防火墻技術(shù)技術(shù)論文

　　防火墻技術(shù)作為時(shí)下比較成熟的一種網(wǎng)絡(luò)安全技術(shù)，其安全性直接關(guān)系到用戶的切身利益。學(xué)習(xí)啦小編整理的防火墻技術(shù)技術(shù)論文，希望你能從中得到感悟!

　　防火墻技術(shù)技術(shù)論文篇一

　　淺析防火墻技術(shù)

　　【摘要】防火墻技術(shù)作為時(shí)下比較成熟的一種網(wǎng)絡(luò)安全技術(shù)，其安全性直接關(guān)系到用戶的切身利益。隨著計(jì)算機(jī)技術(shù)和網(wǎng)絡(luò)技術(shù)的發(fā)展，計(jì)算機(jī)網(wǎng)絡(luò)給人們帶來了很多便利，于此同時(shí)網(wǎng)絡(luò)安全的問題也伴隨著網(wǎng)絡(luò)技術(shù)的發(fā)展而日趨嚴(yán)重。使用防火墻能很好的提高系統(tǒng)的安全性，減少系統(tǒng)受到網(wǎng)絡(luò)安全方面的威脅。在現(xiàn)在的計(jì)算機(jī)時(shí)代，網(wǎng)絡(luò)信息的安全越顯得重要。而對(duì)防火墻技術(shù)的要求也會(huì)越來越高。

　　【關(guān)鍵詞】防火墻;網(wǎng)絡(luò)安全;網(wǎng)絡(luò)技術(shù)

　　為了解決互聯(lián)網(wǎng)時(shí)代個(gè)人網(wǎng)絡(luò)安全的問題，近年來新興了防火墻技術(shù)。防火墻具有很強(qiáng)的實(shí)用性和針對(duì)性，它為個(gè)人上網(wǎng)用戶提供了完整的網(wǎng)絡(luò)安全解決方案，可以有效地控制個(gè)人電腦用戶信息在互聯(lián)網(wǎng)上的收發(fā)。

　　用戶可以根據(jù)自己的需要，通過設(shè)定一些參數(shù)，從而達(dá)到控制本機(jī)與互聯(lián)網(wǎng)之間的信息交流阻止惡性信息對(duì)本機(jī)的攻擊而且防火墻能夠?qū)崟r(shí)記錄其它系統(tǒng)試圖對(duì)本機(jī)系統(tǒng)的訪問，使計(jì)算機(jī)在連接到互聯(lián)網(wǎng)的時(shí)候避免受到網(wǎng)絡(luò)攻擊和資料泄漏的安全威脅。

　　一套完整的防火墻系統(tǒng)通常是由屏蔽路由器和代理服務(wù)器組成。屏蔽路由器是一個(gè)多端口的IP路由器，它通過對(duì)每一個(gè)到來的IP包依據(jù)組規(guī)則進(jìn)行檢查來判斷是否對(duì)之進(jìn)行轉(zhuǎn)發(fā)。屏蔽路由器從包頭取得信息。代理服務(wù)器是防火墻中的一個(gè)服務(wù)器進(jìn)程，它能夠代替網(wǎng)絡(luò)用戶完成特定的TCP/TP功能。一個(gè)代理服務(wù)器本質(zhì)上是一個(gè)應(yīng)用層的網(wǎng)關(guān)，一個(gè)為特定網(wǎng)絡(luò)應(yīng)用而連接兩個(gè)網(wǎng)絡(luò)的網(wǎng)關(guān)。代理服務(wù)器要求用戶提供其要訪問的遠(yuǎn)程主機(jī)名。當(dāng)用戶答復(fù)并提供了正確的用戶身份及認(rèn)證信息后，代理服務(wù)器連通遠(yuǎn)程主機(jī)，為兩個(gè)通信點(diǎn)充當(dāng)中繼。整個(gè)過程可以對(duì)用戶完全透明。用戶提供的用戶身份及認(rèn)證信息可用于用戶級(jí)的認(rèn)證。最簡單的情況是，它只由用戶標(biāo)識(shí)和口令構(gòu)成。但是，如果防火墻是通過Internet可訪問的，應(yīng)推薦用戶使用更強(qiáng)的認(rèn)證機(jī)制。

　　當(dāng)建設(shè)你的堡壘主機(jī)時(shí)要特別小心。堡壘主機(jī)的定義就是可公共訪問的設(shè)備。當(dāng)Internet用戶企圖訪問你網(wǎng)絡(luò)上的資源時(shí)，首先進(jìn)入的機(jī)器就是堡壘主機(jī)。因?yàn)楸局鳈C(jī)是直接連接到Internet上的，其上面的所有信息都暴露在公網(wǎng)之上。這種高度地暴露規(guī)定了硬件和軟件的配置。堡壘主機(jī)就好像是在軍事基地上的警衛(wèi)一樣。警衛(wèi)必須檢查每個(gè)人的身份來確定他們是否可以進(jìn)入基地及可以訪問基地中的什么地方。警衛(wèi)還經(jīng)常準(zhǔn)備好強(qiáng)制阻止進(jìn)入。同樣地，堡壘主機(jī)必須檢查所有進(jìn)入的流量并強(qiáng)制執(zhí)行在安全策略里所指定的規(guī)則。它們還必須準(zhǔn)備好對(duì)付從外部來的攻擊和可能來自內(nèi)部的資源。堡壘主機(jī)還有日志記錄及警報(bào)的特性來阻止攻擊。有時(shí)檢測到一個(gè)威脅時(shí)也會(huì)采取行動(dòng)。

　　當(dāng)構(gòu)造防火墻設(shè)備時(shí)，經(jīng)常要遵循下面兩個(gè)主要的概念。第一，保持設(shè)計(jì)的簡單性。第二，要計(jì)劃好一旦防火墻被滲透應(yīng)該怎么辦。

　　保持設(shè)計(jì)的簡單性。一個(gè)黑客滲透系統(tǒng)最常見的方法就是利用安裝在堡壘主機(jī)上不注意的組件。建立你的堡壘主機(jī)時(shí)要盡可能使用較小的組件，無論硬件還是軟件。堡壘主機(jī)的建立只需提供防火墻功能。在防火墻主機(jī)上不要安裝像WEB服務(wù)的應(yīng)用程序服務(wù)。要?jiǎng)h除堡壘主機(jī)上所有不必需的服務(wù)或守護(hù)進(jìn)程。在堡壘主機(jī)上運(yùn)行少量的服務(wù)給潛在的黑客很少的機(jī)會(huì)穿過防火墻。

　　安全，通常是指只有被授權(quán)的人才能使用其相應(yīng)資源的一種機(jī)制。我國對(duì)于計(jì)算機(jī)安全的定義是：“計(jì)算機(jī)系統(tǒng)的硬件、軟件、數(shù)據(jù)受到保護(hù)，不因偶然的或惡意的原因而遭到破壞、更改、顯露，系統(tǒng)能連續(xù)正常運(yùn)行。”

　　從技術(shù)講，計(jì)算機(jī)安全分為3種：

　　1.實(shí)體的安全。它保證硬件和軟件本身的安全。

　　2.運(yùn)行環(huán)境的安全性。它保證計(jì)算機(jī)能在良好的環(huán)境里持續(xù)工作。

　　3.信息的安全性。它保障信息不會(huì)被非法閱讀、修改和泄漏。

　　隨著網(wǎng)絡(luò)的發(fā)展，計(jì)算機(jī)的安全問題也延伸到了計(jì)算機(jī)網(wǎng)絡(luò)。 面對(duì)這一系列的安全性問題的解決，我們就要采用防火墻來進(jìn)行抵御。然而最簡單的防火墻配置，就是直接在內(nèi)部網(wǎng)和外部網(wǎng)之間加裝一個(gè)包過濾路由器或者應(yīng)用網(wǎng)關(guān)。為更好地實(shí)現(xiàn)網(wǎng)絡(luò)安全，有時(shí)還要將幾種防火墻技術(shù)組合起來構(gòu)建防火墻系統(tǒng)。目前比較流行的有以下三種防火墻配置方案。

　　1.雙宿主機(jī)網(wǎng)關(guān)(Dual Homed Gateway)

　　這種配置是用一臺(tái)裝有兩個(gè)網(wǎng)絡(luò)適配器的雙宿主機(jī)做防火墻。雙宿主機(jī)用兩個(gè)網(wǎng)絡(luò)適配器分別連接兩個(gè)網(wǎng)絡(luò)，又稱堡壘主機(jī)。堡壘主機(jī)上運(yùn)行著防火墻軟件(通常是代理服務(wù)器)，可以轉(zhuǎn)發(fā)應(yīng)用程序，提供服務(wù)等。雙宿主機(jī)網(wǎng)關(guān)有一個(gè)致命弱點(diǎn)，一旦入侵者侵入堡壘主機(jī)并使該主機(jī)只具有路由器功能，則任何網(wǎng)上用戶均可以隨便訪問有保護(hù)的內(nèi)部網(wǎng)絡(luò)

　　2.屏蔽主機(jī)網(wǎng)關(guān)(Screened Host Gateway)

　　屏蔽主機(jī)網(wǎng)關(guān)易于實(shí)現(xiàn)，安全性好，應(yīng)用廣泛。它又分為單宿堡壘主機(jī)和雙宿堡壘主機(jī)兩種類型。先來看單宿堡壘主機(jī)類型。一個(gè)包過濾路由器連接外部網(wǎng)絡(luò)，同時(shí)一個(gè)堡壘主機(jī)安裝在內(nèi)部網(wǎng)絡(luò)上。堡壘主機(jī)只有一個(gè)網(wǎng)卡，與內(nèi)部網(wǎng)絡(luò)連接。通常在路由器上設(shè)立過濾規(guī)則，并使這個(gè)單宿堡壘主機(jī)成為從Internet惟一可以訪問的主機(jī)，確保了內(nèi)部網(wǎng)絡(luò)不受未被授權(quán)的外部用戶的攻擊。而Intranet內(nèi)部的客戶機(jī)，可以受控制地通過屏蔽主機(jī)和路由器訪問Internet。

　　雙宿堡壘主機(jī)型與單宿堡壘主機(jī)型的區(qū)別是，堡壘主機(jī)有兩塊網(wǎng)卡，一塊連接內(nèi)部網(wǎng)絡(luò)，一塊連接包過濾路由器。雙宿堡壘主機(jī)在應(yīng)用層提供代理服務(wù)，與單宿型相比更加安全。

　　3.屏蔽子網(wǎng)(Screened Subnet)

　　這種方法是在Intranet和Internet之間建立一個(gè)被隔離的子網(wǎng)，用兩個(gè)包過濾路由器將這一子網(wǎng)分別與Intranet和Internet分開。兩個(gè)包過濾路由器放在子網(wǎng)的兩端，在子網(wǎng)內(nèi)構(gòu)成一個(gè)“緩沖地帶”，兩個(gè)路由器一個(gè)控制Intranet 數(shù)據(jù)流，另一個(gè)控制Internet數(shù)據(jù)流，Intranet和Internet均可訪問屏蔽子網(wǎng)，但禁止它們穿過屏蔽子網(wǎng)通信?？筛鶕?jù)需要在屏蔽子網(wǎng)中安裝堡壘主機(jī)，為內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)的互相訪問提供代理服務(wù)，但是來自兩網(wǎng)絡(luò)的訪問都必須通過兩個(gè)包過濾路由器的檢查。對(duì)于向Internet公開的服務(wù)器，像WWW、FTP、Mail等Internet服務(wù)器也可安裝在屏蔽子網(wǎng)內(nèi)，這樣無論是外部用戶，還是內(nèi)部用戶都可訪問。這種結(jié)構(gòu)的防火墻安全性能高，具有很強(qiáng)的抗攻擊能力，但需要的設(shè)備多，造價(jià)高。

　　不論從功能還是從性能來講，防火墻產(chǎn)品的演進(jìn)并不會(huì)放慢速度，反而產(chǎn)品的豐富程度和推出速度會(huì)不斷的加快，這也反映了安全需求不斷上升的一種趨勢，而相對(duì)于產(chǎn)品本身某個(gè)方面的演進(jìn)，更值得我們關(guān)注的還是平臺(tái)體系結(jié)構(gòu)的發(fā)展以及安全產(chǎn)品標(biāo)準(zhǔn)的發(fā)布，這些變化不僅僅關(guān)系到某個(gè)環(huán)境的某個(gè)產(chǎn)品的應(yīng)用情況，更關(guān)系到信息安全領(lǐng)域的未來。

　　參考文獻(xiàn)

　　[1]石志國，薛為民，尹浩.計(jì)算機(jī)網(wǎng)絡(luò)安全教程[M].北京：清華大學(xué)出版社，2011.

　　[2]石志國，薛為民，尹浩.計(jì)算機(jī)網(wǎng)絡(luò)安全教程實(shí)驗(yàn)指導(dǎo)[M].北京：清華大學(xué)出版社，2011.

　　[3]李太君，林元乖，張晉.計(jì)算機(jī)網(wǎng)絡(luò)[M].北京：清華大學(xué)出版社，2009.

　　防火墻技術(shù)技術(shù)論文篇二

　　防火墻技術(shù)研究

　　摘 要：隨著網(wǎng)絡(luò)安全問題日益嚴(yán)重，網(wǎng)絡(luò)安全產(chǎn)品也被人們重視起來。防火墻作為最早出現(xiàn)的網(wǎng)絡(luò)安全產(chǎn)品和使用量最大的安全產(chǎn)品，也受到用戶和研發(fā)機(jī)構(gòu)的青睞。對(duì)防火墻的原理以及分類、作用進(jìn)行了詳細(xì)的介紹，旨在為選擇防火墻的用戶提供借鑒。

　　關(guān)鍵詞：網(wǎng)絡(luò)安全;防火墻

　　中圖分類號(hào)：TP393.08 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1672-3198(2007)09-0240-02

　　1 從軟、硬件形式上分

　　如果從防火墻的軟、硬件形式來分的話，防火墻可以分為軟件防火墻和硬件防火墻以及芯片級(jí)防火墻。

　　(1)軟件防火墻。

　　軟件防火墻運(yùn)行于特定的計(jì)算機(jī)上，它需要客戶預(yù)先安裝好的計(jì)算機(jī)操作系統(tǒng)的支持，一般來說這臺(tái)計(jì)算機(jī)就是整個(gè)網(wǎng)絡(luò)的網(wǎng)關(guān)。俗稱“個(gè)人防火墻”。軟件防火墻就像其它的軟件產(chǎn)品一樣需要先在計(jì)算機(jī)上安裝并做好配置才可以使用。防火墻廠商中做網(wǎng)絡(luò)版軟件防火墻最出名的莫過于Checkpoint。使用這類防火墻，需要網(wǎng)管對(duì)所工作的操作系統(tǒng)平臺(tái)比較熟悉。

　　(2)硬件防火墻。

　　這里說的硬件防火墻是指“所謂的硬件防火墻”。之所以加上“所謂”二字是針對(duì)芯片級(jí)防火墻說的了。它們最大的差別在于是否基于專用的硬件平臺(tái)。目前市場上大多數(shù)防火墻都是這種所謂的硬件防火墻，他們都基于PC架構(gòu)，就是說，它們和普通的家庭用的PC沒有太大區(qū)別。在這些PC架構(gòu)計(jì)算機(jī)上運(yùn)行一些經(jīng)過裁剪和簡化的操作系統(tǒng)，最常用的有老版本的Unix、Linux和FreeBSD系統(tǒng)。 值得注意的是，由于此類防火墻采用的依然是別人的內(nèi)核，因此依然會(huì)受到OS(操作系統(tǒng))本身的安全性影響。

　　(3)芯片級(jí)防火墻。

　　芯片級(jí)防火墻基于專門的硬件平臺(tái)，沒有操作系統(tǒng)。專有的ASIC芯片促使它們比其他種類的防火墻速度更快，處理能力更強(qiáng)，性能更高。做這類防火墻最出名的廠商有NetScreen、FortiNet、Cisco等。這類防火墻由于是專用OS(操作系統(tǒng))，因此防火墻本身的漏洞比較少，不過價(jià)格相對(duì)比較高昂。

　　2 從防火墻技術(shù)分

　　防火墻技術(shù)雖然出現(xiàn)了許多，但總體來講可分為“包過濾型”和“應(yīng)用代理型”兩大類。前者以以色列的Checkpoint防火墻和美國Cisco公司的PIX防火墻為代表，后者以美國NAI公司的Gauntlet防火墻為代表。

　　(1)包過濾(Packet filtering)型。

　　包過濾方式是一種通用、廉價(jià)和有效的安全手段。之所以通用，是因?yàn)樗皇轻槍?duì)各個(gè)具體的網(wǎng)絡(luò)服務(wù)采取特殊的處理方式，適用于所有網(wǎng)絡(luò)服務(wù);之所以廉價(jià)，是因?yàn)榇蠖鄶?shù)路由器都提供數(shù)據(jù)包過濾功能，所以這類防火墻多數(shù)是由路由器集成的;之所以有效，是因?yàn)樗芎艽蟪潭壬蠞M足了絕大多數(shù)企業(yè)安全要求。

　　在整個(gè)防火墻技術(shù)的發(fā)展過程中，包過濾技術(shù)出現(xiàn)了兩種不同版本，稱為“第一代靜態(tài)包過濾”和“第二代動(dòng)態(tài)包過濾”。

　　包過濾方式的優(yōu)點(diǎn)是不用改動(dòng)客戶機(jī)和主機(jī)上的應(yīng)用程序，因?yàn)樗ぷ髟诰W(wǎng)絡(luò)層和傳輸層，與應(yīng)用層無關(guān)。但其弱點(diǎn)也是明顯的：過濾判別的依據(jù)只是網(wǎng)絡(luò)層和傳輸層的有限信息，因而各種安全要求不可能充分滿足;在許多過濾器中，過濾規(guī)則的數(shù)目是有限制的，且隨著規(guī)則數(shù)目的增加，性能會(huì)受到很大地影響;由于缺少上下文關(guān)聯(lián)信息，不能有效地過濾如UDP、RPC(遠(yuǎn)程過程調(diào)用)一類的協(xié)議;另外，大多數(shù)過濾器中缺少審計(jì)和報(bào)警機(jī)制，它只能依據(jù)包頭信息，而不能對(duì)用戶身份進(jìn)行驗(yàn)證，很容易受到“地址欺騙型”攻擊。對(duì)安全管理人員素質(zhì)要求高，建立安全規(guī)則時(shí)，必須對(duì)協(xié)議本身及其在不同應(yīng)用程序中的作用有較深入的理解。因此，過濾器通常是和應(yīng)用網(wǎng)關(guān)配合使用，共同組成防火墻系統(tǒng)。

　　(2)應(yīng)用代理(Application Proxy)型。

　　應(yīng)用代理型防火墻是工作在OSI的最高層，即應(yīng)用層。其特點(diǎn)是完全“阻隔”了網(wǎng)絡(luò)通信流，通過對(duì)每種應(yīng)用服務(wù)編制專門的代理程序，實(shí)現(xiàn)監(jiān)視和控制應(yīng)用層通信流的作用。其典型網(wǎng)絡(luò)結(jié)構(gòu)如圖所示。

　　在代理型防火墻技術(shù)的發(fā)展過程中，它也經(jīng)歷了兩個(gè)不同的版本：第一代應(yīng)用網(wǎng)關(guān)型代理防火和第二代自適應(yīng)代理防火墻。

　　代理類型防火墻的最突出的優(yōu)點(diǎn)就是安全。由于它工作于最高層，所以它可以對(duì)網(wǎng)絡(luò)中任何一層數(shù)據(jù)通信進(jìn)行篩選保護(hù)，而不是像包過濾那樣，只是對(duì)網(wǎng)絡(luò)層的數(shù)據(jù)進(jìn)行過濾。

　　另外代理型防火墻采取是一種代理機(jī)制，它可以為每一種應(yīng)用服務(wù)建立一個(gè)專門的代理，所以內(nèi)外部網(wǎng)絡(luò)之間的通信不是直接的，而都需先經(jīng)過代理服務(wù)器審核，通過后再由代理服務(wù)器代為連接，根本沒有給內(nèi)、外部網(wǎng)絡(luò)計(jì)算機(jī)任何直接會(huì)話的機(jī)會(huì)，從而避免了入侵者使用數(shù)據(jù)驅(qū)動(dòng)類型的攻擊方式入侵內(nèi)部網(wǎng)。

　　代理防火墻的最大缺點(diǎn)是速度相對(duì)比較慢，當(dāng)用戶對(duì)內(nèi)外部網(wǎng)絡(luò)網(wǎng)關(guān)的吞吐量要求比較高時(shí)，代理防火墻就會(huì)成為內(nèi)外部網(wǎng)絡(luò)之間的瓶頸。那因?yàn)榉阑饓π枰獮椴煌木W(wǎng)絡(luò)服務(wù)建立專門的代理服務(wù)，在自己的代理程序?yàn)閮?nèi)、外部網(wǎng)絡(luò)用戶建立連接時(shí)需要時(shí)間，所以給系統(tǒng)性能帶來了一些負(fù)面影響，但通常不會(huì)很明顯。

　　3 從防火墻結(jié)構(gòu)分

　　從防火墻結(jié)構(gòu)上分，防火墻主要有：單一主機(jī)防火墻、路由器集成式防火墻和分布式防火墻三種。

　　單一主機(jī)防火墻是最為傳統(tǒng)的防火墻，獨(dú)立于其它網(wǎng)絡(luò)設(shè)備，它位于網(wǎng)絡(luò)邊界。

　　這種防火墻其實(shí)與一臺(tái)計(jì)算機(jī)結(jié)構(gòu)差不多(如下圖)，同樣包括CPU、內(nèi)存、硬盤等基本組件，主板更是不能少的，且主板上也有南、北橋芯片。它與一般計(jì)算機(jī)最主要的區(qū)別就是一般防火墻都集成了兩個(gè)以上的以太網(wǎng)卡，因?yàn)樗枰B接一個(gè)以上的內(nèi)、外部網(wǎng)絡(luò)。其中的硬盤就是用來存儲(chǔ)防火墻所用的基本程序，如包過濾程序和代理服務(wù)器程序等，有的防火墻還把日志記錄也記錄在此硬盤上。雖然如此，但我們不能說它就與我們平常的PC機(jī)一樣，因?yàn)樗墓ぷ餍再|(zhì)，決定了它要具備非常高的穩(wěn)定性、實(shí)用性，具備非常高的系統(tǒng)吞吐性能。正因如此，看似與PC機(jī)差不多的配置，價(jià)格甚遠(yuǎn)。

　　隨著防火墻技術(shù)的發(fā)展及應(yīng)用需求的提高，原來作為單一主機(jī)的防火墻現(xiàn)在已發(fā)生了許多變化。最明顯的變化就是現(xiàn)在許多中、高檔的路由器中已集成了防火墻功能，還有的防火墻已不再是一個(gè)獨(dú)立的硬件實(shí)體，而是由多個(gè)軟、硬件組成的系統(tǒng)，這種防火墻，俗稱“分布式防火墻”。

　　原來單一主機(jī)的防火墻由于價(jià)格非常昂貴，僅有少數(shù)大型企業(yè)才能承受得起，為了降低企業(yè)網(wǎng)絡(luò)投資，現(xiàn)在許多中、高檔路由器中集成了防火墻功能。如Cisco IOS防火墻系列。但這種防火墻通常是較低級(jí)的包過濾型。這樣企業(yè)就不用再同時(shí)購買路由器和防火墻，大大降低了網(wǎng)絡(luò)設(shè)備購買成本。

　　分布式防火墻再也不只是位于網(wǎng)絡(luò)邊界，而是滲透于網(wǎng)絡(luò)的每一臺(tái)主機(jī)，對(duì)整個(gè)內(nèi)部網(wǎng)絡(luò)的主機(jī)實(shí)施保護(hù)。在網(wǎng)絡(luò)服務(wù)器中，通常會(huì)安裝一個(gè)用于防火墻系統(tǒng)管理軟件，在服務(wù)器及各主機(jī)上安裝有集成網(wǎng)卡功能的PCI防火墻卡 ，這樣一塊防火墻卡同時(shí)兼有網(wǎng)卡和防火墻的雙重功能。這樣一個(gè)防火墻系統(tǒng)就可以徹底保護(hù)內(nèi)部網(wǎng)絡(luò)。各主機(jī)把任何其它主機(jī)發(fā)送的通信連接都視為“不可信”的，都需要嚴(yán)格過濾。而不是傳統(tǒng)邊界防火墻那樣，僅對(duì)外部網(wǎng)絡(luò)發(fā)出的通信請(qǐng)求“不信任”。

　　4 按防火墻的應(yīng)用部署位置分

　　按防火墻的應(yīng)用部署位置分，可以分為邊界防火墻、個(gè)人防火墻和混合防火墻三大類。

　　邊界防火墻是最為傳統(tǒng)的，它們于內(nèi)、外部網(wǎng)絡(luò)的邊界，所起的作用的對(duì)內(nèi)、外部網(wǎng)絡(luò)實(shí)施隔離，保護(hù)邊界內(nèi)部網(wǎng)絡(luò)。這類防火墻一般都屬于硬件類型，價(jià)格較貴，性能較好。

　　個(gè)人防火墻安裝于單臺(tái)主機(jī)中，防護(hù)的也只是單臺(tái)主機(jī)。這類防火墻應(yīng)用于廣大的個(gè)人用戶，通常為軟件防火墻，價(jià)格最便宜，性能也最差。

　　混合式防火墻可以說就是“分布式防火墻”或者“嵌入式防火墻”，它是一整套防火墻系統(tǒng)，由若干個(gè)軟、硬件組件組成，分布于內(nèi)、外部網(wǎng)絡(luò)邊界和內(nèi)部各主機(jī)之間，既對(duì)內(nèi)、外部網(wǎng)絡(luò)之間通信進(jìn)行過濾，又對(duì)網(wǎng)絡(luò)內(nèi)部各主機(jī)間的通信進(jìn)行過濾。它屬于最新的防火墻技術(shù)之一，性能最好，價(jià)格也最貴。

　　5 按防火墻性能分

　　按防火墻的性能來分可以分為百兆級(jí)防火墻和千兆級(jí)防火墻兩類。

　　因?yàn)榉阑饓νǔＮ挥诰W(wǎng)絡(luò)邊界，所以不可能只是十兆級(jí)的。這主要是指防火的通道帶寬(Bandwidth)，或者說是吞吐率。當(dāng)然通道帶寬越寬，性能越高，這樣的防火墻因包過濾或應(yīng)用代理所產(chǎn)生的延時(shí)也越小，對(duì)整個(gè)網(wǎng)絡(luò)通信性能的影響也就越小。

　　雖然防火墻是目前保護(hù)網(wǎng)絡(luò)免遭黑客襲擊的有效手段，但也有明顯不足：無法防范通過防火墻以外的其它途徑的攻擊，不能防止來自內(nèi)部變節(jié)者和不經(jīng)心的用戶們帶來的威脅，也不能完全防止傳送已感染病毒的軟件或文件，以及無法防范數(shù)據(jù)驅(qū)動(dòng)型的攻擊。

　　參考文獻(xiàn)

　　[1]孫建華等.網(wǎng)絡(luò)系統(tǒng)管理-Linux實(shí)訓(xùn)篇[M].北京：人民郵電出版社，2003，(10).

　　[2][美]Terry William Ogletree.防火墻原理與實(shí)施[M].北京：電子工業(yè)出版社，2001，(2).

　　[3]鄧亞平.計(jì)算機(jī)網(wǎng)絡(luò)安全[M].北京：人民郵電出版社，2004，(9).

　　
看了“防火墻技術(shù)技術(shù)論文”的人還看：

1.防火墻技術(shù)論文三篇

2.linux防火墻技術(shù)論文

3.安全防范技術(shù)論文

4.網(wǎng)絡(luò)安全技術(shù)論文三篇

5.計(jì)算機(jī)專業(yè)畢業(yè)論文:淺析網(wǎng)絡(luò)安全技術(shù)