计算机防火墙技术

计算机防火墙技术（精选12篇）

计算机防火墙技术 第1篇

1 防火墙的主要功能

1.1 能够保护网络免受攻击

防火墙的有效利用能够保护网络免受相关现象的攻击。在网络攻击中, 路由是主要的攻击形式。如:ICMP重定向路径以及IP选项路径的源路攻击, 利用防火墙技术能减少该攻击现象, 并能够将信息及时通知给管理员。因此, 防火墙能够对信息进行把关、扫描, 不仅能防止身份信息的不明现象, 还能防止攻击信息的有效利用。

1.2 能够说对网络进行访问与存取

防火墙的主要功能能够对网络信息进行有效访问以及信息存取。防火墙在利用过程中, 能够对信息的进入进行详细的记录, 还能够将网络的使用情况进行统计。如果出现一些可疑信息以及不法通信行为, 防火墙就会对其现象进行判断, 并对其进行报警。根据对这些信息的有效分析, 能够加强对防火墙性能的认识与理解。

1.3 能够防止内部消息泄露现象

防火墙的主要功能能够防止内部信息发生泄漏现象。将内部网络信息进行有效划分, 能够对所在的信息进行保护, 并在一定程度上促进网络信息的安全效果, 以防止信息发生外漏现象。因为内网中含有大量的私密信息, 这种信息在利用过程中, 能够引起相关者的兴趣以及积极性。因此, 应发挥防火墙的正确利用以及科学实施, 不仅将遇到的问题有效防范, 还能对机主信息进行有效保护, 以促进实施的安全效果。

1.4 能够集中进行安全优化管理

防火墙的主要功能能够实现集中化的安全优化管理。传统的网络执行的措施主要是主机, 防火墙在其中的有效利用能够保障普通计算机的安全性, 并降低成本。因此, 在TCP/IP协议中, 利用防火墙进行保护与利用, 不仅能实现各个端口的共享性发展, 还能解决安全问题。如果在这种形式下, 没有利用防火墙进行有效保护, 就会出现较大的信息泄露现象。

2 防火墙技术在计算机安全中的有效运用

2.1 安全服务配置

安全服务隔离区是根据系统管理机群、服务器机群独立表现出来的, 并产生了一种独立的、安全的服务隔离区。该部分不仅是内网的重要组成, 还是一种比较相对独立的局域网。这种划分形式主要能够提高服务器上的数据保护以及安全运行。相关专家根据网络地址转换技术, 能够对内网的主机地址进行映射, 保证IP地址使用的有效性。这种发展形式不仅能够对内网的IP地址以及结构进行隐藏, 保证内网结构的安全性, 还能减少公网IP地址的占有, 降低投资成本。如果利用边界路由器, 还能加大这些设备的有效利用, 特别是防火墙配置的有效利用。虽然原有的路由器具有防火墙功能, 但现有的防火墙实现了与内部网络的有效连接。如:安全服务隔离区中的公用服务器并不是利用防火墙来实现的, 它能直接与边界路由器进行连接。防火墙与边界路由器的有效结合, 形成了双重保险形式, 形成了安全保护形式, 如果在防火墙以及边界路由器之间设置安全服务隔离区, 能够加强公用服务器设施的有效利用。

2.2 配置访问策略

配置访问策略是防火墙中最重要的安全形式, 访问策略在设置期间, 并不是随意产生的, 而是一种复杂而又精确的表现形式。在这种形式发展下, 应加强计算机技术对内、对外的实际应用, 还要加强对相关知识的认识和理解, 并保证其中的有序发展, 从而将访问策略进行科学设置。在这种情况下, 主要是由于防火墙的查找形式就是按照一定顺序进行的, 要在使用之前对其使用的规则进行设置, 能够提高防火墙的运行效率。

2.3 日志监控

日志监控是计算机安全保障的主要手段, 管理人员在传统的日志管理中, 并没有对信息进行选择, 其中日志所体现的内容也不够整齐, 日志内容不仅复杂, 而且数量也比较多, 在这种情况下, 降低了日志的利用效率。但在实际发展中, 日志监控具有较大优势, 其中存在一定的应用价值, 是当今时代发展的关键信息。一般情况下, 日志监控中的系统告警信息具有较大的记录价值, 将这些信息进行优化选择, 然后进行保存、备份, 以保证计算机信息的安全性、防止信息的丢失现象。

3 总结

防火墙技术是网络安全保障的一种技术形式, 由于网络中存在的有些不安全因素, 在根本上并不能完全保障计算机网络安全。因此, 在对防火墙技术进行实际利用过程中, 要保证科学性、整体性以及全面性分析, 从而保证计算机网络运行的安全效果。

摘要：随着网络技术的应用, 网络安全问题成为当今发展的主要问题。保障计算机运行的安全性, 不仅要增加新技术, 防止一些有害因素侵入计算机, 还要随着计算机技术的不断变革与优化, 防止计算机内部消息出现泄露现象。本文根据防火墙的主要功能进行分析, 研究防火墙技术在计算机安全中的运行方式。

关键词：计算机,安全,防火墙技术

参考文献

[1]侯亮.对计算机网络应用中防火墙技术的研究[J].网友世界.云教育, 2014 (15) :7-7.

[2]冯思毅.试论计算机防火墙技术及其应用[J].河北工程大学学报 (社会科学版) , 2015 (1) :113-114.

[3]马利, 梁红杰.计算机网络安全中的防火墙技术应用研究[J].电脑知识与技术, 2014 (16) :3743-3745.

计算机防火墙技术与网络安全 第2篇

了解双宿主机防火墙的安全性是如何被破坏的是很有用的，因为这样一来你就可以采取相应的措施来防止发生这种破坏，

对安全最大的危胁是一个攻击者掌握了直接登录到双宿主机的权限。登录到一个双宿主机上总是应该通过双宿主机上的一个应用层代理进行。对从外部不可信任网络进行登录应该进行严格的身份验证

如果外部用户获得了在双宿主机上进行登录的权利，那么内部网络就容易遭到攻击。这种攻击可以通过以下任何一种方式来进行：

1)通过文件系统上宽松的许可权限制

2)通过内部网络上由NFS安装的卷

3)利用已经被破坏了的用户帐号，通过在这类用户的主目录下的主机等价文件，如。rhosts，来访问由Berkeleyr*工具授权的服务

4)利用可能恢复的过分访问权的网络备份程序

5)通过使用没有适当安全防范的用于管理的SHELL脚本

6)通过从没有适当安全防范的过时软件的修订版和发行文档来掌握系统的漏洞

7)通过安装允许IP传递的老版本操作系统内核，或者安装存在安全问题的老版本操作系统内核。

如果一台双宿主机失效了，则内部网络将被置于外部攻击之下，除非这个问题很快被查出并解决。

在前面，我们已经了解到UNIX内核变量ifrorwarding控制着是否允许进行IP路由选择。如果一个攻击者获得了足够的系统权限，则这个攻击者就可以改变这个内核变量的值，从而允许IP转发。在允许IP转发后，防火墙机制就会被旁路掉了。

双宿主机防火墙上的服务

除了禁止IP转发，你还应该从双宿主机防火墙中移走所有的影响到安全的程序、工具和服务，以免落入攻击者的手中。下面是UNIX双宿主机防火墙的一部分有用的检查点：

1)移走程序开发工具：编译器、链接器等。

2)移走你不需要或不了解的具有SUID和SGID权限的程序。如果系统不工作，你可以移回一些必要的基本程序。

3)使用磁盘分区，从而使在一个磁盘分区上发动的填满所有磁盘空间的攻击被限制在那个磁盘分区当中。

4)删去不需要的系统和专门帐号。

5)删去不需要的网络服务，使用netstat-a来检验。编辑/etc/inetd。conf和/etc/services文件，删除不需要的网络服务定义。

2.4代理服务和应用层网关

代理服务(ProxyService)

代理服务使用的的方法与分组过滤器不同，代理(Proxy)使用一个客户程序(或许经过修改)，与特定的中间结点连接，然后中间结点与期望的服务器进行实际连接。与分组过滤器所不同的是，使用这类防火墙时外部网络与内部网络之间不存在直接连接。因此，即使防火墙发生了问题，外部网络也无法与被保护的网络连接。中间结点通常为双宿主机。

代理服务可提供详细的日志记录(log)及审计(audit)功能，这大大提高了网络的安全性，也为改进现有软件的安全性能提供了可能性。代理服务器可运行在双宿主机上，它是基于特定应用程序的。为了通过代理支持一个新的协议，必须修改代理以适应新协议。

在一个称为SOCKS的免费程序库中包括了与许多标准系统调用基本兼容的代理版本，如SOCKS、BIND()、CONNECT()等，

在URL统一资源定位地址ftp：//ftp。inoc。dl。nec。com/pub/security/sock。cstc

代理服务通常由两个部分构成：代理服务器程序和客户程序。相当多的代理服务器要求使用固定的客户程序。例如SOCKS要求适应SICKS的客户程序。如果网络管理员不能改变所有的代理服务器和客户程序，系统就不能正常工作。代理使网络管理员有了更大的能力改善网络的安全特性。然而，它也给软件开发者、网络系统员和最终用户带来了很大的不便，这就是使用代理的代价。也有一些标准的客户程序可以利用代理服务器通过防火墙运行，如mail、FTP和telnet等。即便如此，最终用户也许还需要学习特定的步骤通过防火墙进行通信。

透明性对基于代理服务企的防火墙显然是一个大问题。即使是那些声称是透明性防火墙的代理也期望应用程序使用特定的TCP或UDP端口。假如一个节点在非标准端口上运行一个标准应用程序，代理将不支持这个应用程序。许多防火墙允许系统管理员运行两个代理拷贝，一个在标准端口运行，另一个在非标准端口运行，常用服务的最大数目取决于不同的防火墙产品。

基于代理服务的防火墙厂商正在开始解决这个问题。基于代理的产品开始改进成能够设置常用服务和非标准端口。然而，只要应用程序需要升级，基于代理的用户会发现他们必须发展新的代理。一个明显的例子是许多的Web浏览器中加入了大量的安全措施。防火墙的购买者应留心询问防火墙厂商他们的产品到底能处理哪些应用程序。另外，基于代理服务器的防火墙常常会使网络性能明显下降。相当多的防火墙不能处理高负载的网络通信。

应用层网关

应用层网关可以处理存储转发通信业务，也可以处理交互式通信业务。通过适当的程序设计，应用层网关可以理解在用户应用层(OSI模型第七层)的通信业务。这样便可以在用户层或应用层提供访问控制，并且可以用来对各种应用程序的使用情况维持一个智能性的日志文件。能够记录和控制所有进出通信业务，是采用应用层网关的主要优点。在需要时，在网关本身中还可以增加额外的安全措施。

对于所中转的每种应用，应用层网关需要使用专用的程序代码。由于有这种专用的程序代码，应用层网关可以提供高可靠性的安全机制。每当一个新的需保护的应用加入网络中时，必须为其编制专门的程序代码。正是如此，许多应用层网关只能提供有限的应用和服务功能。

为了使用应用层网关，用户或者在应用层网关上登录请求，或者在本地机器上使用一个为该服务特别编制的程序代码。每个针对特定应用的网关模块都有自己的一套管理工具和命令语言。

采用应用层网关的一个缺陷是必须为每一项应用编制专用程序。但从安全角度上看，这也是一个优点，因为除非明确地提供了应用层网关，就不可能通过防火墙。这也是在实践“未被明确允许的就将被禁止”的原则。

计算机网络安全与防火墙技术研究 第3篇

关键词：计算机；网络安全；防火墙技术；研究

引言：随着计算机的性能不断强大，其应用范围也越来越广泛，可以说，现如今我们每个人的日常生活都离不开计算机和电子设备，计算机及网络技术为我们的生活带来了便捷，我们的工作方式、学习方式都越来越依赖于电子设备以及计算机网络。信息技术的飞速发展，伴随着较多的网络安全问题，且其弊端日益显露，为了更好的发扬计算机网络技术为我们的生活带来的便利之处而防止其对我们带来不良影响，就应当进一步对计算机网络及防火墙技术进行研究，否则会对计算机及网络化的发展造成阻碍。

一、计算机网络安全

网络安全的本质即网络中的信息安全，保证网络安全即保证网络系统中所储存或是使用的数据不受到外界的恶意破坏或是遭到泄漏、恶意更改等等，系统能够连续的正常工作且其网络服务不会无故中断等。

（一）网络安全的影响因素。影响网络安全的因素是多种多样多方面的，主要可以分为信息泄露、信息被恶意更改、非法信息传输、软件漏洞等等。在实际的计算机系统中，网络安全受到影响，一般来说信息被泄漏主要是由于网络中的信息遭到窃听或是监视等，这种窃听并不会破坏网络信息传输的中断，但严重侵犯了网络中用户的权益。信息或数据遭到恶意更改，有可能导致信息的失效，并使信息错误，会对用户造成误导，较大程度的破坏了网络安全。在计算机网络中，还有可能存在软件漏洞所带来的信息安全，软件漏洞能带来很多方面的危害，包括操作系统、应用软件以及数据库和用户名密码等，若软件所存在的这些漏洞不幸遭到病毒木马的攻击，会造成无法挽回的损失。最后，还有可能出现人为的安全因素，不仅是由于技术层面的原因，同时也会由于人为的因素造成不良后果，计算机系统功能再强大也是由人为控制的，所以管理人员应当对网络安全承担起主要责任，操作得当、保密工作做好、保护好设备等等就成了要求。

（二）保护网络安全的有效措施。网络系统所遭到的攻击不只是单一时段单一类别的，因此网络系统安全保护措施应当在发展中不断的得到改进和完善，不能仅使用较为简单的安全策略来对网络系统进行安全保护，应当采取多种保护措施同时使用、配套使用的策略。

网络安全保护措施主要可以分为两个层面来实施，分别是数据加密和控制网络存取。数据加密作为一种较为有效的数据安全保护措施，能够有效的防止网络中的数据被恶意篡改、破坏或是遭到泄漏。一般来说，要实现数据加密，通常可以采取链路加密、节点加密以及端端加密和混合加密公用的方式进行。要实现网络存取的有效控制，首先应当严格的网络中的用户进行身份识别，这样才能从源头有效的控制非法用户的入侵，保护数据不致被泄漏或是破坏。目前所采用的存取有效控制方法也是多种多样的，通常较常采用的几个能够有效对网络中的数据存取进行控制的技术分别是：身份识别、数字签名以及控制用户的存取权限等等。

二、防火墙技术研究

防火墙是能够将内部网络和公众网络之间进行区分的一种隔离技术。近年来，防火墙作为对网络安全进行保护的最主要手段之一，取得了较大的进展，各种防火墙技术不断发展，得到了较为广泛的应用，给人们的日常生活和业务办公带来了极大的便利条件，深受广大人民群众的喜爱。

要研究防火墙技术的实用性，则应当对其各方面的性能进行研究和考核，首先，防火墙的配备应当保证其成本与所需要保护的信息以及应用的总价值来计算其总成本。防火墙本身应当具有安全保证，不能让入侵者具有机会侵入计算机网络系统，首先是防火墙自身的设计应当合理科学，另外针对防火墙也应当使用得当。由于一般来说防火墙的各项配置依然是由人工进行控制的，因此系统管理者应当尽量的熟悉防火墙的性能，并在操作过程中，严格按照规定来进行操作，保证其配置得当。因此，应当对管理人员进行定期优质的监督及培训。总之，应当将防火墙的技术结合其他网络安全的技术相互结合，才能够达到最优的网络安全防护状态。

结语：综上所述，计算机网络安全及防火墙技术的研究应当得到更多的重视和关注，只有有效的保障计算机网络安全，保障信息传送的安全，保证数据存取的安全，才能不断的推动计算机网络安全应用到我们生活的方方面面。而保证网络安全的一个有效措施即使用防火墙技术，因此，只有对防火墙技术进一步的研究，使信息传送和数据存取在网络中的用户使用的过程中都能得到安全保障，才能提高计算机网络的应用度，保证信息网络的高速发展及我国信息化发展。

参考文献：

[1] 赵佳. 略谈计算机网络安全与防火墙技术[J]. 科技信息（科学教研），2008，23：55+33.

计算机安全与防火墙技术 第4篇

关键词：计算机安全,网络安全,信息技术,防火墙技术

当今的社会已经发展成为一个集智能化、信息化、数字化为一体的时代。随着科学技术的不断的发展, 计算机技术被广泛的应用在生活在中, 而计数机网络安全技术也成为了一项非常潮流的技术, 成为了世界上最被人民所关注的问题。在目前, 计算机网络技术已经普遍的应用于我们的日常生活中, 由于计算机网络技术的普遍性和广泛性, 我们将我们的地球亲切的称为“地球村”。

1 防火墙的功能

众所周知, 防火墙是计算机技术里面相当重要的一种技术。防火墙处于计算机的外网与内网的中间, 如果没有设置防火墙技术, 在计算机的内网中就会有结点暴露在外网的周围, 那样的话计算机信息就没有了任何东西来保障它, 这就使得那些不法分子来对它进行攻击和破坏。于是, 必须设置一道防火墙位于计算机的内网与外网之间, 使得外部的信息与内部的信息分离开来, 从而对计算机信息进行更加严密的监控与监视, 防止一些外面不法分子的攻击, 侵入到计算机内部对里面的信息进行篡改。以下将对防火墙技术的功能进行阐述:

1.1 保护网络避免受到攻击

在当前, 对计算机网络得攻击主要源自于路由的攻击, 比如:源路由攻击重定向路径攻击等, 而我们所设置的防火墙技术能够更加有效的防止它们对计算机网络的攻击, 并且及时的做出一定的措施做出报警响应, 提示网络安全技术人员来进行管理与维修.除此之外, 防火墙技术可以对一切经过它的的所有信息进行检测, 将外部一些具有攻击意向或者身份不明的人进行网上阻止与拦截。

1.2 监控网络访问

所有经过内网与外网的信息都要通过防火墙, 与此同时防火墙不仅仅会对经过的信息进行记录, 还会对计算机网络中的情况进行统计, 并且提供一些网络中相应的数据。防火墙一旦检测出一些可疑的信息和通信信息, 防火墙系统就会依照当前的一些具体情况做出一系列的情况反应进行报警。通过对里面检测到的一些信息进行分析和研究, 有助于对防火墙的性能进行全面的清晰的认识, 除此之外, 还能够对计算机的网络安全威胁和一些网络需求进行有力的改进。

1.3 防止计算机内部信息泄密

为了有效的控制和防止计算机网络内部一些重要的信息和重要的节点泄露, 将计算机网络内部进行规划与完善, 以便于对计算机网络信息更好的进行保护。计算机网络内部的很多问题都会暴露在网络节点的外面, 如果这样设置的话就可以让那些攻击者产生特别深的兴趣。如果计算机中能够合理规范的应用防火墙技术, 就将会对这些安全措施进行很好的屏蔽。

2 防火墙技术的类别

2.1 网络检测技术

将计算机网络中的各个层次的数据进行检查, 并且对不同的计算机网络层次设置相应的安全等级, 以至于制定一些相应的安全计划都是由计算机网络状态检测技术完成的。此技术还可以对网络中的每个数据存储包进行分析, 这样的话就可以有效的避免一些计算机网络信息的泄露和遗失等问题。路由器作为一种连接内网和外网的桥梁, 是我们在设置防火墙技术的重要措施, 而防火墙技术就安装在路由器的上面。所以, 包过滤防火墙技术是一种在市场上比较普遍的并且价格较低的防火墙技术, 它可以将一些经过计算机的数据的地址端口目的地址进行详细的检测, 来对此次经过计算机的数据进行安全等级的评价, 一旦发现了一些不合理的信息, 防火墙将会对该信息进行屏蔽和删除。

2.2 网址地址转化技术

在地址信息经过防火墙与路由器的时候, 可以利用网址地址转化技术, 将经过计算机的信息中的目的地址和源地址进行修改, 当在使用私人的内部网络的时候, 可以在许许多多的计算机中使用同一个地址去访问计算机网络。但是计算机中有一定的规定, 不会让路由器那样的做, 因为这样做的话会使计算机内部之间的通信变得更加的麻烦和缓慢, 从而大大的降低了计算机的工作效率。但这样做的话, 也有一定的好处, 这样就很好的解决了地址不足的问题。有助于人们更好的在计算机中的使用, 不需要去重复的切换计算机地址。当计算机内部通过网络连接设备去访问互联网时, 将会在计算机系统的内部, 形成一个印记, 这样将会有助于隐藏计算机端口地址, 以保障网络信息通信的安全。这样的一些平常操作对计算机用户而言不需要自己去设置, 直接在计算机里面进行平常的操作。

3 计算机安全中防火墙技术的应用

计算机安全服务配置, 在计算机中拥有安全服务, 它可以将计算机系统与计算机服务器进行重新分离划分, 与此同时设置一些安全服务机制。安全服务配置不仅仅属于一个独立区域的局域网还属于计算机内部网络的监控与管理。将它们独立的划分开, 是为了让计算机中的数据进行更好的监测与保护, 以使计算机系统能够更好的正常运行下去。在防火墙技术中, 最为核心的配置访问安全策略, 在进行计算机设计之前需要对详细的信息进行合理的计算, 来确定计算机应用中的位置层次等。

4 结语

在当今的社会里面, 计算机网络技术伴随着科技水平的不断提高与发展, 信息安全技术也对人们的生活产生了一定的影响。为了防止计算机网络产生安全问题, 必须对防火墙技术进行不断的改进与创新, 新添加一些网络安全方面的技术, 从而更有效的屏蔽掉各种入侵。因此, 学习了解防火墙技术, 是当今在计算机网络方面的重要内容。

参考文献

[1]马利, 梁红杰.计算机网络安全中的防火墙技术应用研究[J].电脑知识与技术, 2014 (16) :3743-3745.

[2]肖玉梅, 苏红艳.试析当前计算机网络安全中的防火墙技术[J].数字技术与应用, 2013 (05) :218-218.

计算机防火墙技术 第5篇

一、防火墙是什么

防火墙是一种非常有效的网络安全模型。主要用来保护安全网络免受来自不安全网络的入侵，比如安全网络可能是企业的内部网络，不安全网络是因特网。但防火墙不只是用于因特网，也用于Intranet中的部门网络之间。在逻辑上，防火墙是过滤器 限制器和分析器；在物理上，防火墙的实现有多种方式。通常，防火墙是一组硬件设备－路由器，主计算机，或者是路由器，计算机和配有的软件的网络的组合。不同的防火墙配置的方法也不同，这取决于安全策略，预算以及全面规划等。

二、防火墙的分类

从防火墙的防范方式和侧重点的不同来看，防火墙可以分为很多类型，但是根据防火墙对内外来往数据处理方法，大致可将防火墙分为两大体系：包过滤防火墙和代理防火墙。静态包过滤防火墙：

静态包过滤防火墙采用的是一个都不放过的原则。它会检查所有通过信息包里的IP地址号，端口号及其它的包头信息，并根据系统管理员给定的过滤规则和准备过滤的信息包一一匹配，其中：如果信息包中存在一点与过滤规则不符合，那么这个信息包里所有的信息都会被防火墙屏蔽掉，这个信息包就不会通过防火墙。相反的，如果每条规都和过滤规则相匹配，那么信息包就允许通过。静态包的过滤原理就是：将信息分成若干个小数据片（数据包），确认符合防火墙的包过滤规则后，把这些个小数据片按顺序发送，接收到这些小数据片后再把它们组织成一个完整的信息这个就是包过滤的原理。这种静态包过滤防火墙，对用户是透明的，它不需要用户的用户名和密码就可以登录，它的速度快，也易于维护。但由于用户的使用记录没有记载，如果有不怀好意的人进行攻击的话，我们即不能从访问记录中得到它的攻击记录，也无法得知它的来源。而一个单纯的包过滤的防火墙的防御能力是非常弱的，对于恶意的攻击者来说是攻破它是非常容易的。动态包过滤防火墙：

静态包过滤防火墙的缺点，动态包过滤防火墙都可以避免。它采用的规则是发展为“包状态检测技术”的动态设置包过滤规则。它可以根据需要动态的在过滤原则中增加或更新条目，在这点上静态防火墙是比不上它的，它主要对建立的每一个连接都进行跟踪。在这里我们了解的是代理防火墙。代理服务器型防火墙与包过滤防火墙不同之点在于，它的内外网之间不存在直接的连接，一般由两部分组成：服务器端程序和客户端程序，其中客户端程序通过中间节点与提供服务的服务器连接。代理服务器型防火墙提供了日志和审记服务。

代理（应用层网关）防火墙：

这种防火墙被网络安全专家认为是最安全的防火墙，主要是因为从内部发出的数据包经过这样的防火墙处理后，就像是源于防火墙外部网卡一样，可以达到隐藏内部网结构的作用。由于内外网的计算机对话机会根本没有，从而避免了入侵者使用数据驱动类型的攻击方式入侵内部网。

自适应代理防火墙：

自适应代理技术是商业应用防火墙中实现的一种革命性技术。它结合了代理类型防火墙和包过滤防火墙的优点，即保证了安全性又保持了高速度，同时它的性能也在代理防火墙的十倍以上，在一般的情况下，用户更倾向于这种防火墙。

三、防火墙功能

防火墙是一个保护装置，它是一个或一组网络设备装置。通常是指运行特别编写或更改过操作系统的计算机，它的目的就是保护内部网的访问安全。防火墙可以安装在两个组织结构的内部网与外部的Internet之间，同时在多个组织结构的内部网和Internet之间也会起到同样的保护作用。它主要的保护就是加强外部Internet对内部网的访问控制，它主要任务是允许特别的连接通过，也可以阻止其它不允许的连接。防火墙只是网络安全策略的一部分，它通过少数几个良好的监控位置来进行内部网与Internet的连接。防火墙的核心功能主要是包过滤。其中入侵检测，控管规则过滤，实时监控及电子邮件过滤这些功能都是基于封包过滤技术的。防火墙的主体功能归纳为以下几点：

(1)根据应用程序访问规则可对应用程序联网动作进行过滤。(2)对应用程序访问规则具有自学习功能。(3)可实时监控，监视网络活动。

(4)具有日志，以记录网络访问动作的详细信息。(5)被拦阻时能通过声音或闪烁图标给用户报警提示。

四、防火墙的不足

防火墙对网络的威胁进行极好的防范，但是，它们不是安全解决方按的全部。某些威胁是防火墙力所不及的。

防火墙不能防止内部的攻击，因为它只提供了对网络边缘的防卫。内部人员可能滥用被给予的访问权，从而导致事故。防火墙也不能防止像社会工程攻击——种很常用的入侵手段，就是靠欺骗获得一些可以破坏安全的信息，如网络的口令。另外，一些用来传送数据的电话线很有可能被用来入侵内部网络。

另一个防止的是怀有恶意的代码：病毒和特洛伊木马。虽然现在有些防火墙可以检查病毒和特洛伊木马，但这些防火墙只能阻挡已知的恶意程序，这就可能让新的病毒和木马溜进来。而且，这些恶意程序不仅仅来自网络，也可能来自软盘。

五、常见攻击方式以及应对策略（1）常见攻击方式 病毒

尽管某些防火墙产品提供了在数据包通过时进行病毒扫描的功能，但仍然很难将所有的病毒（或特洛伊木马程序）阻止在网络外面，很容易欺骗用户下载一个程序从而让恶意代码进入内部网。策略：设定安全等级，严格阻止系统在未经安全检测的情况下执行下载程序；或者通过常用的基于主机的安全方法来保护网络。口令字

对口令字的攻击方式有两种：穷举和嗅探。穷举针对来自外部网络的攻击，来猜测防火墙管理的口令字。探针对内部网络的攻击，通过监测网络获取主机给防火墙的口令字。

策略：设计主机与防火墙通过单独接口通信（即专用服务器端口）、采用一次性口令或禁止直接登录防火墙。邮件

来自于邮件的攻击方式越来越突出，在这种攻击中，垃圾邮件制造者将一条消息复制成成千上万份，并按一个巨大的电子邮件地址清单发送这条信息，当不经意打开邮件时，恶意代码即可进入。策略：打开防火墙上的过滤功能，在主机上采取相应阻止措施。IP地址

黑客利用一个类似于内部网络的IP地址，以“逃过”服务器检测，从而进入内部网络达到攻击的目的。

策略：通过打开内核功能，丢弃所有来自网络外部却有内部地址的数据包；同时将特定IP地址与MAC绑定，只有拥有相应MAC地址的用户才能使用被绑定的IP地址进行网络访问。（2）应对策略 方案选择

市场上的防火墙大致有软件防火墙和硬件防火墙两大类。软件防火墙需运行在一台标准的主机设备上，依托网络在操作系统上实现防火墙的各种功能，因此也称“个人”防火墙，其功能有限，基本上能满足单个用户。硬件防火墙是一个把硬件和软件都单独设计，并集成在一起，运行于自己专用的系统平台。由于硬件防火墙集合了软件方面，从功能上更为强大，目前已普遍使用。结构透明

防火墙的透明性是指防火墙对于用户是透明的。以网桥的方式将防火墙接入网络，网络和用户无需做任何设置和改动，也根本意识不到防火墙的存在。然后根据自己企业的网络规模，以及安全策略来选择合适的防火墙的构造结构（可参照本文第3点分析），如果经济实力雄厚的可采用屏蔽子网的拓扑结构。实施措施

好的防火墙产品应向使用者提供完整的安全检查功能，应有完善及时的售后服务。但一个安全的网络仍必须靠使用者的观察与改进，企业要达到真正的安全仍需内部的网络管理者不断记录、追踪、改进，定期对防火墙和相应操作系统用补丁程序进行升级。

七、防火墙的发展历程（1）基于路由器的防火墙

由于多数路由器本身就包含有分组过滤功能，网络访问控制可能通过路由器控制来实现，从而使具有分组过滤功能的路由器成为第一代防火墙产品。

第一代防火墙产品的特点：

1)利用路由器本身对分组的解析，以访问控制表(Access List)方式实现对分组的过滤；

2)过滤判断的依据可以是：地址、端口号及其他网络特征； 3)只有分组过滤的功能，且防火墙与路由器是一体的。这样，对安全要求低的网络可以采用路由器附带防火墙功能的方法，而对安全性要求高的网络则需要单独利用一台路由器作为防火墙。（2）第一代防火墙产品的不足之处 具体表现为：

1)路由协议十分灵活，本身具有安全漏洞，外部网络要探寻内部网络十分容易。

2)路由器上分组过滤规则的设置和配置存在安全隐患。对路由器中过滤规则的设置和配置十分复杂，它涉及到规则的逻辑一致性。作用端口的有效性和规则的正确性，一般的网络系统管理员难于胜任，加之一旦出现新的协议，管理员就得加上更多的规则去限制，这往往会带来很多错误。

3)路由器防火墙的最大隐患是：攻击者可以“假冒”地址。由于信息在网络上是以明文方式传送的，黑客(Hacker)可以在网络上伪造假的路由信息欺骗防火墙。

路由器防火墙的本质缺陷是：由于路由器的主要功能是为网络访问提供动态的、灵活的路由，而防火墙则要对访问行为实施静态的、固定的控制，这是一对难以调和的矛盾，防火墙的规则设置会大大降低路由器的性能。

可以说基于路由器的防火墙技术只是网络安全的一种应急措施，用这种权宜之计去对付黑客的攻击是十分危险的。（4）用户化的防火墙工具套

为了弥补路由器防火墙的不足，很多大型用户纷纷要求以专门开发的防火墙系统来保护自己的网络，从而推动了用户防火墙工具套的出现。 作为第二代防火墙产品，用户化的防火墙工具具有以下特征： 1)将过滤功能从路由器中独立出来，并加上审计和告警功能； 2)针对用户需求，提供模块化的软件包；

3)软件可以通过网络发送，用户可以自己动手构造防火墙； 4)与第一代防火墙相比，安全性提高了，价格也降低了。第二代防火墙产品的缺点

1)无论在实现上还是在维护上都对系统管理员提出了相当复杂的要求，2)配置和维护过程复杂、费时； 3)对用户的技术要求高；

4)全软件实现，使用中出现差错的情况很多。（5）建立在通用操作系统上的防火墙

基于软件的防火墙在销售、使用和维护上的问题迫使防火墙开发商很快推出了建立在通用操 作系统上的商用防火墙产品。系统上的防火墙的特点： 1)是批量上市的专用防火墙产品；

2)包括分组过滤或者借用路由器的分组过滤功能； 3)装有专用的代理系统，监控所有协议的数据和指令； 4)保护用户编程空间和用户可配置内核参数的设置； 5)安全性和速度大大提高。

第三代防火墙有以纯软件实现的，也有以硬件方式实现的，它们已经得到了广大用户的认同。但随着安全需求的变化和使用时间的推延，仍表现出不少问题。（6）操作系统上的防火墙的缺点

1)作为基础的操作系统及其内核往往不为防火墙管理者所知，由于源码的保密，其安全性 无从保证；

2)由于大多数防火墙厂商并非通用操作系统的厂商，通用操作系统厂商不会对操作系统的 安全性负责；

3)从本质上看，第三代防火墙既要防止来自外部网络的攻击，还要防止来自操作系统厂商 的攻击；

4)透明性好，易于使用。

计算机防火墙技术 第6篇

关键词：计算机；网络安全；防火墙技术

中图分类号：TP393.08

由于计算机的应用，推进网络信息的进步，社会加强对计算机网络的应用力度，增加网络安全维护的压力。根据计算机网络的应用环境，充分发挥防火墙技术的优势，保障计算机网络资源的安全价值。防火墙技术的更新速度比较快，完全适应于现代计算机网络的发展，表现出可靠优势，为计算机网络运行提供安全保护的渠道。防火墙技术在计算机网络安全中得到广泛应用。

1 分析防火墙技术

防火墙技术的原理：按照预设条件监控计算机网络内的流通信息，对流通信息执行授权和限制服务，主动记录关联信息，分析信息的具体来源，明确发生在网络系统内的每一项交互信息，预防外部攻击。

防火墙技术的属性：（1）筛选安全防护策略，确保安全策略能够通过防火墙的防护体系；（2）完整记录信息活动，检测攻击行为，及时提供报警和限制服务；（3）容纳全部信息，维护整体计算机网络。

2 计算机网络系统的安全攻击

计算机网络系统位于信息环境中，网络遭遇的安全攻击属于防火墙技术重点防护的内容。因此，分析计算机网络系统的安全攻击，如下：

2.1 IP攻击

攻击者选择攻击目标群，设置IP攻击路径。首先攻击者向目标主机发送安全信息，获取主机信任，锁定攻击目标，通过信息模式发送虚假IP，当IP欺骗计算机网络安全的保护措施后，虚假IP转化为多项攻击行为，读取用户信息，篡改服务项目，同时安置在用户难以发现的位置，准备随时进行非法攻击。

2.2 拒绝服务

拒绝服务的攻击利用系统漏洞，攻击者向计算机发送攻击数据包，导致主机瘫痪，不能提供任何网络服务[1]。拒绝服务的攻击具备毁灭性特点，攻击者不定时、不定向的发送攻击数据包，计算机无法承担高负荷的数据存储，快速进入停滞或休眠状态，即使用户发送服务请求，计算机因失去服务能力，不能处理用户请求，完全陷入拒绝服务的状态，此时服务器处于正常接收状态，用户只能觉察到服务器不工作，实质已经呈现被攻击状态，丧失服务能力。

2.3 端口攻击

计算机包含多项端口，如：远程、协议、共享等端口，为计算机系统运行提供端口服务。用户并未意识到端口的攻击影响，针对比较常用的端口实行防火墙处理，其余均未实行防护措施。计算机在投入运行时，大部分端口处于开放状态，为攻击者提供硬性攻击路径，攻击木马在端口处的攻击处于零防御状态，所以用户需要关闭不常用端口，切断攻击路径，同时利用防火墙技术检测，防止遗漏端口保护。

2.4 程序攻击

计算机网络运行程序起初设计时，为满足功能需求，采用辅助程序，被称为“后门”，辅助程序具有通道特性，在程序设计完成后需要关闭，但是编程人员并没有关闭辅助程序，攻击者攻击某项运行程序时，首先检测是否留有后门，一旦检测到很容易攻入程序内部，强力毁坏计算机文件、数据。辅助程序是计算机网络运行的安全隐患，必须采用恰当的防火墙技术，才可避免程序攻击。

3 防火墙技术在计算机网络安全中的应用

防火墙技术主要隔离计算机网络的内网与外网，形成稳定的保护途径，有效识别外部攻击，具体分析如下：

3.1 代理服务器的应用

代理服务器是防火墙技术的一类，服务器为网络系统提供代理服务，代替真实网络完成信息交互[2]。例如：计算机网络信息由内网传输到外网时，自身携带IP信息，如果IP被外网攻击者解析并跟踪，很容易将病毒或木马带入内网，病毒攻击内网后窃取数据，利用代理服务器，为交互信息提供虚拟的IP，以此隐藏真实IP，外部攻击者只能解析虚拟IP，不会获取任何真实信息，保护内网信息。代理服务器起到中转作用，控制两网信息的交互过程。代理服务器在账号管理、信息验证等方面具有明显的应用优势，在安全性能方面要求较高，满足计算机网络的安全需求。代理服务器的构建比较严谨，必须在应用网关的条件下，才能实现信息保护，所以此类防火墙技术虽然防护能力高，但是运用复杂，用户使用时，最主要的是通过网关提供稳定的网络性能，营造优质的网络保护环境。

3.2 包过滤技术的应用

包过滤技术具有信息选择的特点，此类技术获取传输信息后比对原有的安全注册表，判斷传输信息是否安全。以网络传输的目的IP为例，分析包过滤技术的应用[3]。包过滤技术主动获取传输信息的目的IP，解析目的IP的数据包，数据包内包含目的IP的源信息，能够作为标志信息，包过滤技术将数据包与用户安全注册表进行对比，识别数据内是否含有攻击信息，确保安全后执行数据传输任务。包过滤技术将计算机内、外网分为两类路径，控制由内到外的信息传输，在由外到内的传输过程内，不仅发挥控制作用，还会提供限制功能，包过滤技术既可以应用在计算机主机上，又可以应用在路由器上，所以包过滤技术又分为开放、封闭两种应用方式，主要根据计算机网络安全的实际情况选择，提供对应服务。包过滤技术受到端口限制并不能实现全网保护，所以兼容能力偏低。

3.3 复合技术的应用

复合技术体现综合防护的优势，防火墙融合代理和包过滤两类技术，体现更稳定的防护方式，弥补防火墙技术的不足之处。基于代理与包过滤的参与下，防火墙技术逐步形成系统性的保护类型，保障防火墙技术的灵活性[4]。目前，防火墙技术表现出混合特性，复合体现代理与包过滤的双向优势，最主要的是以此两类技术为主，融入多项安全技术，结合分析计算机网络安全的运行实际，确保防火墙技术在计算机网络受到攻击危险时，可以快速提供防御服务，体现防火墙技术的策略性。复合技术为计算机网络安全提供多级防御，防止外网攻击，主动监测内网信息。复合防护方式有：（1）提供认证机制，确保网络交互的所有信息处于安全约束的状态，形成动态过滤的防护方式；（2）主动隐藏内部信息，形成智能化的感应方式，一旦出现网络攻击，立即采取报警提示；（3）加强交互保护的能力，发挥复合技术的优点，有利于提升防护价值，确保实时维护。

4 结束语

计算机网络应用规模逐步扩大，促使网络运行面临严重的安全问题，科学利用防火墙技术，解决计算机网络中的安全问题，有效保护网络安全。防火墙技术在计算机网络安全发展的过程中，体现出变革与更新特性，实时保护计算机网络系统，避免计算机遭遇外网攻击，确保内网环境的安全。由此可见：防火墙技术在计算机网络安全中占据重要地位。

参考文献：

[1]防火墙技术在网络安全中的应用[J].科技资讯，2012（09）：23.

[2]网络安全与防火墙技术的研究[J].网友世界，2011（25）：13-15.

[3]浅析防火墙技术在网络安全中的应用[J].云教育，2013（14）：112.

[4]防火墙技术与现代网络安全防范体系的关系[J].现代计算机，2012（05）：108.

浅谈计算机防火墙安全技术 第7篇

防火墙一般是指一个由计算机软件和硬件组合成的一种保护屏障, 它是介于内网外网、专用与公用网之间的一种屏障, 是一种安全保证屏障。防火墙技术是一种通过强化网络访问控制, 从而来防止外网用户通过非法手段进入内网, 非法访问内部网络资源, 保护网络基本操作环境的一种基本互联设备。它是通过对网络之间相互传输的数据根据一定的方式进行安全检查而实现的安全防护, 同时在检查数据的同时还对网络运行状态进行监视。

1.2防火墙安全技术的作用

首先, 防火墙能够通过对不安全信息的过滤而极大的提高网络运行的安全性, 只有经过细心选择的协议才能够通过防火墙的安全检查, 所以, 在很大程度上保证了网络环境的安全。

其次, 防火墙安全技术能够有效的保护内部信息。防火墙能够对内网进行划分, 从而实现对内网重点网段进行隔离, 也就能够限制部分敏感或者重点网络安全问题对这部分信息的冲击。同时, 内部网络的隐私信息一直都是计算机网络所关心的重点, 而我们在防止外网入侵的同时, 还要注意观察内网中的一些细节, 它可能会隐含了一些内网安全线索从而导致外部攻击, 那么, 使用防火墙安全技术就能够很好的隐藏那些能够渗透出内部细节的部分。

再次, 防火墙安全技术能够实现实时监控网络访问。防火墙有一个重要的功能, 就是当访问经过防火墙时, 它能够自动记录下来访者的信息并形成日志, 为管理者提供相关数据。一旦有可以操作发生, 防火墙就能够及时的做出警报, 同时还能提供网络受到攻击的具体信息, 这样防火墙就实现了对网络访问者的监控。

二、计算机防火墙基本类型

作为内外网络之间屏障的防火墙, 受到了网络设计者、管理者、使用者以及建网者的密切关注。其最原始的功能就是对来访者进行过滤, 是一种较低层次的网络安全技术, 但是, 随着计算机网络技术的整体发展, 当前, 防火墙技术已经超出了网络层面的安全防护, 其除了进行基本的过滤工作之外, 还能够为网络的应用提供一定的安全服务, 防火墙技术正在不断向前发展。

2.1防火墙技术之包过滤型

防火墙的最基本类型就是包过滤型, 它是网络防火墙最初级的类型, 其技术依据是“网络分包传输技术”。“包”是网络上数据进行传输的一种基本传输单位, 网络数据在传输过程中一般都被分成大小不同的数据包, 而每一个数据包所包含的数据信息又是不同的。那么防火墙就是通过对这些数据包进行过滤, 来判断他们是否带来安全隐患, 一旦发现数据中具有不安全因素或者来源于不安全站点, 包过滤型防火墙就会自动地把这些数据隔离在门外, 之后管理员再根据具体情况进行灵活处理。

这种类型的防火墙技术在具有一定安全防范优点的同时, 还存在着自己的缺点。优点主要是其技术属于简单实用型的, 而且应用成本较低, 在应用环境简单的情况下, 可以实现以较小的投入获得系统的安全。这种类型的防火墙通过对数据包进行简单的过滤控制, 对数据包的目标地址、源地址、协议等都惊醒检查, 同时它还是网络进行相互访问的唯一通道, 因此, 它可以直接对数据包进行检查丢弃。缺点主要就是其不支持应用层面协议的过滤, 对黑客入侵的防范力度较小, 对不不断出现的新安全隐患没有抵御能力。

2.2防火墙技术之代理型

代理型防火墙也就是代理服务器, 其安全性往往比包过滤型防火墙要高, 同时, 它正在向包过滤型没有涉及到的应用层面发展。位于客户机和服务器之间的代理型网络防火墙, 能够对内外网之间的通信, 尤其是直接通信实现彻底隔绝, 阻挡内部网和外部网之间的信息交流, 这时对客户机来说, 代理型防火墙就代理了服务器的角色, 它就是一台服务器;而对服务器来说, 代理型防火墙又代理了客户机的角色。因此, 当客户机进行数据使用请求时, 其首先是将信息发送给代理服务器, 代理服务器根据情况获得信息之后在传输给客户机。

其优点就是安全性有所提高, 能够针对应用层的病毒入侵实施防护。缺点是其使得网络管理变得复杂了, 对管理员的知识和工作经验要求较高, 一定程度上增加了使用投入。

2.3防火墙技术之监测型

试析计算机防火墙技术及其应用 第8篇

1 计算机防火墙技术

在当前的计算机中普遍用到了防火墙技术, 防火墙是一种对计算机安全提供保护的系统。为了避免计算机受到侵袭, 防火墙可以对网络进行屏蔽。防火墙不同于杀毒软件, 属于系统运行时的安全程序。

首先, 防火墙拦截的主要对象是异常数据, 通过对网络进行控制, 保护计算机系统, 对计算机的安全进行维护;其次, 用户可以通过防火墙对一些访问的特殊服务进行限制;再次, 使用计算机防火墙技术无需考虑可用性的情况, 防火墙的应用非常广泛;最后, 计算机防火墙技术具有审计功能, 只要保障足够的磁盘容量, 计算机防火墙技术就能够存录网络流, 当出现一些异常情况时, 防火墙能够及时发出警告[1]。

2 当前计算机防火墙技术应用的不足

根据防火墙的技术原理和处理信息的方式, 最佳防火墙分为状态检测防火墙、代理防火墙的过滤式防护墙, 其各有优势和劣势。在所有网络安全技术中防火墙的应用目前仍然是最广泛的, 但是当前计算机防火墙技术的应用也存在一些不足。

2.1 防火墙技术的发展难以跟上网络攻击的变化趋势

计算机防火墙技术的应用非常广泛, 也发挥了重要的作用, 对计算机的安全进行了维护。然而随着计算机技术的发展, 网络攻击的方式和手段也在不断增加, 特别是出现了智能化趋势, 凸显了防火墙技术的滞后性。此消彼长, 防火墙越来越难以有效的监控一些夹带攻击、嵌套攻击、隐藏攻击等先进攻击方式, 造成安全防护出现漏洞。一些带有病毒的邮件也很难通过防火墙进行检测和控制, 阻挡病毒的传播。

2.2 控制效力受制约

如果关键的服务器受到病毒的入侵, 例如OA服务器, 此时防火墙的效率就会大打折扣, 难以对病毒的扩散进行控制。这也造成了OA服务器会成为病毒的集散地和转发地, 使病毒迅速蔓延和传播, 最后危害整个内部网络, 造成巨大的损失。

2.3 给系统管理带来负担

计算机的系统管理会受到计算机防火墙功能的影响, 造成管理的负担过重, 又会反过来制约防火墙功能的发挥。

2.4 用户不一定及时升级

内部防火墙需要定期进行更新和升级, 以适应新的网络攻击防御方式。但一些中高级用户没有认识到防火墙升级的重要性, 长时间不进行防火墙的升级改造, 造成防火墙的效力降低。

3 加强计算机防火墙技术的应用

在全球范围内, 各行各业都在普及计算机及网络技术的使用, 例如科研教育、投资理财、保险、金融、工商业等等。计算机网络技术能够存储和传输大量信息, 因此需要充分发挥计算机防火墙的作用, 不断改善防火墙系统的性能, 才能保障计算机网络的安全。

3.1 防火墙系统的选择

要充分发挥计算机防火墙技术的作用, 首先必须选择合适的防火墙系统。用户要对自己的需求进行分析和评估, 才能准确选择适合自己的防火墙。在选择时要考虑以下几个方面。

首先, 对防火墙自身的安全性进行考量。防火墙必须能够保护自己的安全, 否则即使有再强的控制功能, 也不能对网络安全进行保护。

其次, 为了不影响计算机的配置功能, 尽量不要选择管理方式过于复杂的防火墙, 并且不断提高计算机的管理性能。

最后, 要对用户的特殊需求进行充分的考虑, 并非所有的防火墙都有足够的安全策略来满足用户的特殊需求[3]。

3.2 及时对防火墙进行更新和升级

网络已经渗透到现代人生活和生产的方方面面, 计算机网络应用的范围也在不断扩展, 网络应用技术正在不断丰富和更新。社会的各行各业都对网络提出了更高的要求, 例如对网络带宽的要求不断增加, 这就需要考虑防护软件的安全应用和需求。

计算机技术发展的过程中, 网络攻击的手段也在不断更新, 这就要求防火墙的性能也要不断提高, 要向使用者提供千兆、万兆以及更高带宽的防火墙技术, 切实提高防火墙的性能。用户在使用防火墙的过程中也要认识到这一点, 定期对防火墙进行升级和更新, 提高防火墙应对网络攻击的能力, 才能发挥防火墙的效力。

3.3 使防火墙成为用户安全管理平台的组件

在一般情况下, 安全防护软件的发展往往跟不上黑客技术的发展, 这也对防火墙技术提出了新的挑战。

通过网络安全管理平台能够对电脑用户使用的安全设备进行统一调度和管理, 从而针对面临的网络风险采取有效、集中的防护措施。在这种情况下, 要使防火墙成为安全管理平台的一项组件, 将安全审计接口、安全事件管理接口和安全策略管理接口提供给安全管理平台[4]。

3.4 加大防火墙的开发力度, 推动防火墙的更新换代

随着黑客攻击技术的不断发展, 防火墙技术必须能够及时地更新换代才能有效发挥作用, 这就需要加大对防火墙技术的研究力度, 采取相应的保障和防范措施。在未来的开发过程中, 防火墙技术的主要发展趋势包括以下几个方面。

首先, 不断增强防火墙的过滤功能。要将防火墙对服务和地址的过滤发展到能够检查连接状态、数据包内容和数据包分片, 要使防火墙技术能够过滤动态包, 并设置灵活、快捷、自动的包过滤规则, 进一步增强防火墙技术的病毒扫描功能。

其次, 防火墙技术的发展要走向综合性。所谓综合性, 即是要结合网关技术、包过滤技术和数据加密技术, 对身份验证等访问控制措施进行强化。在未来的发展中, 将利用防火墙将虚拟的专用网构建出来, 对安全协议进行充分的利用。

最后, 不断提高防火墙对网络攻击的预警功能和监测功能, 对其安全管理工具进行完善。由于网络攻击手段的多样性, 防火墙也不能独立承担维护网络安全的职责。这就需要在防火墙中设置入侵监测软件, 从而实现智能切断入侵, 提高防火墙的抗攻击能力。

4 结语

进入二十一世纪之后, 计算机网络技术得到了蓬勃的发展, 对人们的生活和生产方式带来了很多便利, 也带来了安全问题, 网络攻击和病毒正在不断地威胁计算机用户及其数据资料的安全。因此, 必须充分发挥防火墙技术的作用, 做好网络安全防护工作, 抵御网络攻击的入侵。这就要求广大计算机用户充分认识到防火墙的重要作用, 正视当前计算机防火墙技术应用过程中存在的问题, 采取有效措施进行解决, 提高防火墙的防护效力。

摘要：随着计算机在各行各业得到越来越广泛的应用, 计算机的安全问题也越来越突出。一些网络黑客利用计算机网络中的漏洞, 从事大量的非法活动, 对计算机网络进行攻击, 严重影响计算机网络的安全, 这就要求计算机防火墙技术发挥作用, 保障计算机网络的安全。基于此, 对计算机防火墙技术进行简要的介绍, 并对当前计算机防火墙技术的应用情况以及存在的问题进行简要的分析, 提出计算机防火墙技术的应用前景和发展趋势。

关键词：计算机,防火墙技术,网络安全

参考文献

[1]江文勇.职中生在计算机网络安全与防火墙技术扩展的实践[J].中国科教创新导刊, 2012 (03) .

[2]张文辉, 祁富燕.基于防火墙技术对高校网络建设的研究[J].信息安全与技术, 2011 (08) .

[3]刘菲.计算机网络安全及应对策略研究[J].信息与电脑 (理论版) , 2011 (09) .

计算机网络安全与防火墙技术 第9篇

1 防火墙的基本概念

防火墙是一个系统, 我们都知道, 防火墙的主要用途是保护计算机信息安全, 在内部网与因特网间通过一种安全程序的执行, 将病毒隔离。一个高科技的防火墙可以确保所有从网络中输入或者输出的信息都经过防火墙, 而这些流经防火墙的信息则直接受到安全保护。防火墙可以定义一个关键点, 以此来预防外来不良信息的侵入;同时还可以监控网络, 当网络中出现安全威胁时, 则可以发出报警。特别是对于重要信息的保护, 除了可以起到检查、监督的作用外, 还能做好日记记录;它能提供网络地址转换服务, 可以缓解IP地址资源不足的问题;防火墙为客户提供良好的安全管理服务, 加强计算机网络安全。

2 目前主要的网络安全策略

数据加密是网络系统安全管理中常用的方式, 能较好的保护网络数据的安全, 预防数据信息被篡改和盗取。实践中, 主要采用的加密模式是链路加密、端端加密、节点加密和混合加密等。

链路加密将两个网络间的连接点进行加密, 通脱设定密码的形式保护数据安全, 加密在数据在网络中传输, 避免不良侵入。任何两点连接之间的密码时独立的, 因此, 通常可以设置不同的密码加强安全功能。链路加密通常是使用序列密码, 所以, 链路加密主要保护源头信息和信息节点的安全。链路加密的关键是可以预防外界的不良窃听, 可中间节点会暴露网络信息内容, 因此链路加密无法实现通信安全, 链路加密要通过硬件设施进行驱动, 随着技术的发展, 也可以使用软件。

端端加密即对信息的源头进行保护, 保护目标节点的用户信息, 节点的数据可以通过文件的方式传输, 因此, 端端加密是比较可靠的, 同时也是较容易实现的防火墙技术, 端端加密主要使用软件驱动, 有时也能使用硬件。

节点加密是对源节点到目标节点之间的信息进行保护, 节点加密在形式上与链路加密类似, 只是密码设定的方法不同, 网络节点是先将已经得到的数据进行解密, 再用其它的密匙加密;节点加密要求信息以文明的文件方式传递, 但这样就很难避免外界侵入窃取和分析信息文本。

混合加密是采用链路加密和端端加密相结合的混合加密方式, 对敏感数据有较好的保护作用, 整体来说安全性较高。

3 防火墙技术的安全应用

3.1 安全服务配置安全服务隔离区 (DMZ)

将服务器从机群中独立出来, 单独设置安全隔离区, 它是网络中的构成部分, 也是局域网, 之所以要将其独立出来, 是为了能更好的保护服务器上数据, 保证系统的稳定运行。利用NAT (网络地址转换) 技术可以将已经收到保护的内部网络地址全部融入到防火墙上, 并设定出几个有效的公用IP地址。那么我们就可以屏蔽好内部网络地址, 保证内部局域网是安全的, 还能节省IP地址资源, 控制网络运行成本。如果某些单位有边界路由器, 就可以使用这些设备进行数据包过滤, 加设防火墙功能, 从而路由器也具备防火墙的功能了, 然后把需要保护的内部网络架设到防火墙上, 落实保护作用。对于DMZ区里的公共服务器, 英语边界路由器直接连接, 不需要经过防火墙。通过上述叙述, 边界路由器与防火墙让内部局域网有了两层防护, 在二者之间还可以设置一个DMZ区, 保证公共服务器的安全。

3.2 防火墙技术分析

1) 包过滤型

包过滤型技术是防火墙的重点技术, 通过对参考模型的网络层和传输层之间的保护, 直接检验数据信息等是否合格, 在全面的监督中保证数据传输的安全, 也就是说, 只有经过检验合格的数据才能通过网络, 其余没有用的数据或不安全数据则可以丢弃或毁灭。

2) 应用代理型

应用代理型防火墙主要工作在网络保护的最高层, 它能完全阻隔不安全信息, 确保信息传输的安全, 通过对每种应用服务编制专门的代理程序, 对每一个应用层的信息通信进行监督和控制, 预防不安全问题的出现。

3) 状态检测型

这是一种对计算机网络连接的安全监督技术, 它将连接在一起的数据包当成是一个整体数据连接来看待, 通过相关的保护对策和模式, 对数据连接情况进行检测, 及时识别有危险的、不安全的数据, 并阻止其通过。在这种动态的连接列表中, 可以记录从前的通信信息, 也可以是与其它程序有关的信息。因此, 这种技术与传统的包过滤防火墙静态过滤模式相比, 状态检测型防火墙能更好的保护网络安全, 稳定性也提高了。我们将这种技术与前几种防火墙技术相比, 它是具有高安全性、高效性、可伸缩性和扩展性的, 优势明显, 但缺点是它所有的这些记录、测试和分析都有可能造成网络信息传递功能延迟, 速度变慢, 尤其是很多个连接同时运行的时候, 或者是有大量的过滤网络通信的规则存在时, 这种问题更为凸显。

3.3 日志监控

日志监控是主要的监控手段, 很多管理人员认为, 只要是信息就可以采集作, 并作为日记记录下来。例如, 网络中的所有警告或所有与策略相符或不相符的流量等等, 虽然很多人认为这种做法其实是很完善的, 保证了监控信息的全面, 但我们知道, 每天都有成千上万的数据进出防火墙, 所以, 只需要采集最关键、最重要的日记信息就可以了。通常来说, 系统中的警告是必须记录的, 以及那些影响网络安全的流量信息, 这样才能保证网络信息的安全运行。

4 防火墙技术的不足

4.1 防火墙的脆弱性

简单地说, 防火墙是一个防御系统, 它是由软件和硬件组成的, 并主要使用于内网和外网、专用网与公共网之间, 在此界面上形成隔离带, 从而达到保护网络安全的目的。因此, 它必须有软件和硬件和结合, 同时在Internet与In-tranet之间建立过滤网。我们应该正确的认识到, 防火墙只是对网络安全进行维护, 但是无法完全保证网络的绝对安全性。例如一些对网络内部有攻击的病毒或者黑客等, 防火墙是无法实现保护的。所以, 一定不要认为有了防火墙, 计算机网络环境就安全了。随着技术的发展, 设备的更新, 还出现了不少破解防火墙的技术, 可见, 防火墙本身还是带有一些缺陷的。

4.2 防火墙领域的前沿技术

虽然防火墙有不足, 但是防火墙技术是可以随着科技的进步而不断进步的。例如, 自适应的代理服务防火墙, 这种防火墙主要检测范围仍是安全应用层, 只是安全检测后可以重新直接的通过网络层, 大大改善了防火墙的性能;桥式接口防火墙, 交换式接口防火墙最大的特点是, 截取数据包时正处在数据链路层, 能直接开展安全检查, 而也只有合法的数据包才能进入数据链接层;混合型防火墙, 这是一种融合多种技术的防火墙技术, 这样用户在使用时, 能有弹性的选择, 安全性大大提高。

5 结束语

如今, 随着计算机网络的普及, 防火墙技术已经在我国各行各业得到了广泛使用, 人们纷纷在网络系统中建立起防火墙防御系统, 因为运用防火墙技术, 能有效预防外部网的不良入侵, 保证局域网的安全, 从而提高网络使用效率。

摘要：随着Internet技术的快速发展, 安全问题已经成为现代网络建设的主要问题。防火墙技术作为内部网络与外部网络连接的第一道屏障, 能较好地保护网络安全, 也是备受重视的网络安全技术。

关键词：计算机,网络安全,防火墙技术

参考文献

[1]马程.防火墙在网络安全中的应用[J].甘肃科技, 2007 (4) .

[2]张汉文, 杨春山, 徐君超, 等.计算机网络安全与防范问题初探[J].信息安全与通信保密, 2005 (10) .

浅析计算机网络安全技术——防火墙 第10篇

1 防火墙的概念

防火墙的本意是指古代人们房屋之间修建的那道墙, 这道墙可以防止火灾发生的时候蔓延到别的房屋。而这里所说的防火墙当然不是指物理上的防火墙, 而是指隔离在本地网络与外界网络之间的一道防御系统, 是这一类防范措施的总称。应该说, 在互连网上防火墙是一种非常有效的网络安全模型, 通过它可以隔离风险区域 (即Internet或有一定风险的网络) 与安全区域 (局域网) 的连接, 同时不会妨碍人们对风险区域的访问。防火墙可以监控进出网络的通信量, 从而完成看似不可能的任务, 仅让安全、核准了的信息进入, 同时又抵制对企业构成威胁的数据。

2 防火墙的作用

随着安全性问题上的失物和缺陷越来越普遍, 对网络的入侵不仅来自高超的攻击手段, 也有可能来自配置上的低级错误或不合适的口令选择。因此, 防火墙的作用是防止不希望的未授权的通信进出被保护的网络, 迫使单位强化自己的网络安全政策。一般的防火墙都可以达到以下目的:

2.1 限制对网点的访问和封锁网点信息的泄露。

把防火墙看作检查点, 所有进出的信息必须穿过它, 防火墙为网络安全起到了把关作用, 只允许授权的通信通过。

2.2 能限制被保护子网的暴露。

为了防止影响一个网段的问题穿过整个网络传播, 防火墙可被用来隔离网络的一个网段和另一个网段, 尤其是当被保护网的某一网段比另一网段更敏感时必须这么做, 无论如何, 防火墙的存在限制局部网络安全问题对整个网络的影响。

2.3 防火墙具有审计作用。

防火墙能有效地记录Internet网的活动, 因为所有传输信息都必须穿过防火墙, 防火墙能帮助总结记录有关内部网和外部网的互访信息以及入侵者的任何企图。

2.4 防火墙能强制安全策略。

我们知道Internet网上的许多服务是不安全的, 防火墙正是这些服务的“交通警察”, 它执行站点的安全策略, 仅仅允许“认可”和符合规则的服务通过。除了以上的基本功能外, 防火墙还有对出网和进网的信息实施加密和解密以及便于网络实施密钥管理的能力。

3 防火墙的基本类型

如今市场上的防火墙技术林林总总, 形式多样。有以软件形式运行在普通计算机之上的, 也有以固件形式设计在路由器之中的。总的来说可以分为三种:包过滤防火墙、代理服务器和状态监视器。

3.1 包过滤防火墙。

包过滤是在网络层中对数据包实施有选择的通过, 依据流经防火墙的数据包头信息, 决定是否允许该数据包通过。在互连网这样的信息包交换网址上, 所有往来的信息都被分割成许许多多一定长度的信息包, 包中包括发送者IP地址和接收者IP地址。当这些包被送上互连网时, 路由器会读取接收者的IP并选择一条物理上的线路发送出去, 信息包可能以不同的路线抵达目的地, 当所有的包抵达后会在目的地重新组装还原。包过滤式的防火墙会检查所有通过信息包里的IP地址, 并按照系统管理员所给定的过滤规则过滤信息包。如果防火墙设定某一IP为危险的话, 从这个地址而来的所有信息都会被防火墙屏蔽掉。

3.2 代理服务器。

代理服务器通常也称作应用级防火墙。所谓代理服务, 即防火墙内外的计算机系统应用层的链接是在两个终止于代理服务的链接来实现的, 这样便成功地实现了防火墙内外计算机系统的隔离。代里服务器拥有高速缓存, 缓存中存有用户经常访问站点的内容, 在下一个用户要访问同样的站点时, 服务器就不用重复地去抓同样的内容, 即节约了时间也节约了网络资源。

3.3 状态监视器。

状态监视器作为防火墙技术其安全特性最佳, 它采用了一个在网关上执行网络安全策略的软件引擎, 称之为检测模块。检测模块在不影响网络正常工作的前提下, 采用抽取相关数据的方法对网络通信的各层实施监测, 抽取部分数据, 即状态信息, 并动态地保存起来作为以后制定安全决策的参考。当用户访问到达网关的操作系统前, 状态监视器要抽取有关数据进行分析, 结合网络配置和安全规定作出接纳、拒绝、鉴定或给该通信加密等决定。一旦某个访问违反安全规定, 安全报警器就会拒绝该访问, 并作下记录向系统管理器报告网络状态。状态监视器的配置非常复杂, 而且会降低网络的速度。

4 防火墙的发展展望

Internet爆炸式的发展, 使得防火墙在短短的几年内迅速突起, 并且很快形成一种产业。防火墙技术总是随着计算机界其它技术的发展而发展, 尤其是Internet技术的不断变化, 要求防火墙技术作相应的变化, IP协议也在发展之中, 我们希望IP协议的改进, 有望在防火墙的构造和操作方面引起深刻变化。网络技术也在发展之中, 目前大多数网络对数据的探听是敏感的, 网上的任何结点至少能看见某种不参与的信息。我们期望在更新的网络技术中, 能直接从源至目标传输数据, 使它们免于暴露在网络中其它结点的探听之下。如果这样, 便会大大简化了防火墙的配置。

5 结论

目前防火墙已经在Internet上得到了广泛的应用, 而且由于防火墙不限于TCP/IP协议的特点, 也使其逐步在Internet之外更具生命力。客观的讲, 防火墙并不是解决网络安全问题的万能药房, 而只是网络安全政策和策略中的一个组成部分, 但了解防火墙技术并学会在实际操作中应用防火墙技术, 相信会在新世纪的网络生活中让每一位网上用户都受益菲浅。

参考文献

[1]聂元铭, 丘平.网络信息安全技术.北京:科学出版社, 2001.

[2]网管世界, 2004.

[3]www.hacker.com.cn.黑客防线.

[4]www.safechina.net.

[5]张小斌, 严望佳.计算机网络安全工具[M].北京:清华大学出版社, 1999.

[6]黄允聪, 严望佳.防火墙的选型、配置、安装和维护[M].北京:清华大学出版社, 1999.

[7]陈曙辉, 李化.深入剖析网络边界安全[M].北京:机械工业出版社, 2003.

[8]刘兵, 毕学尧, 张海涛.中国计算机报——网络与通信.

[9]卢昱, 林琪.网络安全技术[M].北京:中国物资出版社, 2001.

计算机防火墙技术 第11篇

关键词：计算机；网络信息安全；病毒；防火墙技术

中图分类号：TP393.08 文献标识码：A 文章编号：1674-7712 （2013） 12-0000-01

计算机的不断发展和广泛应用，使得人们对它的依赖性越来越强。在今后的科技发展中，计算机的影响必将是最强最大的。但同时，各种隐患也相继出现，网络安全威胁开始泛滥，严重影响了人们的日常生活和社会安全。网络安全威胁涉及黑客病毒、软件漏洞以及安全意识缺乏等多方面。这就要求我们要加强网络安全意識并掌握一定的安全防范技术。

一、网络信息安全的威胁因素

计算机网络信息安全问题主要涉及两个方面，一是攻击计算机网络中的硬件设备，导致系统瘫痪，甚至损坏；二是威胁信息数据，包括对其非法窃取、修改删除等。其安全威胁主要有以下几点：

（一）操作系统安全

操作系统通过计算机硬件直接为用户提供编程接口，应用软件要想高可靠地运行并保证信息的保密性、完整性，必须以操作系统提供的软件为基础。同样，网络系统的安全性依赖于各主机系统的安全性。所以说，操作系统安全在很大程度上决定着计算机网络的安全。

（二）软件漏洞

黑客对计算机发动攻击往往把网络软件的漏洞当成最好的利用条件，此外，还有软件“后门”的问题，这些“后门”都是软件设计编程人员为了自己方便才进行设置的，通常情况下，外人难以得知，而一旦“后门”洞开，其后果和造成的损失不可估量。

（三）黑客的攻击和威胁

在当前的计算机网络上，黑客攻击事件频频发生，愈演愈烈，已成为具有一定技术和经济条件的各种各样的攻击者活动的舞台。之所以会出现黑客，大多情况下，并非黑客本身有随意入侵的本事，往往只是因为他们善于发现并利用漏洞。信息网络具有缺陷和不完善性，这正好成了黑客或病毒进行攻击的绝佳途径，信息网络的脆弱，引起了不少信息社会的脆弱和安全问题，对人们和社会构成了极大威胁。

（四）计算机病毒

计算机病毒通常是一种由人为编制、对计算机性能和数据进行破坏且能够自我复制的程序代码，它感染速度快、破坏性强，且传播形式复杂，很难彻底清除，可以轻易对硬盘、光驱、主板等造成破坏，是当今网络安全的头号强敌，一旦病毒在网路上扩散，会引起网络的瘫痪，使之不能正常运行。所以，加强网络安全防范意识尤其重要。

（五）自然灾害

目前大多数计算机信息系统比较容易受自然环境的影响，包括湿度、温度、冲击、振动等诸多因素。而不少计算机房常忽视防震、防火、防电磁泄漏等方面的工作，接地系统也考虑的不够周到，抵御自然灾害的能力还有待加强。

二、防火墙技术的实用研究

（一）概念

防火墙是一种位于内部网络与外部网络之间的安全系统，多采用隔离技术，通过限制或允许传输数据的通过来保证信息的安全性。防火墙技术运用广泛，主要用于网络访问控制、阻止外部人员非法进入，能够有效地对内网资源进行保护。防火墙对数据包中的源地址和目标地址以及源端口和目标端口等信息进行检测，再与提前设置的访问控制规则进行匹配，若成功，就允许数据包通过；若不成功，就丢弃数据包。其不足之处在于，防火墙的作用比较被动，往往只能用于防止来自外部的非授权访问，对内部的非法访问或病毒起不了任何作用，所以它无法从根本上保证网络的绝对安全。目前应用较多的几种防火墙有桥式接口式防火墙、混合型防火墙以及代理服务防火墙等。

（二）防火墙技术

主要有两个技术，一是包过滤技术，其工作原理主要通过对流动出入的IP包进行监控和过滤，对可疑的包进行拦截，各用户可提前对源主机的IP地址进行设置，允许通过或不允许通过。当有数据包从外部传来时，路由器会对其源地址进行检查，如果地址和设置的不相符，就将该数据包拦截，不允许通过。此处，路由器主要在IP层作用，所以，只有内部网络和因特网采用的是直接IP连接时才可以用。需注意是，该技术只负责对IP地址进行检测，在其他方面不发生作用，所以存在着一定的危险性，为使安全得到保证，应有其他技术相配合。

二是应用网关技术，即双主机技术，利用主机进行控制，作为内外网络的唯一连接，主机发挥着网关的作用。该技术是指在应用网关上运行应用代理程序，将原服务器和客户相连接，合法用户才有安全使用因特网的资格，以达到保护合法用户，拒绝非法用户的目的。代理程序主要包括www prox-Y 以及E-mail proxy 等，与包过滤技术不同，该技术具有良好的灵活性，而且检查工作更加细致，同时由于软件复杂，成本较高，而且维护管理也有一定的难度。

三、结束语

网络安全问题得不到保证，极有可能带来巨大的损失，所以如何做好计算机网络信息安全维护工作就显得十分必要。防火墙技术是一项比较简单且实用的防入侵技术，在保护网络信息方面发挥着巨大作用，但是网络安全不单单是技术的问题，还是社会的问题，所以还应加强安全防范意识，加大这方面的宣传教育，把安全隐患降到最低。

参考文献：

[1]盛文婷.浅谈计算机网络安全与防火墙技术[J].计算机光盘软件与应用，2013，16（2）：173-175

[2]杨必远.略论网络安全与防火墙技术[J].商情，2012，22（30）：190-192.

[3]王玲玉.对计算机网络安全中防火墙技术应用的探讨[J].大科技，2012，32（17）：109-111.

浅析计算机网络安全之防火墙技术 第12篇

1 概述

1.1 防火墙的定义

网络防火墙技术是一种用来加强网络之间访问控制, 防止外部网络用户以非法手段通过外部网络进入内部网络, 访问内部网络资源, 保护内部网络操作环境的特殊网络互联设备。它对两个或多个网络之间传输的数据包如链接方式按照一定的安全策略来实施检查, 以决定网络之间的通信是否被允许, 并监视网络运行状态。

1.2 防火墙的作用

防火墙方法有助于提高计算机主系统总体的安全性, 因而可使联网用户获得许多好处:

1.2.1 防止易受攻击的服务

防火墙通过包过滤路由器过滤不安全的服务来降低子网上主系统所冒的风险。因为包过滤路由器只允许经过选择的协议通过防火墙, 因此, 子网网络环境可经受较少的外部攻击。例如, 防火墙可以禁止某些易受攻击的服务 (如NFS) 进入或离开受保护的子网。这样可以防护这些服务不会被外部攻击者利用, 而同时允许在大大降低外部攻击者利用的风险情况下使用这些服务。防火墙还可以防护基于路由选择的攻击, 如源路由选择和企图通过ICMP改向把发送路径转向遭致损害的网点。防火墙可以排斥所有源点发送的包和ICMP改向, 然后把偶发事件通知管理人员。

1.2.2 控制访问网点系统

防火墙还有能力控制对网点系统的访问。例如, 某些主系统可以由外部网络访问, 而其他主系统则能有效地封闭起来, 防止非法访问。除了邮件服务器或信息服务器等特殊情况外, 网点可以防止外部对其主系统的访问。其他的访问政策也都可以通过防火墙程序的设计加以执行。

1.2.3 集中安全性

对一个机构来说, 防火墙实际上可能并不昂贵, 因为所有的或大多数经过修改的软件和附加的安全性软件都放在防火墙系统上, 而不是分散在很多主系统上。尤其是一次性口令系统和其他附加验证软件都可以放在防火墙上, 而不是放在每个需要从Internet访问的系统上。

1.2.4 增强的保密

保密对某些网点是非常重要的, 因为一般被认为无关大局的信息实际上常含有对攻击者有用的线索。使用防火墙后, 某些网点希望封锁某些服务, 如Finger和域名服务。Finger显示有关用户的信息, 如最后注册时间、邮件有没有被访问等等。但是, Finger也可能把有关用户的信息泄露给攻击者, 所以, 防火墙系统不可缺少。

1.2.5 有关网络使用、滥用的记录和统计

如果对Internet的往返访问都通过防火墙, 那么, 防火墙可以记录各次访问, 并提供有关网络使用率的有价值的统计数字。如果一个防火墙能在可疑活动发生时发出音响警报, 则还可以提供防火墙和网络是否受到试探或攻击的细节, 并确定防火墙上的控制措施是否得当。网络使用率统计数字之所以重要, 还因为它可作为网络需求研究和风险分析的依据。

2 防火墙的技术原理

目前, 防火墙系统的工作原理因实现技术不同, 大致可分为三种:

2.1 包过滤技术

包过滤技术是一种基于网络层的防火墙技术。根据设置好的过滤规则, 通过检查IP数据包来确定是否该数据包通过。而那些不符合规定的IP地址会被防火墙过滤掉, 由此保证网络系统的安全。该技术通常可以过滤基于某些或所有下列信息组的IP包:源IP地址;目的IP地址;TCP/UDP源端口;TCP/UDP目的端口。包过滤技术实际上是一种基于路由器的技术, 其最大优点就是价格便宜, 实现逻辑简单便于安装和使用。缺点:a.过滤规则难以配置和测试。b.包过滤只访问网络层和传输层的信息, 访问信息有限, 对网络更高协议层的信息无理解能力。c.对一些协议, 如UDP和RPC难以有效的过滤。

2.2 代理技术

代理技术是与包过滤技术完全不同的另一种防火墙技术。其主要思想就是在两个网络之间设置一个“中间检查站”, 两边的网络应用可以通过这个检查站相互通信, 但是它们之间不能越过它直接通信。这个“中间检查站”就是代理服务器, 它运行在两个网络之间, 对网络之间的每一个请求进行检查。当代理服务器接收到用户请求后, 会检查用户请求合法性。若合法, 则把请求转发到真实的服务器上, 并将答复再转发给用户。代理服务器是针对某种应用服务而写的, 工作在应用层。优点:它将内部用户和外界隔离开来, 使得从外面只能看到代理服务器而看不到任何内部资源。与包过滤技术相比, 代理技术是一种更安全的技术。缺点:在应用支持方面存在不足, 执行速度较慢。

2.3 状态监视技术

状态监视技术能对网络通信的各层实行检测。同包过滤技术一样, 它能够检测通过IP地址、端口号以及TCP标记, 过滤进出的数据包。它允许受信任的客户机和不受信任的主机建立直接连接, 不依靠与应用层有关的代理, 而是依靠某种算法来识别进出的应用层数据, 这些算法通过己知合法数据包的模式来比较进出数据包, 这样从理论上就能比应用级代理在过滤数据包上更有效。

状态监视器的监视模块支持多种协议和应用程序, 可方便地实现应用和服务的扩充。此外, 它还可监测RPC和UDP端口信息, 而包过滤和代理都不支持此类端口。这样, 通过对各层进行监测, 状态监视器实现网络安全的目的。目前, 多使用状态监测防火墙, 它对用户透明, 在OSI最高层上加密数据, 而无需修改客户端程序, 也无需对每个需在防火墙上运行的服务额外增加一个代理。

3 防火墙的不足与探索

虽然防火墙是目前保护网络免遭黑客袭击的有效手段, 但也有明显不足:a.不能防范恶意的知情者;b.不能防范不通过它的连接;c.不能防范全部的威胁;d.不能防范病毒。由此可见, 要想建立一个真正行之有效的安全的计算机网络, 仅使用防火墙还是不够, 在实际的应用中, 防火墙常与其它安全措施, 比如加密技术、防病毒技术等综合应用。