛伊木馬、文件共享等為傳播途徑的混合型病毒愈演愈烈。目前新一代的計算機病毒將具有更多智能化的特征。因此，如何使用有效可行的方法使網絡危險降到人們可接受的范圍之內越來越受到人們的關注。防火墻技術作為內、外網之間的屏障，可以有效的防御網絡攻擊。因此探索防火墻技術及如何選用合適的防火墻是非常必要的。下面就由學習啦小編給大家說說防火墻的技術知識。

　　防火墻技術的介紹一：

　　1 網絡安全面臨的威脅

　　計算機網絡系統(tǒng)的安全威脅主要來自三個方面

　　1)計算機病毒。當前，計算機病毒高達數萬種，病毒通過各種途徑進入網絡，破壞網絡資源，造成網絡不能正常工作甚至癱瘓。

　　2)黑客侵襲。黑客以非法的手段進入網絡并使用網絡資源。 通過隱蔽通道進行非法活動，通過匿名用戶破壞網絡，通過網絡監(jiān)聽截取用戶名和密碼，非法獲取網上傳輸的數據，突破防火墻等。

　　3)拒絕服務攻擊。強行占用系統(tǒng)資源，使系統(tǒng)無法完成正常的需求響應。例如“點在郵件炸彈”，它的表現形式是用戶在很短的時間內收到大量無用的電子郵件，從而影響正常業(yè)務的運行。嚴重時會使系統(tǒng)關機，網絡癱瘓。

　　針對各種網絡威脅，我們應該采用相應的安全技術，例如數據加密技術、認證技術、防火墻技術、入侵檢測技術、防病毒技術、文件系統(tǒng)安全等技術。

　　2 防火墻技術

　　2.1 防火墻的概念

　　防火墻是設置在不同網絡(如可信任的企業(yè)內部網和不可信的公共網)或網絡安全域之間的一系列部件的組合。它可通過監(jiān)測、限制、更改跨越防火墻的數據流，盡可能地對外部屏蔽網絡內部的信息、結構和運行狀況， 以此來實現網絡的安全保護。在邏輯上，防火墻是一個分離器，一個限制器，也是一個分析器，有效地監(jiān)控了內部網和Internet之間的任何活動， 保證了內部網絡的安全。

　　2.2 防火墻的分類

　　防火墻總的來說可以分為兩類：軟件防火墻和硬件防火墻。

　　軟件防火墻需要以一臺計算機為載體，通過在操作系統(tǒng)底層工作來實現網絡管理和防御的功能，有時也稱為“個人”防火墻，功能有限。

　　硬件防火墻集成了軟硬件功能，并且軟、硬件都單獨設計，采用專用的網絡芯片處理數據包。有自己特定的系統(tǒng)平臺，避免了通用操作系統(tǒng)的安全性漏洞。功能強大，目前已經普遍使用。我們下面多說的防火墻都只硬防火墻。

　　2.3 硬防火墻技術

　　我們在使用防火墻是首先要考慮是使用硬、還是軟防火墻。硬件防火墻由于獨立的芯片，在性能和自身安全性方面都較軟件防火墻先進許多，在資金允許的情況下，盡量選擇硬防火墻。對于硬防火墻根據采用的過濾技術可分為：

　　2.3.1 包過濾防火墻。包過濾防火墻是最簡單的一種防火墻，又分為動態(tài)包過濾和靜態(tài)包過濾型防火墻。一般作用在網絡層，故也稱網絡層防火墻或IP過濾器。它工作在IP 層和TCP層，根據防火墻的規(guī)則表，來檢測攻擊行為。處理包的速度比應用型防火墻快，且提供透明的服務，用戶不用改變客戶端程序。但因只涉及到TCP層，因此提供的安全級別較低;而且不支持用戶認證;不提供日志功能。目前在廣大中小型企業(yè)中應用最廣，主要是價格便宜，性能也不錯。安全性不足的缺點在這類企業(yè)中表現的不明顯。

　　2.3.2 應用代理型防火墻。應用代理型防火墻是目前最為主流的防火墻技術，也是應用最廣的防火墻類型。特別是在一些中型或中型以上的網絡中。有非常全面的安全防護技術和措施，可以為企業(yè)提供全方位的安全防護和管理，但價格比包過濾型要貴許多。明顯缺點是速度比包過濾型慢。

　　2.3.3 狀態(tài)包過濾型防火墻。這類防火墻屬于混合型防火墻，具有包過濾和應用代理兩種技術的優(yōu)勢。傳輸速率和安全性得到進一步提高。尚處于發(fā)展之中，只是一些較大型企業(yè)或應用復雜的網絡中采用，如WEB服務器、數據庫應用、電子商務應用等。

　　2.4 防火墻使用參考

　　2.4.1 小型辦公和家用網絡。小型辦公和家用網絡(small office home office.SOHO)要管理的用戶和機器比較少，且只需要訪問極少量的網絡服務，如電子郵件、web以及有時需要的流媒體。在這種情況下，簡單的數據包過濾防火墻就可以了?，F在大部分的SOHO路由器都具有防火墻、、地址映射、端口映射、DHCP服務、自動撥號、支持虛擬服務器以及動態(tài)DNS功能。

　　華為Quidway R1600，清華同方D-link、Netgear，3Com等公司的寬帶路由。Cisco和check point也提供小型辦公版本的PIX和FireWall-1，但價格要高一些。

　　2.4.2 中小企業(yè)網絡。中小型企業(yè)網絡以及遠程辦公環(huán)境需要提供WEB服務、電子郵件、流媒體以及文件傳輸和終端訪問。防火墻多考慮高容量、高速度、低延時、高可靠性以及防火墻本身的健壯性，并且開始支持雙機熱備份。

　　東軟NetEye、WatchGuard Firebox、和SonicWall等產品比較適合這種場合。

　　2.4.3 大型網絡。大型企業(yè)、校園網和服務提供商面對的是復雜的大型環(huán)境，擁有眾多用戶并提供眾多復雜服務，有些服務看似簡單，但需要防護墻開發(fā)多個端口，如：VoIP和NetMeeting，這兩種服務都需要為25種以上的不同服務開放端口。固在復雜的網絡中，應該使用支持集中式防火墻管理和配置功能的防火墻。如：Cisco PIX、Check Point FireWall-1和NetScreen等。

　　3 總結

　　防火墻在網絡安全中的重要性是眾所周知的，選擇合適的防火墻是在組建網絡時應首先考慮的問題。但我們要明白盡管利用防火墻可以保護內部網免受外部黑客的攻擊，但其只能提高網絡的安全性，不可能保證網絡的絕對安全。

　　防火墻技術的介紹二：

　　一、防火墻定義

　　防火墻是近年來新興的保護計算機網絡安全的技術性措施，是組建安全網絡的重要組成部分。它是局域網和國際互連網(Intemet)之間的一道安全屏障，能夠阻止對信息資源的非法訪問。它是用一個或者一組網絡設備將兩個網絡連接在一起，用于檢測和控制兩個網絡之間的通信流，根據對流經的信息包的合法性判斷，實現對重要信息資源的訪問控制，達到保護信息系統(tǒng)安全的目標。防火墻是一種被動防御技術，它假設了網絡的邊界和服務，對來自于

　　內部的非法訪問難以實現有效的控制。防火墻在網絡中的邏輯位置如圖1所示。

　　二、防火墻的基本功能

　　設立防火墻的目的就是要保護一個網絡不被另一個網絡攻擊，對網絡的保護通常包括幾個工作：拒絕未經授權的用戶訪問、阻止未經授權的用戶存取敏感數據、允許合法的用戶無障礙訪問想要的資源。防火墻的主要功能體現在以下幾個方面：

　　1、防火墻作為網絡安全的屏障

　　防火墻可以很好的增強內部網絡的安全性能，能夠過濾不安全的服務，從而降低了系統(tǒng)風險。只有經過防火墻許可的流量才能通過防火墻，防火墻同時具有保護網絡免受某些基于路由攻擊的能力，如源路由攻擊和基于ICMP重定向中的重定向攻擊。

　　2、對網絡存取和訪問進行監(jiān)控審計

　　防火墻能夠記錄下所有流經防火墻的訪問，同時可以得出日志記錄，還能夠對網絡的使用情況進行統(tǒng)計，對可疑的操作，防護墻能及時的報警并提供相應的信息，如是否受到監(jiān)測和攻擊。

　　3、防止內部信息的對外泄漏

　　內部網絡的劃分可依據防火墻進行，以實現隔離內部重點網段，以便減少局部重點或敏感網絡安全對全局的影響。內部網絡中的一個忽略的小細節(jié)可能被外部攻擊者發(fā)現并加以利用，也會給內部網絡的帶來極大的安全風險，增加全局網絡的安全負擔。使用防火墻就可以隱蔽那些容易透露內部細節(jié)的服務，如Finger和DNS等服務。

　　4、可以作為部署NAT的地點

　　網絡地址轉換(NAT)是一種將私有地址轉化為合法IP地址的技術，它被廣泛應用于各種類型的Interne接入。NAT技術能夠很好的解決IP地址的不足的問題，還能夠隱藏內部主機的IP地址，避免受到來自網絡外部的攻擊。

　　三、防火墻分類

　　防火墻的實現方式多種多樣，從實現技術力一式劃分防火墻主要分為數據包過濾、應用代理、狀態(tài)檢測等幾種。

　　1、包過濾技術

　　包過濾作用在網絡層和傳輸層，對流經防火墻的數據包依據系統(tǒng)設置的過濾規(guī)則進行檢查和選擇。TCP/IP協(xié)議通信的數據包可分為數據和包頭兩部分，根據包頭源地址、目的地址、端口號、協(xié)議類型等標志確定是否允許數據包通過，只有滿足過濾規(guī)則的數據包才能被轉發(fā)到相應的目的地出口端，其余數據包則被丟棄，數據包過濾時按順序進行檢查，直到有規(guī)則匹配為止。實際實現了內部主機允許直接訪問外網，而外網主機訪問內網則要受到限制。

　　包過濾技術具有速度快、效率高的優(yōu)點，并且對用戶透明，對網絡的性能影響不大，適合于應用環(huán)境簡單的網絡環(huán)境。但由于其工作在網絡層和傳輸層，它過濾的信息是有限的，很多安全要求不能得到滿足，隨著規(guī)則數目的增加，會降低網絡的性能。

　　2、應用代理型防火墻

　　應用代理型防火墻作用在應用層，它完全隔離了網絡的通信流，對每種應用服務編制專門的代理程序，實現監(jiān)視和控制應用層通信流的功能?？蛻魴C和服務器之間的數據交流被代理服務器完全阻擋，當終端需要數據時，先將請求發(fā)給代理，由代理向服務器發(fā)送請求，同樣由代理向終端返回數據，這種情況下，內外主機之間沒有直接的數據通道，阻斷了外部網絡對內網的侵入。

　　該種類型的防火墻具有較好的安全性能，工作在051的最高層，起著監(jiān)視和隔絕應用層通信流的作用。這種類型往往會增加系統(tǒng)管理的復雜性，降低系統(tǒng)的整體性能。

　　3、狀態(tài)檢測技術

　　狀態(tài)檢測防火墻采用了狀態(tài)檢測包過濾技術，在網絡層有一個檢查引擎截獲數據包并抽取與應用層狀態(tài)有關的信息，并以此為依據決定該連接是接受還是拒絕，該種技術提供了高度安全的解決方案，具有較好的適應性和擴展性。該種防火墻摒棄了包過濾防火墻僅檢查輸入網絡的數據包，而不關心數據包連接狀態(tài)的缺點，在防火墻的核心建立狀態(tài)連接表，在對數據包進行檢查時，除了依據規(guī)則表，也會將數據包能否符合會話所處的狀態(tài)考慮進來，因此提供了完整的對傳輸層的控制能力。狀態(tài)檢測防火墻工作在數據鏈路層和網絡層之問，確保了截取和檢查所有通過網絡的原始數據包。它工作在較低層，但是它能夠檢測所有應用層的數據包，從中提取有用信息，如IP地址、端口號、數據內容等，使得安全性得到很大提高;狀態(tài)檢測防火墻和應用代理防火墻不同，它不需要為每個應用都建立一個服務程序，只是根據從數據包中提取出的信息、對應的安全策略及過濾規(guī)規(guī)處理數據包，具有很好的伸縮性和擴展性。

　　防火墻是現今廣泛采用的計算機安全技術之一。對于防火墻的應用，能夠更加有效的保證網絡的安全使用。