防火墻技術(shù)論文三篇

　　防火墻技術(shù)是網(wǎng)絡(luò)安全領(lǐng)域應(yīng)用較普遍的一種技術(shù)，下面就由學(xué)習(xí)啦小編為大家提供的論文。

　　防火墻技術(shù)論文一：

　　一、防火墻概述

　　防火墻是指一種將內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)分開的方法，實(shí)際上是一種隔離控制技術(shù)。在某個(gè)機(jī)構(gòu)的網(wǎng)絡(luò)和不安全的網(wǎng)絡(luò)之間設(shè)置障礙，阻止對(duì)信息資源的非法訪問，也可以阻止保密信息從受保護(hù)網(wǎng)絡(luò)上被非法輸出。通過限制與網(wǎng)絡(luò)或某一特定區(qū)域的通信，以達(dá)到防止非法用戶侵犯受保護(hù)網(wǎng)絡(luò)的目的。防火墻是在兩個(gè)網(wǎng)絡(luò)通訊時(shí)執(zhí)行的一種訪問控制尺度，它對(duì)兩個(gè)網(wǎng)絡(luò)之問傳輸?shù)臄?shù)據(jù)包和連接方式按照一定的安全策略對(duì)其進(jìn)行檢查，來決定網(wǎng)絡(luò)之問的通信是否被允許：其中被保護(hù)的網(wǎng)絡(luò)稱為內(nèi)部網(wǎng)絡(luò)，未保護(hù)的網(wǎng)絡(luò)稱為外部網(wǎng)絡(luò)或公用網(wǎng)絡(luò)。應(yīng)用防火墻時(shí)，首先要明確防火墻的缺省策略，是接受還是拒絕。如果缺省策略是接受，那么沒有顯式拒絕的數(shù)據(jù)包可以通過防火墻;如果缺省策略是拒絕，那么沒有顯式接受的數(shù)據(jù)包不能通過防火墻。顯然后者的安全性更高。

　　防火墻不是一個(gè)單獨(dú)的計(jì)算機(jī)程序或設(shè)備。在理論上，防火墻是由軟件和硬件兩部分組成，用來阻止所有網(wǎng)絡(luò)問不受歡迎的信息交換，而允許那些可接受的通信。從邏輯上講，防火墻是分離器、限制器、分析器;從物理上講，防火墻由一組硬件設(shè)備(路由器、主計(jì)算機(jī)或者路由器、主計(jì)算機(jī)和配有適當(dāng)軟件的網(wǎng)絡(luò)的多種組合)和適當(dāng)?shù)能浖M成。

　　二、防火墻的基本類型

　　防火墻的基本類型包括包過濾、網(wǎng)絡(luò)地址轉(zhuǎn)化—NAT、應(yīng)用代理和狀態(tài)檢測。

　　1.包過濾

　　包過濾型產(chǎn)品是防火墻的初級(jí)產(chǎn)品，其技術(shù)依據(jù)是網(wǎng)絡(luò)中的分包傳輸技術(shù)。網(wǎng)絡(luò)上的數(shù)據(jù)都是以“包”為單位進(jìn)行傳輸?shù)?，?shù)據(jù)被分割成為一定大小的數(shù)據(jù)包，每一個(gè)數(shù)據(jù)包中都會(huì)包含一些特定信息，如數(shù)據(jù)的源地址、目標(biāo)地址、TCP/UDP源端口和目標(biāo)端口等。防火墻通過讀取數(shù)據(jù)包中的地址信息來判斷這些“包”是否來自可信任的安全站點(diǎn)，一旦發(fā)現(xiàn)來自危險(xiǎn)站點(diǎn)的數(shù)據(jù)包，防火墻便會(huì)將這些數(shù)據(jù)拒之門外。系統(tǒng)管理員也可以根據(jù)實(shí)際情況靈活制訂判規(guī)則。

　　包過濾技術(shù)的優(yōu)點(diǎn)是簡單實(shí)用，實(shí)現(xiàn)成本較低，在應(yīng)用環(huán)境比較簡單的情況下，能夠以較小的代價(jià)在一定程度上保證系統(tǒng)的安全。

　　但包過濾技術(shù)的缺陷也是明顯的。包過濾技術(shù)是一種完全基于網(wǎng)絡(luò)層的安全技術(shù)，只能根據(jù)數(shù)據(jù)包的來源、目標(biāo)和端口等網(wǎng)絡(luò)信息進(jìn)行判斷，無法識(shí)別基于應(yīng)用層的惡意侵入，如惡意的Java小程序以及電子郵件中附帶的病毒。有經(jīng)驗(yàn)的黑客很容易偽造IP地址，騙過包過濾型防火墻。

　　2.網(wǎng)絡(luò)地址轉(zhuǎn)化—NAT

　　網(wǎng)絡(luò)地址轉(zhuǎn)換是一種用于把IP地址轉(zhuǎn)換成臨時(shí)的、外部的、注冊的IP地址標(biāo)準(zhǔn)。它允許具有私有IP地址的內(nèi)部網(wǎng)絡(luò)訪問因特網(wǎng)。它還意味著用戶不許要為其網(wǎng)絡(luò)中每一臺(tái)機(jī)器取得注冊的IP地址。

　　在內(nèi)部網(wǎng)絡(luò)通過安全網(wǎng)卡訪問外部網(wǎng)絡(luò)時(shí)，將產(chǎn)生一個(gè)映射記錄。系統(tǒng)將外出的源地址和源端口映射為一個(gè)偽裝的地址和端口，讓這個(gè)偽裝的地址和端口通過非安全網(wǎng)卡與外部網(wǎng)絡(luò)連接，這樣對(duì)外就隱藏了真實(shí)的內(nèi)部網(wǎng)絡(luò)地址。在外部網(wǎng)絡(luò)通過非安全網(wǎng)卡訪問內(nèi)部網(wǎng)絡(luò)時(shí)，它并不知道內(nèi)部網(wǎng)絡(luò)的連接情況，而只是通過一個(gè)開放的IP地址和端口來請(qǐng)求訪問。OLM防火墻根據(jù)預(yù)先定義好的映射規(guī)則來判斷這個(gè)訪問是否安全。當(dāng)符合規(guī)則時(shí)，防火墻認(rèn)為訪問是安全的，可以接受訪問請(qǐng)求，也可以將連接請(qǐng)求映射到不同的內(nèi)部計(jì)算機(jī)中。當(dāng)不符合規(guī)則時(shí)，防火墻認(rèn)為該訪問是不安全的，不能被接受，防火墻將屏蔽外部的連接請(qǐng)求。網(wǎng)絡(luò)地址轉(zhuǎn)換的過程對(duì)于用戶來說是透明的，不需要用戶進(jìn)行設(shè)置，用戶只要進(jìn)行常規(guī)操作即可。

　　3.應(yīng)用代理

　　應(yīng)用代理完全接管了用戶與服務(wù)器的訪問，把用戶主機(jī)與服務(wù)器之間的數(shù)據(jù)包的交換通道給隔離起來。應(yīng)用代理不允許外部主機(jī)連接到內(nèi)部的網(wǎng)絡(luò)，只允許內(nèi)部主機(jī)使用代理服務(wù)器訪問Internet主機(jī)，同時(shí)只有被認(rèn)為””可信任的””代理服務(wù)器才可以允許通過應(yīng)用代理。在實(shí)際的應(yīng)用中，應(yīng)用代理的功能是由代理服務(wù)器來完成的。代理型防火墻的優(yōu)點(diǎn)是安全性較高，可以針對(duì)應(yīng)用層進(jìn)行偵測和掃描，對(duì)付基于應(yīng)用層的侵入和病毒都十分有效。其缺點(diǎn)是對(duì)系統(tǒng)的整體性能有較大的影響，而且代理服務(wù)器必須針對(duì)客戶機(jī)可能產(chǎn)生的所有應(yīng)用類型逐一進(jìn)行設(shè)置，大大增加了系統(tǒng)管理的復(fù)雜性。

　　4.狀態(tài)檢測

　　防火墻技術(shù)是網(wǎng)絡(luò)安全領(lǐng)域應(yīng)用較普遍的一種技術(shù)，傳統(tǒng)上防火墻基本分為兩大類，即包過濾防火墻和應(yīng)用網(wǎng)關(guān)防火墻，這兩種防火墻由于其受限的地方，逐漸不能適應(yīng)當(dāng)前的需求，因此新一代的防火墻Stateful-inspection防火墻應(yīng)運(yùn)而生，這種防火墻既繼承了傳統(tǒng)防火墻的優(yōu)點(diǎn)，又克服了傳統(tǒng)防火墻的缺點(diǎn)，是一種革新式的防火墻。

　　Stateful-inspection防火墻是新一代的防火墻技術(shù)，由Check Point公司引入。它監(jiān)視每一個(gè)有效連接的狀態(tài)，并根據(jù)這些信息決定網(wǎng)絡(luò)數(shù)據(jù)包是否能夠通過防火墻。它在協(xié)議棧低層截取數(shù)據(jù)包，然后分析這些數(shù)據(jù)包，并且將當(dāng)前數(shù)據(jù)包及其狀態(tài)信息和其前一時(shí)刻的數(shù)據(jù)包及其狀態(tài)信息進(jìn)行比較，從而得到該數(shù)據(jù)包的控制信息，來達(dá)到保護(hù)網(wǎng)絡(luò)安全的目的。和應(yīng)用網(wǎng)關(guān)不同，Stateful-inspection防火墻使用用戶定義的過濾規(guī)則，不依賴預(yù)先的應(yīng)用信息，執(zhí)行效率比應(yīng)用網(wǎng)關(guān)高，而且它不識(shí)別特定的應(yīng)用信息，因此不用對(duì)不同的應(yīng)用信息制定不同的應(yīng)用規(guī)則，伸縮性好

　　三、防火墻的發(fā)展趨勢

　　1.新需求引發(fā)的技術(shù)走向

　　防火墻技術(shù)的發(fā)展離不開社會(huì)需求的變化，著眼未來，防火墻技術(shù)有的新需求如下：遠(yuǎn)程辦公的增長：企事業(yè)在家辦公，這就要求防火墻既能抵抗外部攻擊，又能允許合法的遠(yuǎn)程訪問，做到更細(xì)粒度的訪問控制?，F(xiàn)在一些廠商推出的(虛擬專用網(wǎng))技術(shù)就是很好的解決方式。只有以指定方式加密的數(shù)據(jù)包才能通過防火墻，這樣可以確保信息的保密性，又能成為識(shí)別入侵行為的手段。

　　2.黑客攻擊引發(fā)的技術(shù)走向

　　防火墻作為內(nèi)網(wǎng)的貼身保鏢。黑客攻擊的特點(diǎn)也決定了防火墻的技術(shù)走向。數(shù)據(jù)包的深度檢測：IT業(yè)界權(quán)威機(jī)構(gòu)Gagner認(rèn)為代理不是阻止未來黑客攻擊的關(guān)鍵，但是防火墻應(yīng)能分辨并阻止數(shù)據(jù)包的惡意行為。包檢測的技術(shù)方案需要增加簽名檢測等新的功能，以查找已經(jīng)的攻擊，并分辨出哪些是正常的數(shù)據(jù)流，哪些是異常數(shù)據(jù)流。協(xié)同性：從黑客攻擊事件分析，對(duì)外提供Web等應(yīng)用的服務(wù)器是防護(hù)的重點(diǎn)。單單依靠防火墻難以防范所有的攻擊行為，這就需要將防火墻技術(shù)、入侵檢測技術(shù)、病毒檢測技術(shù)有效協(xié)同，共同完成保護(hù)網(wǎng)絡(luò)安全的任務(wù)。目前主要支持和IDS的聯(lián)動(dòng)和認(rèn)證服務(wù)器進(jìn)行聯(lián)動(dòng)。

　　現(xiàn)有防火墻技術(shù)仍無法給我們一個(gè)相當(dāng)安全的網(wǎng)絡(luò)。攻擊時(shí)的變數(shù)太大，所以對(duì)網(wǎng)絡(luò)安全的需求對(duì)防火墻提出了更高的要求，在防火墻目前還不算長的生命周期中，雖然問題不斷，但是防火墻也從具有普通的過濾功能，逐步豐富了自身的功能，擔(dān)當(dāng)了更重的任務(wù)。未來，防火墻將成為網(wǎng)絡(luò)安全技術(shù)中不可缺少的一部分。

　　防火墻技術(shù)論文二：

　　一、前盲

　　隨著計(jì)算機(jī)和網(wǎng)絡(luò)在社會(huì)中的應(yīng)用的不斷增多，計(jì)算機(jī)和網(wǎng)絡(luò)安壘技術(shù)正變得越來越重要，部門能夠使用的安全設(shè)備和軟件的不斷增多，大量數(shù)據(jù)紛紛涌人事件日志，致使網(wǎng)絡(luò)管理員的工作難度越來越高，負(fù)擔(dān)越來越重。

　　二、防火墻技術(shù)

　　防火墻是一個(gè)由軟件和硬件設(shè)備組合而成，在網(wǎng)絡(luò)之間實(shí)施訪問控制的一個(gè)系統(tǒng)，通過執(zhí)行訪問控制策略，限制兩個(gè)網(wǎng)絡(luò)之間數(shù)據(jù)的自由流動(dòng)，通過控制和檢測網(wǎng)絡(luò)之間的信息交換和訪問行為實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)安全的有效管理。

　　網(wǎng)絡(luò)防火墻是加強(qiáng)網(wǎng)絡(luò)之間訪問控制的設(shè)備，防止外部網(wǎng)絡(luò)用戶以非法手段通過外部網(wǎng)絡(luò)進(jìn)人內(nèi)部網(wǎng)絡(luò)，訪問內(nèi)部網(wǎng)絡(luò)資源，保護(hù)內(nèi)部網(wǎng)絡(luò)操作環(huán)境的特殊網(wǎng)絡(luò)互聯(lián)設(shè)備。它對(duì)兩個(gè)或多個(gè)網(wǎng)絡(luò)之間傳輸?shù)臄?shù)據(jù)包如鏈接方式按照一定的安全策略來實(shí)施檢查，以決定網(wǎng)絡(luò)之間的通信是否被允許，并監(jiān)視網(wǎng)絡(luò)運(yùn)行狀態(tài)。

　　1.防火墻一般有三個(gè)特性：

　　所有的通信都經(jīng)過防火墻

　　防火墻只放行經(jīng)過授權(quán)的網(wǎng)絡(luò)流量

　　防火墻能經(jīng)受的住對(duì)其本身的攻擊

　　我們可以看成防火墻是在可信任網(wǎng)絡(luò)和不可信任網(wǎng)絡(luò)之間的一個(gè)緩沖，防火墻可以是一臺(tái)有訪問控制策略的路由器(Route+ACL)，一臺(tái)多個(gè)網(wǎng)絡(luò)接口的計(jì)算機(jī)，服務(wù)器等，被配置成保護(hù)指定網(wǎng)絡(luò)，使其免受來自于非信任網(wǎng)絡(luò)區(qū)域的某些協(xié)議與服務(wù)的影響。所以一般情況下防火墻都位于網(wǎng)絡(luò)的邊界，例如保護(hù)企業(yè)網(wǎng)絡(luò)的防火墻，將部署在內(nèi)部網(wǎng)絡(luò)到外部網(wǎng)絡(luò)的核心區(qū)域上。

　　2.防火墻將保護(hù)以下三個(gè)主要方面的風(fēng)險(xiǎn)：

　　機(jī)密性的風(fēng)險(xiǎn)

　　數(shù)據(jù)完整性的風(fēng)險(xiǎn)

　　用性的風(fēng)險(xiǎn)

　　3.防火墻的主要優(yōu)點(diǎn)如下：

　　防火墻可以通過執(zhí)行訪問控制策略而保護(hù)整個(gè)網(wǎng)絡(luò)的安壘，并且可以將通信約束在一個(gè)可管理和可靠性高的范圍之內(nèi)。

　　防火墻可以限制某些特殊服務(wù)的訪問。

　　防火墻功能單一，不需要在安全性、可用性和功能上做取舍。

　　防火墻有審記和報(bào)警功能，有足夠的日志空間和記錄功能，可以延長安全響應(yīng)的周期。

　　4.防火墻也有許多弱點(diǎn)：

　　不能防御已經(jīng)授權(quán)的訪問，以及存在于網(wǎng)絡(luò)內(nèi)部系統(tǒng)間的攻擊。

　　不能防御合法用戶惡意的攻擊，以及社交攻擊等非預(yù)期的威脅。

　　不能修復(fù)脆弱的管理措施和存在問題的安全策略。

　　不能防御不經(jīng)過防火墻的攻擊和威脅。

　　5.根據(jù)防火墻所采用的技術(shù)不同，我們可以將它分為四種基本類型：包過濾型、網(wǎng)絡(luò)地址轉(zhuǎn)換一NAT、代理型和監(jiān)測型。

　　包過濾型

　　包過濾型產(chǎn)品是防火墻的初級(jí)產(chǎn)品，其技術(shù)依據(jù)是網(wǎng)絡(luò)中的分包傳輸技術(shù)。包過濾技術(shù)的優(yōu)點(diǎn)是簡單、實(shí)用和成本較低，在應(yīng)用環(huán)境比較簡單的情況下，能夠以較小的代價(jià)在一定程度上保證系統(tǒng)的安全。

　　包過濾技術(shù)也有明顯的缺陷。包過濾技術(shù)是一種完全基于網(wǎng)絡(luò)層的安全技術(shù)，只能根據(jù)數(shù)據(jù)包的來源、目標(biāo)和端口等網(wǎng)絡(luò)信息進(jìn)行判斷，無法識(shí)別基于應(yīng)用層的惡意侵人，如惡意的Java小程序以及電子郵件中附帶的病毒。有經(jīng)驗(yàn)的黑客很容易偽造IP地址，騙過包過濾型防火墻。

　　網(wǎng)絡(luò)地址轉(zhuǎn)化―NAT

　　網(wǎng)絡(luò)地址轉(zhuǎn)換是一種用于把IP地址轉(zhuǎn)換成臨時(shí)的、外部的、注冊的IP地址標(biāo)準(zhǔn)。它允許具有私有IP地址的內(nèi)部網(wǎng)絡(luò)訪問因特網(wǎng)。它還意味著用戶不許要為其網(wǎng)絡(luò)中每一臺(tái)機(jī)器取得注冊的IP地址。

　　代理型

　　代理型防火墻也可以被稱為代理服務(wù)器，它的安全性要高于包過濾型產(chǎn)品，并已經(jīng)開始向應(yīng)用層發(fā)展。代理服務(wù)器位于客戶機(jī)與服務(wù)器之間，完全阻擋了二者間的數(shù)據(jù)交流。其優(yōu)點(diǎn)是安壘性較高，可以針對(duì)應(yīng)用層進(jìn)行偵測和掃描，對(duì)付基于應(yīng)用層的侵入和病毒都十分有效。缺點(diǎn)是對(duì)系統(tǒng)的整體性能有較大的影響，而且代理服務(wù)器必須針對(duì)客戶機(jī)可能產(chǎn)生的所有應(yīng)用類型逐一進(jìn)行設(shè)置，大大增加了系統(tǒng)管理的復(fù)雜性。

　　監(jiān)測型

　　監(jiān)測型防火墻能夠?qū)Ω鲗拥臄?shù)據(jù)進(jìn)行主動(dòng)的、實(shí)時(shí)的監(jiān)測，在對(duì)這些數(shù)據(jù)加以分析的基礎(chǔ)上，監(jiān)測型防火墻能夠有效地判斷出各層中的非法侵入。監(jiān)測型防火墻不僅超越了傳統(tǒng)防火墻的定義，而且在安全性上也超越了前兩代產(chǎn)品。

　　監(jiān)測型防火墻由于實(shí)現(xiàn)成本較高，也不易管理，所以目前在實(shí)用中的防火墻產(chǎn)品仍然以第二代代理型產(chǎn)品為主，但在某些方面也已經(jīng)開始使用監(jiān)測型防火墻：基于對(duì)系統(tǒng)成本與安全技術(shù)成本的綜合考慮，用戶可以選擇性地使用某些監(jiān)測型技術(shù)。這樣既能夠保證網(wǎng)絡(luò)系統(tǒng)的安壘性需求，同時(shí)也能有效地控制安全系統(tǒng)的總擁有成本。

　　6.防火墻的不足

　　雖然防火墻是目前保護(hù)網(wǎng)絡(luò)免遭黑客襲擊的有效手段，但也有明顯不足：無法防范通過防火墻以外的其它途徑的攻擊，不能防止來自內(nèi)部變節(jié)者和不經(jīng)心的用戶們帶來的威脅，也不能完全防止傳送已感染病毒的軟件或文伴，以及無法防范數(shù)據(jù)驅(qū)動(dòng)型的攻擊。

　　這樣各單位均通過其他手段進(jìn)行安全強(qiáng)化，如：入侵監(jiān)測、殺毒軟件、網(wǎng)絡(luò)監(jiān)控、網(wǎng)絡(luò)認(rèn)證等。

　　雖然從理論上看，防火墻處于網(wǎng)絡(luò)安全的最底層，負(fù)責(zé)網(wǎng)絡(luò)間的安全認(rèn)證與傳輸，但隨著網(wǎng)絡(luò)安全技術(shù)的整體發(fā)展和網(wǎng)絡(luò)應(yīng)用的不斷變化，現(xiàn)代防火墻技術(shù)已經(jīng)逐步走向網(wǎng)絡(luò)層之外的其他安全層次。不僅要完成傳統(tǒng)防火墻的過濾任務(wù)，同時(shí)還能為各種網(wǎng)絡(luò)應(yīng)用提供相應(yīng)的安全服務(wù)。另外還有多種防火墻產(chǎn)品正朝著數(shù)據(jù)安全與用戶認(rèn)證、防止病毒與黑客侵入等方向發(fā)展。

　　三、結(jié)束語

　　隨著事業(yè)的發(fā)展，各單位均意識(shí)到網(wǎng)絡(luò)安全的重要，逐步加強(qiáng)了網(wǎng)絡(luò)的監(jiān)管與防護(hù)工作，在備自的網(wǎng)絡(luò)邊界架設(shè)防火墻，定制策略進(jìn)行邊界防護(hù)，防止外部網(wǎng)絡(luò)對(duì)內(nèi)部網(wǎng)絡(luò)的攻擊，起到一定的隔離作用。但是網(wǎng)絡(luò)的安全、設(shè)備的安全不是單純的增加設(shè)備或是安裝軟件就能萬事無憂了，更重要的還是使用人員的意識(shí)和素質(zhì)，對(duì)于網(wǎng)絡(luò)安全來說，采取手段是必要的，但更重要的是人員的管理。

　　防火墻技術(shù)論文三：

　　1 概述

　　防火墻是網(wǎng)絡(luò)安全的第一道門戶，可以實(shí)現(xiàn)內(nèi)部網(wǎng)(信任網(wǎng)絡(luò))和外部不可信任網(wǎng)絡(luò)之間，或者內(nèi)部不同網(wǎng)絡(luò)安全區(qū)域之間的隔離與訪問控制，保證網(wǎng)絡(luò)系統(tǒng)及網(wǎng)絡(luò)服務(wù)的可用性。狹義的防火墻是指安裝了防火墻的軟件或路由器系統(tǒng)，而廣義的防火墻還包括整個(gè)網(wǎng)絡(luò)的安全策略和安全行為。防火墻一詞來自建筑物中的同名機(jī)構(gòu)，從字面意思上說，它可以防止火災(zāi)從建筑物的一部分蔓延到其他部分。Internet防火墻也要起到同樣的作用，防止Internet上的不安全因素蔓延到自己企業(yè)或組織的內(nèi)部網(wǎng)。

　　2 防火墻功能

　　本質(zhì)上來講，防火墻被認(rèn)為是兩個(gè)網(wǎng)絡(luò)間的隔斷，只允許所選定的一些形式的通信通過。防火墻另外一個(gè)重要特征是它自身抵抗攻擊的能力：防火墻自身應(yīng)當(dāng)不易被攻入，因?yàn)楣ト敕阑饓徒o攻擊者進(jìn)入內(nèi)部網(wǎng)一個(gè)立足點(diǎn)。從安全需求來看，理想的防火墻應(yīng)具備以下功能：

　　1)能夠分析進(jìn)出網(wǎng)絡(luò)的數(shù)據(jù)。

　　2)能夠通過識(shí)別、認(rèn)證和授權(quán)對(duì)進(jìn)出網(wǎng)絡(luò)的行為進(jìn)行訪問控制。

　　3)能夠封堵安全策略禁止的業(yè)務(wù)。

　　4)能夠?qū)徲?jì)跟蹤通過的信息內(nèi)容和活動(dòng)。

　　5)能夠?qū)W(wǎng)絡(luò)入侵行為進(jìn)行檢測和報(bào)警。

　　6)能夠?qū)π枰Ｃ艿男畔⑦M(jìn)行授權(quán)的加密和解密。

　　7)能夠?qū)邮盏降臄?shù)據(jù)進(jìn)行完整性校驗(yàn)。

　　通過選擇優(yōu)秀的防火墻產(chǎn)品，制定合理的安全策略，內(nèi)部網(wǎng)絡(luò)可以在很大程度上避免受到攻擊。但是需要指出的是，當(dāng)前流行的許多錯(cuò)誤概念和觀點(diǎn)經(jīng)常誤導(dǎo)用戶。那就是過分夸大某些產(chǎn)品的功能，認(rèn)為所有的網(wǎng)絡(luò)安全問題可以通過簡單地配置防火墻來達(dá)到。雖然當(dāng)單位將其網(wǎng)絡(luò)互聯(lián)時(shí)，防火墻是網(wǎng)絡(luò)安全的重要一環(huán)，但并非全部。許多危險(xiǎn)是在防火墻能力范圍之外的。

　　3 防火墻的結(jié)構(gòu)

　　3.1 包過濾性防火墻

　　說明：對(duì)進(jìn)出內(nèi)部網(wǎng)絡(luò)的所有信息進(jìn)行分析，并按照一定的安全策略對(duì)進(jìn)出內(nèi)部網(wǎng)絡(luò)的信息進(jìn)行限制。

　　優(yōu)點(diǎn)：處理速度快、費(fèi)用低、對(duì)用戶透明。

　　缺點(diǎn)：維護(hù)比較困難，只能阻止少部分IP欺騙，不支持有效地用戶認(rèn)證，日志功能有限。過濾規(guī)則增加會(huì)大大降低吞吐量，無法對(duì)信息提供全面控制。

　　3.2 雙宿網(wǎng)關(guān)防火墻

　　說明：由一臺(tái)至少裝有兩塊網(wǎng)卡的堡壘主機(jī)作為防火墻，位于內(nèi)外網(wǎng)絡(luò)之間，分別與內(nèi)外網(wǎng)絡(luò)相離，實(shí)現(xiàn)物理上的隔開。服務(wù)方式，一是用戶直接登錄到雙宿主機(jī)上，二是在雙宿主機(jī)運(yùn)行代理服務(wù)器。

　　優(yōu)點(diǎn)：安全性比屏蔽路由器高。

　　缺點(diǎn)：入侵者一旦得到雙宿主機(jī)的訪問權(quán)，內(nèi)部網(wǎng)絡(luò)就會(huì)被入侵，因此需要具有強(qiáng)大的身份認(rèn)證系統(tǒng)，才能阻擋來自外部的不可信網(wǎng)絡(luò)的非法入侵。

　　3.3 屏蔽主機(jī)防火墻

　　說明：強(qiáng)迫所有的外部主機(jī)與一個(gè)堡壘主機(jī)相連接，不讓他們直接與內(nèi)部主機(jī)相連接。它是由包過濾路由器和堡壘主機(jī)組成的。

　　優(yōu)點(diǎn)：實(shí)現(xiàn)了網(wǎng)絡(luò)層安全和應(yīng)用層安全，因此安全等級(jí)比屏蔽路由器要高。

　　缺點(diǎn)：堡壘主機(jī)可能被繞過，堡壘主機(jī)與其他內(nèi)部主機(jī)之間沒有任何保護(hù)網(wǎng)絡(luò)安全的物質(zhì)存在，一旦被攻破，內(nèi)網(wǎng)就將完全暴露。

　　3.4 屏蔽子網(wǎng)防火墻

　　說明：用了兩個(gè)屏蔽路由器和一個(gè)堡壘主機(jī)，也稱為“單DMZ”防火墻結(jié)構(gòu)。

　　優(yōu)點(diǎn)：在定義了“非軍事區(qū)(DMZ)”網(wǎng)絡(luò)后，它支持網(wǎng)絡(luò)層和應(yīng)用層安全功能，這也是最安全的防火墻系統(tǒng)。

　　缺點(diǎn)：通常情況下的屏蔽子網(wǎng)防火墻比較小，處于internet

　　和內(nèi)部網(wǎng)絡(luò)之間。一般情況下，將其配置成使用internet和內(nèi)部網(wǎng)絡(luò)系統(tǒng)對(duì)其訪問會(huì)受限制的系統(tǒng)，例如：堡壘主機(jī)、信息服務(wù)器、modem組以及其他公用服務(wù)器。

　　3.5 其他防火墻結(jié)構(gòu)

　　在實(shí)際應(yīng)用中，經(jīng)常在前四種基本結(jié)構(gòu)的基礎(chǔ)上進(jìn)行組合。

　　1)合并“非軍事區(qū)”的外部路由器和堡壘主機(jī)結(jié)構(gòu)(也是單DMZ結(jié)構(gòu))：由雙穴堡壘主機(jī)執(zhí)行原來外部路由器的功能，但會(huì)缺乏專用路由器的靈活性和性能，出了需注意保護(hù)堡壘主機(jī)外，與屏蔽子網(wǎng)防火墻結(jié)構(gòu)相比沒有明顯弱點(diǎn)。

　　2)合并內(nèi)部路由器和堡壘主機(jī)結(jié)構(gòu)(也是單DMZ)：這種結(jié)構(gòu)并不提倡，因?yàn)橐坏┍局鳈C(jī)被入侵，內(nèi)部網(wǎng)絡(luò)沒有安全保護(hù)。

　　3)合并DMZ的內(nèi)部路由器和外部路由器結(jié)構(gòu)：只有當(dāng)擁有功能強(qiáng)大的路由器的時(shí)候，才考慮合并內(nèi)、外路由器。這種結(jié)構(gòu)與屏蔽主機(jī)結(jié)構(gòu)一樣，路由器容易受到傷害。

　　4)兩個(gè)堡壘主機(jī)和兩個(gè)非軍事結(jié)構(gòu)：也就是使用兩臺(tái)雙穴主機(jī)，設(shè)立兩個(gè)非軍事區(qū)，從而將網(wǎng)絡(luò)分成內(nèi)網(wǎng)、外網(wǎng)、內(nèi)DMZ、外DMZ四個(gè)部分。通常將不是很機(jī)密的服務(wù)器放在內(nèi)DMZ網(wǎng)絡(luò)上，有機(jī)密信息的敏感主機(jī)放在內(nèi)部網(wǎng)絡(luò)中。另外值得一提的是，在這種結(jié)構(gòu)中，可以在外部DMZ放置一些公共信息服務(wù)主機(jī)(如FTP、WWW)，而堡壘主機(jī)對(duì)這些主機(jī)不予信任，這類主機(jī)稱為“犧牲主機(jī)”。