原发布者:中国学术期刊网

技术摘要：防火墙就像是一

户，将局域网和intemet分开

问嘚信息交流它是不同的网络或者网络安全区域之问的唯一的信息出入口，并按照设定的安全策略控制流经的信息其本身也具有很强的忼攻击能力。如何有效地使用防火

术能够有利保证内网的安全使用。关键字：计算机网络防火墙安全技术一、防火墙定义防火墙是近年來新兴的保护计算机网络安全的技术性措施是组建安全网络的重要组成部分。它是局域网和国际互连网（intemet）之间的一道安全屏障能够阻止对信息资源的非法访问。它是用一个或者一组网络设备将两个网络连接在一起用于检测和控制两个网络之间的通信流，根据对流经嘚信息包的合法性判断实现对重要信息资源的访问控制，达到保护信息系统安全的目标防火墙是一种被动防御技术，它假设了网络的邊界和服务对来自于内部的非法访问难以实现有效的控制。防火墙在网络中的逻辑位置如图1所示二、防火墙的基本功能设立防火墙的目的就是要保护一个网络不被另一个网络攻击，对网络的保护通常包括几个工作：拒绝未经授权的用户访问、阻止未经授权的用户存取敏感数据、允许合法的用户无障碍访问想要的资源防火墙的主要功能体现在以下几个方面：4、可以作为部署nat的地点防火墙是现今广泛采用嘚计算机安全技术之一。对于防火墙的应用能够更加有效的保证网络的安全使用。

云端科技是一家专业从高端品牌网站建设、APP开发、软件定制开發服务的高新技术企业为客户提供专业的电子商务技术解决方案、电子政务建设解决方案、移动互联应用开发。

防火墙以及芯片级防火牆

软件防火墙运行于特定的计算机上，它需要客户预先安装好的计算机操作系统的支持一般来说这台计算机就是整个网络的网关。俗稱“个人防火墙”软件防火墙就像其它的软件产品一样需要先在计算机上安装并做好配置才可以使用。防火墙厂商中做网络版软件防火牆最出名的莫过于Checkpoint使用这类防火墙，需要网管对所工作的操作系统平台比较熟悉

这里说的硬件防火墙是指“所谓的硬件防火墙”。之所以加上"所谓"二字是针对芯片级防火墙说的了它们最大的差别在于是否基于专用的硬件平台。目前市场上大多数防火墙都是这种所谓的硬件防火墙他们都基于PC架构，就是说它们和普通的家庭用的PC没有太大区别。在这些PC架构计算机上运行一些经过裁剪和简化的操作系统最常用的有老版本的Unix、Linux和FreeBSD系统。 值得注意的是由于此类防火墙采用的依然是别人的内核，因此依然会受到OS（操作系统）本身的安全性影响

传统硬件防火墙一般至少应具备三个端口，分别接内网外网和DMZ区（非军事化区），现在一些新的硬件防火墙往往扩展了端口常見四端口防火墙一般将第四个端口做为配置口、管理端口。很多防火墙还可以进一步扩展端口数目

芯片级防火墙基于专门的硬件平台，沒有操作系统专有的ASIC芯片促使它们比其他种类的防火墙速度更快，处理能力更强性能更高。做这类防火墙最出名的厂商有NetScreen、FortiNet、Cisco等这類防火墙由于是专用OS（操作系统）,因此防火墙本身的漏洞比较少，不过价格相对比较高昂

防火墙技术虽然出现了许多，但总体来讲可分為“包过滤型”和“应用代理型”两大类前者以以色列的Checkpoint防火墙和美国Cisco公司的PIX防火墙为代表，后者以美国NAI公司的Gauntlet防火墙为代表

网关、電路级网关和规则检查防火墙。它们之间各有所长具体使用哪一种或是否混合使用，要看具体需要

一般是基于源地址和目的地址、应鼡、协议以及每个IP包的端口来作出通过与否的判断。一个路由器便是一个“传统”的网络级防火墙大多数的路由器都能通过检查这些信息来决定是否将所收到的包转发，但它不能判断出一个IP包来自何方去向何处。防火墙检查每一条规则直至发现包中的信息与某规则相符如果没有一条规则能符合，防火墙就会使用默认规则一般情况下，默认规则就是要求防火墙丢弃该包其次，通过定义基于TCP或UDP数据包嘚端口号防火墙能够判断是否允许建立特定的连接，如Telnet、FTP连接

应用级网关能够检查进出的数据包，通过网关复制传递数据防止在受信任服务器和客户机与不受信任的主机间直接建立联系。应用级网关能够理解应用层上的协议能够做复杂一些的访问控制，并做精细的紸册和稽核它针对特别的网络应用服务协议即数据过滤协议，并且能够对数据包分析并形成相关的报告应用网关对某些易于登录和控淛所有输出输入的通信的环境给予严格的控制，以防有价值的程序和数据被窃取 在实际工作中，应用网关一般由专用工作站系统来完成但每一种协议需要相应的代理软件，使用时工作量大效率不如网络级防火墙。 应用级网关有较好的访问控制是最安全的防火墙技术，但实现困难而且有的应用级网关缺乏“透明度”。在实际使用中用户在受信任的网络上通过防火墙访问Internet时，经常会发现存在延迟并苴必须进行多次登录（Login）才能访问Internet或Intranet

电路级网关用来监控受信任的客户或服务器与不受信任的主机间的TCP握手信息,这样来决定该会话（Session）昰否合法,电路级网关是在OSI模型中会话层上来过滤数据包,这样比包过滤防火墙要高二层。电路级网关还提供一个重要的安全功能：代理服务器（Proxy Server）代理服务器是设置在Internet防火墙网关的专用应用级代码。这种代理服务准许网管员允许或拒绝特定的应用程序或一个应用的特定功能包过滤技术和应用网关是通过特定的逻辑判断来决定是否允许特定的数据包通过，一旦判断条件满足防火墙内部网络的结构和运行状態便“暴露”在外来用户面前，这就引入了代理服务的概念即防火墙内外计算机系统应用层的“链接”由两个终止于代理服务的“链接”来实现，这就成功地实现了防火墙内外计算机系统的隔离同时，代理服务还可用于实施较强的数据流监控、过滤、记录和报告等功能代理服务技术主要通过专用计算机硬件（如工作站）来承担。

该防火墙结合了包过滤防火墙、电路级网关和应用级网关的特点它同包過滤防火墙一样，规则检查防火墙能够在OSI网络层上通过IP地址和端口号过滤进出的数据包。它也象电路级网关一样能够检查SYN和ACK标记和序列数字是否逻辑有序。当然它也象应用级网关一样可以在OSI应用层上检查数据包的内容，查看这些内容是否能符合企业网络的安全规则規则检查防火墙虽然集成前三者的特点，但是不同于一个应用级网关的是它并不打破客户机/服务器模式来分析应用层的数据，它允许受信任的客户机和不受信任的主机建立直接连接规则检查防火墙不依靠与应用层有关的代理，而是依靠某种算法来识别进出的应用层数据这些算法通过已知合法数据包的模式来比较进出数据包，这样从理论上就能比应用级代理在过滤数据包上更有效

用的主要技术包括以丅几种。 1.

的包拒绝发送那些可疑的包。由于包过滤技术无法有效地区分相同IP地址的不同用户安全性相对较差。 2.代理服务技术 其原理是茬网关计算机上运行应用代理程序运行时由两部分连接构成：一部分是应用网关同内部网用户计算机建立的连接，另一部分是代替原来嘚客户程序与服务器建立的连接通过代理服务，内部网用户可以通过应用网关安全地使用Internet服务而对于非法用户的请求将予拒绝。代理垺务技术与包过滤技术不同之处在于内部网和外部网之间不存在直接连接，同时提供审计和日志服务 3.网络地址转换技术 其原理如同电話交换总机，当不同的内部网络用户向外连接时使用相同的IP地址(总机号码)；内部网络用户互相通信时则使用内部IP地址(分机号码)。内部网絡对外部网络来说是不可见的防火墙能详尽记录每一个内部网计算机的通信，确保每个数据包的正确传送 4.虚拟专用网VPN技术 虚拟专用网(VPN)昰局域网在广域网上的扩展，是专用计算机网络在Internet上的延伸VPN通过专用隧道技术在公共网络上仿真一条点到点的专线，实现安全的信息传輸虽然VPN不是真正的专用网络，但却能够实现专用网络的功能 5.审计技术通过对网络上发生的各种访问过程进行记录和产生日志，并对日誌进行统计处理从而对网络资源的使用情况进行分析，对异常现象进行追踪监视 6.信息加密技术 加密路由器对路由的信息进行加密处理，然后通过Internet传输到目的端进行解密

下载百度知道APP，抢鲜体验

使用百度知道APP立即抢鲜体验。你的手机镜头里或许有别人想知道的答案