防火墙在网络中的应用精选(九篇)

前言：一篇好文章的诞生，需要你不断地搜集资料、整理思路，本站小编为你收集了丰富的防火墙在网络中的应用主题范文，仅供参考，欢迎阅读并收藏。

第1篇：防火墙在网络中的应用范文

关键词：防火墙；包过滤；校园网络；网络安全

中图分类号：TP393.08

针对主干网的DDoS攻击、针对特定端口的大范围网络扫描与利用开放式递归DNS 查询进行流量放大攻击等事件依然是主干网需要时刻警惕的安全问题。由于高校集中高密度的学生人群和学校本身的特殊性质，校园网络安全的问题需要引起社会的关注。

1 网络安全问题

360网站安全部门总监赵武在2013中国互联网大会表示360公司在2012年做统计的时候发现互联网80%的网站存在高危漏洞。到2013年360公司在高考期间做了一个中国高校网站的检测报告，其实也证明超过95%的高校网站曾经被篡改过。国内的网站安全器，政府和高校的得分情况是最低。针对这一问题，美国联邦政府已考虑将其活动独立于当前互联网中，而完全重新构建在虚拟专用网络中。但对于国内外的校园网络来说，由于其需要使学生学会应用互联网并从互联网中取得新知识，其不能将自身完全脱离互联网。但另一方面，当前校园网络对安全问题的重视性相比许多大型商业公司十分不够，这一方面是由于网络安全本身的复杂性，许多学校没有足够的技术能力解决这一问题，另一方面是由于购买专业的防火墙产品所需要的经费不足。因此更有必要探索更为合适的防火墙解决策略，而构建防火墙特别是针对常见的网络安全问题制定安全策略来切实保护网络安全至关重要。

2 防火墙实现及策略定义

2.1 防火墙配置环境。校园网络环境与商业网络环境的一个显著区别是其有许多处于原始状态的未经设置的计算机用于教学目的，学生使用的计算机往往存在许多安全漏洞，但学生在上网时一般采用最直接和简单的方式连接到互联网。学生往往没有能力去快速配置其教学用计算机来获得一个安全的使用环境，这种缺少保护的方式和计算机环境正是黑客最喜欢攻击的目标。因此，减少遭受攻击的最简单的方式就是设置私有网络，通过防火墙访问互联网。这种地址转换方式隐藏了内部网络的结构，同时在校园网络公开地址不足时使用这种方式可以提供IP复用方式。同时，除了校园本身要设置中央防火墙外，内网也应架设独立的防火墙，这将作为其第一个进入的安全过滤点。这种防火墙配置方式相比于仅仅使用中央校园防火墙来说有更高的灵活性和更强保护能力。此外，因为这种内网的防火墙级别较低，针对出现的紧急问题相比于中央防火墙而言可以进行及时快速的防御和修复。为了实现这一目标，我们将通过装有Linux系统的主机上的ipchains这一包过滤软件来进行校园网络安全保护。这一软件由于是内置于linux系统中的，因此完全无需额外的购买费用，只需要单独使用一台电脑安装linux系统和双网卡。

2.2 防火墙的构建。首先，校内的某个计算机教室组成的局域网要连接到互联网中，那么可以构建一个双宿主机型Linux包过滤防火墙。Linux主机配备用于与互联网相连的网卡card0（具有公共网络地址202.101.1.2）和card1用于与局域网（c类私有地址192.168.1.0）相连。Linux系统自带有ipchains封包过滤软件，可以通过链（规则列表）实现对报文的管理。链主要包括输入链、输出链、转发链和用户定义链。对于从互联网进入局域校园网的报文来说，其首先进入输入链经过输入链包含的规则检查，被允许通过或拒绝通过，随后还要经过转发链和输出链的检查。同时还可以设定用户定义链来插入到这些链之间加强检查的力度。

2.3 防火墙配置策略。由于我们采用的是linux系统内置的ipchains包过滤软件，对于这种类型的防火墙主要有两种策略。第一种是首先拒绝所有报文通过，再规定可以通过的报文。第二种是先允许所有报文通过，再拒绝某些类型的报文通过。由于校园局域网主要是用于教学目的，其常用的软件和所需的功能对于教师而言十分熟悉，因此我们选择第一种策略。如此，链中包含的规则可以比较少，因此我们只要设定可以通过链的几种报文。下面我们将对防火墙策略进行设置。

首先刷新输入链、输出链和转发链即刷新所有的防火墙规则。随后可以设置默认的防火墙规则，这里我们允许所有报文的输入、输出和转发。接着设置本地环路规则，我们允许本地进程之间的报文可以任意通过。然后通过对输入、输出链指定规则防止IP欺骗报文，其设置如下：

/sbin/ipchains -A input -j DENY

- i card0 -s 192.168.1.1/24

/sbin/ip chains -A input -j DENY

-i card0 -d 192.168.1.1/24

/sbin/ip chains -A output -j DENY

- i card0 -s 192.168.1.1/24

/sbin/ip chains -A output -j DENY

-i card0 -d 192.168.1.1/24

/sbin/ipchinas -A input -j DENY

- i card0 -s 202.101.1.25/32

/sbin/ipchinas -A output -j DENY

- i card0 -d 202.101.1.25/32

随后我们禁止广播包：

/sbin/ipchains -A input -j DENY

- i card1 -s 255.255.255.255

/sbin/ipchains -A input -j DENY

- i card1 -d 0.0.0.0

/sbin/ipchains -A output -j DENY

- i card1 -s 240.0.0.0/3

最后转发内部所有的报文，并启动网络地址转换功能，即开启IP MASQ功能，这一规则定义是针对转发链进行的：

/sbin/ipchains -A forward -j ACCEPT

- i card0 -s 192.168.1.1/24

/sbin/ipchains -A forward -j ACCEPT

-i card0 -d 192.168.1.1/24

/sbin/ipchains -A forward -j MASQ

- i card1 -s 192.168.1.1/24

这一功能可以隐藏局域网的IP地址，即对于来自192.168.1.1/24网络中的所有报文流向card0的进行IP地址伪装。并实现局域网公用一个公有地址连接互联网的功能。通过上述步骤，便实现了基本的封包过滤防火墙设置。

3 结束语

（1）校园局域网络通过基于linux系统的ipchains防火墙连接互联网，通过使用IP MASQ网络地址转换服务功能不仅隐藏了内网的地址，同时还节省了学校宝贵的IP地址资源。（2）构建双宿主机型linux防火墙仅需一立的电脑，而无需额外购买昂贵的硬件防火墙，即可拥有具有强大功能和灵活性的封包过滤防火墙。这对于没有很高预算的学校来说十分合适。（3）合理的防火墙策略配置能够建立起灵活而有效的网络安全保护系统，无论从互联网进入校园局域网的报文会被检查，从校园网进入互联网的报文也会被检查。通过禁止IP欺骗、广播包和IP MASQ功能，有效地保护了网络的安全，实现了以防火墙为基础对内外网之间所有进出的流量进行检查的功能。

参考文献：

[1]马振晗，贾军保.密码学与网络安全[M].北京：清华大学出版社，2009.

[2]尧新远.计算机信息管理技术在网络安全中的应用[J].软件，2012（07）.

[3]张统豪.计算机信息管理技术在网络安全中的应用[J].计算机光盘软件与应用，2012（23）.

第2篇：防火墙在网络中的应用范文

防火墙的构成上主要包括3个部分, 即限制器、分离器和分析器。防火墙是用于计算机防病毒的硬件, 安装在互联网与内部网之间, 对互联网信息进入到内部网可以起到门户的作用, 对于不良信息进行阻隔, 可以起到降低内部网遭到病毒侵袭的发生率[1]。

可见, 防火墙技术事实上是隔离技术。如果外网信息传递中, 经过防火墙检测属于安全信息, 就可以允许进入到内部网络。防火墙是保证计算机安全运行环境的重要屏障。防火墙技术所发挥的功能具体如下。

1.1 防火墙技术对网络安全可以起到强化作用

防火墙技术对网络安全可以起到强化作用, 体现在防火墙的设计方案、口令等都是根据计算机网络的运行需要量身定做的。

安装防火墙后, 计算机可以过滤不安全信息, 使得网络环境更为安全。防火墙可以禁止网络数据信息系统 (Network File System;缩写:NFS) , 对网络起到一定的保护作用, 不良企图的分子就不会利用网络数据信息系统攻击内部网。防火墙还可以拒绝各种类型的数据块, 即网络中交换与传输的数据单元, 即为报文 (message) , 可以进行一次性发送, 由此提高了内网的安全性。

如果发现有不良信息, 还可以及时通知管理员, 由此可以降低自身的损失率。

1.2 防火墙技术可以避免内网信息出现泄露问题

防火墙技术可以将重点网段起到保护作用, 发挥隔离作用, 使得内网之间的访问受到限制。内网的访问人员得到有效控制, 对于经过审查后存在隐患的用户就可以通过防火墙技术进行隔离, 使得内网的数据信息更为安全[2]。

在内网中, 即便是不被人注意的细节也会引起不良用户的兴趣而发起攻击, 使得内网的数据信息泄露, 这是由于内网产生漏洞所导致的。

比如, Finger作为UNIX系统中的实用程序, 是用于查询用户的具体情况的。如果Finger显示了用户的真实姓名、访问的时间, 不良用户一旦获得这些信息后, 就会对UNIX系统的使用程度充分了解。在网络运行状态下, 不良用户就会对UNIX系统进行在线攻击。

防火墙技术的应用, 就可以避免这种网络攻击事件发生。域名系统 (Domain Name System;缩写DNS) 会被隐藏起来, 主机用户真实姓名以及IP地址都不是真实的, 不良用户即便攻击, 防火墙技术发挥作用, 使得没有授权的信息不会进入到网络环境中, 保护了网络环境, 网络安全性能有所提高[3]。

1.3 防火墙技术可以对网络访问的现象起到一定的监督控制作用

计算机安装防火墙后, 所有对主机的访问都要接受防火墙的审查, 在防火墙技术的使用中, 完整的访问记录会被制作出来。

如果有可疑的现象存在, 防火墙就会启动报警系统, 不良用户的IP地址提供出来, 包括各种记录的信息、网络活动状态都会接受审计, 而且还可以做出安全分析, 对于各种威胁也可以进行详细分析。通过使用防火墙技术, 就可以使得不良用户被抵挡在门外, 由此起到了预防隐患的作用[4]。

2 防火墙技术在计算机网络安全中的应用

2.1 采用防火墙技术对网络数据信息进行加密

采用防火墙技术对计算机数据信息实施保护, 就是通过数据信息加密的方法对数据信息实施保护。

在数据信息进行传输或者对数据信息存储的过程中, 就可以采用加密的形式, 以保证数据信息在传输的过程容易被识辨, 而且真实的信息被加密之后, 就会被错误的信息所覆盖, 不会被病毒所攻击而导致信息缺失或者被篡改, 由此降低了被网络病毒攻击的几率。

对数据信息采用防火墙技术实施保护, 所使用的密码是通过密码算法计算出来的, 这些密码可以是对称的, 也可以是不对称的。

对称密码所加密的数据信息, 加密的密码与解密的密码是相同的, 密码的安全度不是很高, 所以密码与数据信息的保密程度密切相关;不对称密码对数据信息加密所采用的密码与解密的密码不同, 而解密密码的安全度直接决定了数据信息的安全度[5], 所以不对称密码所发挥的保密作用会更好一些。

2.2 防火墙技术对域网系统安全运行提供保护

应用防火墙技术保护计算机网络, 是为了防止不良访问者攻击网络。防火墙安装在网络系统的外部, 阻止来自外部网络的病毒攻击, 由此维护了内部网络环境的安全。

防火墙技术重在保证信息安全, 是基于网络通信技术建立起来的。对于两个网络之间有不同的信任程度, 就可以使用防火墙这种防护设备, 由此避免了外来病毒的攻击[6]。

防火墙技术发挥作用, 可以避免非法用户访问, 确保网络处于安全稳定的运行状态, 维护了网络信息以及网络数据库信息。

当浏览网络信息的过程中有不良信息被拦截的提示的时候, 就意味着在网络上已经安装了防火墙, 对网络起到了安全保护的作用, 对不良信息进行了成功拦截。

防火墙技术的应用, 不仅可以发挥拦截信息的功能, 还会阻拦垃圾信息并对垃圾信息自动删除, 避免产生信息扰而无法发挥其作用的现象。

防火墙安装在局域网和互联网之间, 当信息在网络之间传输的时候, 防火墙就会检验信息, 对局域网系统运行实施了安全保护。

比如, 采用防火墙技术对校园网数据中心所接收的信息实时检测。对于要通过防火墙的病毒, 防火墙技术就可以发挥病毒检测作用, 对数据库中心进行防护。当数据库中心被攻击, 防火墙技术就可以在线检测, 有效地阻断网络型病毒的不良影响[7]。

3 结论

综上所述, 计算机网络是开放的空间, 在虚拟的网络空间中实现信息共享, 这就为网络型病毒的入侵提供了可利用的空间。

计算机网络运行中, 做好安全维护工作是非常必要的, 以在充分发挥计算机网络的作用的同时, 还可以提高信息传播质量。

计算机网络运行中, 由于安全维护不到位而存在问题, 就会给病毒以可乘之机, 使得病毒会通过网络运行中所存在的系统漏洞而入侵到计算机系统中。为了避免由此导致的严重后果, 就需要对网络型病毒进行分析, 对防火墙技术充分利用, 做好计算机网络的安全维护工作, 以避免计算机网络遭到威胁。

参考文献

[1]胡菊.计算机网络安全方面问题的分析[J].中国电子商情 (科技创新) , 2014 (3) :15.

[2]姜可.浅谈防火墙技术在计算机网络信息安全中的应用及研究[J].计算机光盘软件与应用, 2013 (4) :178-179.

[3]骆兵.计算机网络信息安全中防火墙技术的有效运用分析[J].信息与电脑 (理论版) , 2016 (4) :54-55.

[4]张武帅, 王东飞.防火墙技术在计算机网络安全中的应用探究[J].电脑知识与技术, 2015 (31) :35-36.

[5]李国胜, 张静薇.计算机网络安全管理相关安全技术探析[J].科技创新导报, 2013 (8) :215.

第3篇：防火墙在网络中的应用范文

关键词：防火墙技术；网络信息安全；应用分析

一、计算机网络安全及防火墙技术运用分析

（一）计算机网络信息安全分析

防火墙技术是指一个由软件和硬件设备组合而成、在内部网和外部网之间、专用网与公共网之间的界面上构造的保护屏障，是一种用于保护计算机网络安全的技术性措施。计算机网络信息安全维护的主要途径就是通过防火墙技术实现的，其可以有效的保护企业以及个人的计算机网络安全，在计算机正常启动工作的过程中，防火墙技术能够随时监控并且实时分析数据，侦查出数据中存在的不安全的信息，但是这种分析方式对时间方面要求比较严格，会有一段时间的延迟。

随着我国社会主义的发展，网络安全问题已经成为社会大众普遍关注的问题，关于计算机网络信息安全问题，社会上提出了许多针对性保护措施。在日渐多样化的网络威胁中，虽然具有攻击性的信息以及软件不断升级，但是我们的防火墙技术也在不断的更新，事实上，防火墙技术的应用十分广泛，其主要是保障信息传输保密，以防外来攻击造成内部信息泄露，它的保护原理就是将信息进行隔离，能够在双方信息交互的过程中形成保护屏障，既可以帮社会大众过滤危险信息，又可以提高计算机网络安全保护的能力，能够在最短的时间内形成网络安全保护措施，优化整体的网络环境，使得整个网络系统的防御能力更加强大，能够确保社会大众的正常网络运行安全。

（二）防火墙技术运用分析

當前，我国网络信息技术的迅速进步使得人民大众对计算机的运用更加放心、更加广泛，在对计算机的使用过程中，大家都对自己的信息是否安全非常关注，近阶段，计算机技术已经进入到人们的生活、工作、休闲以及日常学习上，在各类服务过程中，不可避免的出现了许多的安全隐患，尤其是黑客的人侵以及病毒。

防火墙一共分为三种，传统防火墙、分布式防火墙以及智能型防火墙。传统的防火墙有两种，一种是包过滤技术，另一种是服务器。包过滤技术指的就是通过路由器在计算机和外网之间的两个接口之间的IP包进行过滤，而服务器也被叫做应用防火墙，通过应用相关的服务对外网的链接以及视频进行安全检测，当外网的信息有威胁时，就会使用内部网络进行服务。随着网络的升级和扩容，传统额防火墙已经很难满足现代人计算机的使用需求，分布式防火墙在高性能和灵活扩展方面非常能够满足现社会的挑战，能够有效的防止其他各种被动以及主动的攻击。智能防火墙是指正常程序和准确判定病毒的程序，智能防火墙不会直接询问用户，当有危险的信息访问计算机网络时，才会请求使用者协助的防火墙，有效的改善了传统防火墙频繁报警的情况，设置了人侵检测工具，能够使人侵的人获得权限前成功的被阻止。

二、防火墙技术在计算机网络信息安全中的应用

根据社会对防火技术在计算机网络信息安全的数据整理分析，越来越多的人开始在计算机中使用防火墙技术，现如今网络技术发展迅速，人们无论是在生活上还是学习上都离不开网络，人们也会通过网络渠道来获取更多的对自己有帮助的信息，防火墙技术在计算机网络信息安全中的应用有以下几点：

（一）包过滤防火墙

包过滤防火墙就是用一个软件查看所流经的数据包的包头，通过这个来决定整个数据包的命运，其一般只应用于OSI七层模型中的网络层数据。包过滤防火墙可以对连接启动状态下的计算机自行进行检查，并且提前设定好逻辑思路，凡是能够通过防火墙数据包的都要进行最后的检测分析，逻辑策略主要包括端口、地址和源地址等，当数据包出现的信息与策略中中出现的条例不一致时，数据包就会通过检测。但是如果数据包中出现的信息和策略中的条例一样的时候，计算机网络信息的数据就会被拦截下来，数据包被传送的时候就会被分割成无数的小数据包，当经过防火墙的时候它们就会通过不同的路径传输过去。

（二）应用网关防火墙

应用网关防火墙的安全性很高，并且已经开始向应用层发展，它的认证是个人而不是设备，这一点与包过滤防火墙形成了鲜明的对比，它在数据传输时需要进行验证，当成功验证时，我们才能够允许访问网络资源。一般情况下只有输对口令、密码以及用户名等信息才会被认证，所以我们没有时间可以为黑客提供DOS攻击，应用网关防火墙还分为直通式网络防火墙和连接网关防火墙，连接网关防火墙需要认证许多的信息条款，并且可以通过截获数据流量来进行认证，只有认证成功才可以访问服务器，其还可以对应用层进行保护，来提高应用层的安全性，但是直通式的防火墙就不具备这一项功能。

（三）深层检测防火墙

深层防火墙检测就是针对防火墙产品所做的一系列的测试，测试的内容涉及的较多，其中包括的测试有网络环境、测试的方法、测试的工具以及测试的准则等，这也是目前防火墙的发展趋势。这项技术刚开始会对网络信息进行检测，然后对流量的走向进行跟踪，深层检测防火墙系统不只是停留在网络层面，其还更加的注重应用层面的网络攻击，使计算机网络信息的安全性能和实用性能更高，应用层网关实际上就是一个接受链接的程序，系统对其进行严格认证以后，才可以使用被传过来的链接，通不过则被阻塞。

三、结语

就当前的防火墙技术应用来看，其所具有的时效性是其他网络技术所无法替代的，优势作用极为明显。但其依然具有广阔的发展空间，单一的防火墙技术也并不一定能够完全解决网络中存在的安全问题。融合网络数据检查，整个网络系统的监控等都可以对网络安全给予辅助，防火墙技术还需要在漏洞防御方面予以不断深化，才能够让其作用更加明显，才能够让防火墙技术得以真正推动和发展。

参考文献： 

[1]武强.关于计算机网络安全中防火墙技术的研究[J].电子世界，2016（08）：100+105. 

[2]郭丽丽.计算机网络安全中防火墙技术的运用分析[J].信息通信，2016（03）：198-199. 

[3]汪楠，张浩一种防火墙技术的网络安全体系构建研究[J].石家庄学院学报，2015，17（03）：44-48. 

第4篇：防火墙在网络中的应用范文

【关键词】网络安全;防火墙技术;性能;发展趋势

1引言

随着网络技术的飞速发展和网络时代的到来,网络安全问题变的越来越严重。由于网络不安全造成的损失也越来越大,人们为解决网络安全问题投入的资金也越来越多。网络安全是一个关系国家安全、社会稳定的重要问题,网络的安全已经成为急需解决的问题。

为了保护网络的安全,人们将防火墙这个概念运用到了网络世界里。它是内部网络和外部网络之间的一道栅栏,用以阻挡外部网络的入侵,相当于中世纪的护城河。防火墙是目前最为流行、使用最为广泛的一种网络安全技术。本文主要讨论防火墙技术,并对其发展趋势作了初步的分析。

2防火墙技术

2.1 防火墙概述

防火墙是网络之间一种特殊的访问控制设施,是一种屏障,用于隔离Internet的某一部分,限制这部分与Internet其它部分之间数据的自由流动。防火墙的位置被安装在内部网络与外部网络之间,以在不可靠的互联网络中建立一个可靠的子网。防火墙作为保障内部网络安全的手段,它有助于建立一个网络安全机制,并通过网络配置、主机系统、路由器与身份认证等手段来实现安全机制。一般说来防火墙主要有以下的功能:防火墙是网络安全的屏障;防火墙可以强化网络安全策略;对网络存取和访问进行监控审计;防止内部信息的外泄;安全策略检查和实施NAT的理想平台。

防火墙是两个网络之间的成分集合,它必须具有以下性质才能起作用:

(1)从里向外或从外向里的流量都必须通过防火墙;

(2)只有本地安全策略放行的流量才能通过防火墙;

(3)防火墙本身是不可穿透的。

2.2 防火墙的类型

(1)IP级防火墙

IP级防火墙又称为报文过滤或包过滤(packet filter)防火墙,它通常在路由软件中实现,工作在网络层中,因此也称网络防火墙。依据防火墙内事先设定的过滤规则,检查数据流中每个数据包头部,根据数据包的源地址、目的地址、TCP/UDP源端口号、TCP/UDP目的端口号及数据包头中的各种标志位等因数来确定是否允许数据包通过。使用这种类型的防火墙时,内部主机与外部主机之间存在直接的IP报文交互,即使防火墙停止工作也不影响其连通性。因此,IP防火墙具有简单、方便、速度快,透明性好和不影响网络的特点。但是IP防火墙只能根据IP地址和端口号来过滤报文,缺乏用户日志和审计信息,缺乏用户认证机制,对过滤规则的完备性也难以得到检验,所以IP防火墙的安全性是比较差的。

(2)应用级防火墙

应用级防火墙又称(proxy)防火墙。它通常作用在应用层,直接对特定的应用层进行服务。这类防火墙通常是一台封堵了内外直接连接的双穴主机(dual-home-host),为两端的机器服务请求,也可以是一些可以访问Internet并被内部主机访问的堡垒主机。防火墙能进行安全控制和加速访问,有效地实现防火墙内外计算机系统的隔离,安全性好,以及实施较强的数据流监控、过滤、记录和报告等功能。其缺点是效率低,对于每一种应用服务都必须为其设计一个软件模块来进行安全控制,而每一种网络应用服务的安全问题各不相同,分析困难,实现也困难。

(3)链路级防火墙

链路级防火墙的工作原理、组成结构与应用级防火墙相似,但它并不针对专门的应用协议,而是一种传输层的TCP(UDP)连接中继服务。连接的发起方不直接与响应方建立连接,而是与链路级防火墙交互,由它再与响应方建立连接,并在此过程中完成用户鉴别。在随后的通信中维护数据的安全(如进行数据加密)、控制通信的进展。链路级防火墙提供的安全保护主要包括:对连接的存在时间进行监测,除去超出所允许的存在时间的连接,这可防止过大的邮件和文件传送;建立允许的发起方表,提供鉴别机制;对传输的数据提供加密保护。

各种防火墙的性能比较如表2-1所示。

2.3 传统防火墙的缺点

上述三种基本的防火墙技术都存在不足之处。比如IP级防火墙存在不能彻底防止地址欺骗、正常的数据包路由器无法执行某些安全策略等不足,应用级防火墙则有不能改进低层协议的安全性、实现比较复杂等缺点。传统的防火墙大多都采用报文过滤技术。在实际环境中,大多数的攻击和越权访问来自于内部,而传统的边界防火墙无法对内部网络进行有效的保护。首先,防火墙提供的是静态防御,它的规则都必须事先设置,对于实时的攻击或异常的行为不能做出实时反应。其次,防火墙规则是一种粗颗粒的检查,对一些协议细节无法做到完全解析。此外,防火墙防外不防内,对于内部用户的非法行为或已经渗透的攻击无法检查和响应。

3防火墙的发展趋势

目前防火墙的安全性、效率和功能方面的矛盾还是比较突出。防火墙的技术结构,往往是安全高效率就低,效率高就会以牺牲安全为代价。未来的防火墙要求是高安全性和高效率。使用专门的芯片负责访问控制功能、设计新的防火墙的技术架构是未来防火墙的方向。

3.1 分布式防火墙

分布式防火墙是指那些驻留在网络中的主机,如服务器或台式机并对系统自身提供安全防护的软件产品,用以保护企业网络中的关键结点服务器、数据及工作站免受非法入侵的破坏。布式防火墙仍然由中心定义策略,但由各个分布在网络中的端点实施这些制定的策略。

分布式防火墙把Internet和内部网络均视为"不友好的"。它们对个人计算机进行保护的方式如同边界防火墙对整个网络进行保护一样。对于Web服务器来说,分布式防火墙进行配置后能够阻止一些非必要的协议,如HTTP 和 HTTPS之外的协议通过,从而阻止了非法入侵的发生,同时还具有入侵检测及防护功能。从广义来讲,分布式防火墙是一中新的防火墙体系结构,他包含网络防火墙、主机防火墙、中心管理等产品。

3.2 防火墙联动

随着人们安全意识的日益提高,防火墙、防病毒、入侵检测、加密机等安全产品开始被大量部署在网络中。由于缺少统一、联动的技术,现有安全产品往往各自为政,没能形成一个统一的整体。为了解决这一问题,防火墙联动技术正渐渐成为网络安全领域的一个新兴课题,引起众多专家和安全厂商的关注。目前,应用范围较为广泛的防火墙联动方式主要有以下几种。

(1)与防病毒实现联动

病毒对网络系统造成了巨大的破坏和威胁,构建可靠的网络防毒体系是网络安全的必要保障。防火墙处于内外网络信息流的必经之地,在网关一级就对病毒进行查杀,成为网络防病毒系统的重要一环。

(2)与入侵检测实现联动

防火墙与入侵检测系统联动是联动体系中重要的一环,这是因为这两种技术具有较强的互补性。目前,实现入侵检测和防火墙之间的联动有两种方式。一种是实现紧密结合,即把入侵检测系统嵌入到防火墙中。第二种方式是通过开放接口来实现联动。

(3)与日志处理间实现联动

防火墙与日志处理之间的联动,目前国内厂商做的不多。比较有代表性的是Check Point的防火墙,它提供两个API:LEA(Log Export API)和ELA(Event Logging API),允许第三方访问日志数据。

4结束语

随着Internet广泛应用和计算机科学技术的不断发展,防火墙技术也在不断的发展。但是在网络日益严峻的今天,光有防火墙技术是远远不够的,我们还得考虑其他的问题。不过防火墙作为网络安全的第一道重要的屏障,如何提高防火墙的防护能力并保证系统的高速有效性将是一个随网络技术发展而要不断研究的课题。

【参考文献】

[1] 蔡永泉编著.计算机网络安全[M].北京:北京航空航天大学出版社,2006.10

[2] 赵安军,曾应员,徐邦海,常春藤编著.网络安全技术与应用[M].北京:人民邮电出版社,2007.7

[3] 王代潮,曾德超.防火墙技术的演变及其发展趋势分析[J].网络安全技术与应用,2005(07)

第5篇：防火墙在网络中的应用范文

所谓网络安全，实质上也就是网络上的信息安全。网络安全所涉及的领域是非常广泛的，但是在当前许多的公用通信网络中，都存在着各种各样的安全漏洞和威胁，随着网络技术的不断发展，各种各样的网络安全技术也相应的出现了，比如说身份验证、访问授权、加密解密技术、防火墙技术等等，虽然出现了许许多多的新的网络安全技术，但是在众多的网络安全技术中，防火墙技术的应用仍然最为广泛。防火墙实质上是一个系统，该系统位于两个网络之间，并且负责执行控制策略，通过防火墙，可以使得内部网络与Internet或者其它的外部网络相互隔离，从而有效的保护内部网络的安全。通过防火墙，主要可以实现对于不安全服务和非法用户的过滤，同时还能够有效的控制对站点的访问，时刻监视Internet安全，一旦出现安全风险，防火墙还可以起到及时预警的作用。

1防火墙技术概述

所谓的防火墙，指的是设置在两个或者多个不同网络或者网络安全域之间信息的唯一出入口，所有的网络信息要想进入内部网络，必须要通过这一个出入口，因此防火墙成为了一个提供信息安全服务和实现网络和信息安全的基础设施，同时防火墙技术也成为了目前人们公认的最有效的网络安全保护手段。防火墙可以对访问权限进行有效的控制，从而实现对涉及用户的操作进行审查和过滤，从而有效的降低计算机网络安全风险。

1.1计算机防火墙技术

防火墙技术之所以能够实现对计算机网络的保护，主要就是因为防火墙可以将内部网络与互联网进行分离，正是因为防火墙有着很强的隔离性，所以才使得防火墙技术在计算机网络安全领域中被广泛的加以运用。一般在对防火墙进行使用的过程中，所依靠的都是包的外源地址和数据包协议，通过它们来对防火墙进行设置，从而实现有效的隔离。除此之外，防火墙的实现还可以通过服务器的软件，但是这种方式在实际应用中较为少见。在防火墙技术出现之初，它的功能仅仅局限于对主机的限制和对网络访问控制加以规范，但经过多年的发展，防火墙的功能也进一步的得到了完善，当前，防火墙已经可以完成解密和加密等功能，除此之外，还能够实现对文件的压缩和解压，从而使得计算机网络安全得到了有效的保证。

1.2防火墙的主要功能

随着网络技术的不断发展，防火墙的功能已经变得十分丰富，其功能主要有以下几个方面：第一，防火墙可以对本机的数据进行有效的筛选和过滤，通过对信息的筛选和过滤，可以有效的避免非法信息以及各种网络病毒的攻击和入侵，从而保证计算机信息的安全；第二，防火墙还可以对网络中一些特殊的站点进行较为严格的规范，因为在这些站点中往往存在着可以对计算机网络安全进行破坏的一些病毒文件，所以通过对这些站点的规范，可以有效避免人们因为无意操作而给计算机网络带来的风险；第三，防火墙还能够较为彻底的对一些不安全访问进行拦截，外部人员如果想进入内部网络，必须先要经过防火墙的审查，只有审查合格，防火墙才会允许进入，但是在防火墙的审查过程中，是有着非常多的环节的，如果任何一个环节的审查出现了问题，该访问将会被防火墙过滤，从而有效的减少了网络安全问题的出现；第四，防火墙还可以对网络运行中所产生的各种信息数据加以保护，如果防火墙发现了网络中出现有威胁网络安全的非法活动，防火墙将于第一时间发出警报，并且采取相应的措施来对其进行处理，有效的避免网络安全风险。

2防火墙的常用技术及其在网络安全中的应用

2.1数据包过滤技术及其应用

数据包过滤技术主要分为组过滤和包过滤两种，数据包过滤技术是一种较为通用的防火墙技术，并且它也较为廉价和有效。数据包过滤技术主要是在计算机网络的网络层和传输层发挥作用。它可以通过对分组包的源、宿地址、端口号机协议类型和标志确定是否允许其通过。而该技术所依据的信息主要是来源于IP、TCP或者UDP包头。包过滤的主要优点就在于其对于用户来说是完全透明的，处理速度也非常的快，而且十分易于维护，因此在使用的过程中较为方便，通常包过滤都是被作为网络安全的第一道防线。但是包过滤路由器一般都是没有用户的使用记录的，所以我们也就不能够看到入侵者的攻击记录，而且随着计算机技术的不断发展，攻破一个单纯的包过滤式防火墙对于现代的黑客来说也较为简单。当前的黑客往往都采用“IP地址欺骗”的方式来攻破包过滤式防火墙，所以为了进一步的提升网络的安全性，现在已经将包过滤技术作为网络安全的第一道防线，而进一步发展起来了技术。

2.2服务技术及其应用

服务技术是在数据包过滤技术之后发展起来的，但现在服务技术已经成为了防火墙技术中使用频率较高的一种技术，而且服务技术也拥有非常高的安全性能。服务软件往往是运行在一台主机上的，通过在这一台主机上的运行来构成服务器，并且负责对客户的请求进行截获，然后再依据它的安全规则来决定该请求是否可以得到允许。如果得到了服务器的允许，该请求才能够被进一步的传递给真正的防火墙。一般而言，服务器是外部可以见到的唯一的防火墙实体，所以说服务器对于内部用户而言是完全透明的。除此之外，服务器还可以对协议特定的访问规则进行应用，从而来执行基于用户身份和报文分组内容的访问控制。这种防火墙技术可以对网络信息的交换进行完全的控制，并且还可以记录整个会话的过程，有着很高的灵活性和安全性。但是服务技术也有着自身的缺陷，那就是有可能会对网络的性能造成一定的影响，而且对于每一个服务器都要进行一次模块的设计，并且建立起相应的网关层，所以其实现往往较为复杂。

2.3状态监测技术及其应用

状态检测技术是一种在网络层来实现防火墙功能的技术，状态监测技术所使用的是在网关上执行安全策略的软件模块，这个模块被称为监测引擎。监测引擎不同于服务器，不会对网络的正常运行造成任何影响。并且监测引擎还可以采用抽取有关数据的方法来对网络通信的各层进行检测，抽取相应的状态信息，然后动态的加以保存并将其作为以后执行安全策略的一个参考。除此之外，监测引擎还可以支持多种协议及应用程序，还可以有效的实现应用和服务的扩充。相比于之前的两种防火墙技术而言，状态监测技术可以更好地对用户的访问请求进行处理，因为状态监视器会抽取有关数据来进行分析，然后再通过对网络配置和相应的安全规定的结合，来做出相应的接纳、拒绝、身份认证、报警或者给该通信加密等一系列的处理动作。

作者:李慧清 单位:内蒙古化工职业学院

引用：

[1]赵俊.浅谈计算机防火墙技术与网络安全[J].成都航空职业技术学院学报：综合版，2012.

第6篇：防火墙在网络中的应用范文

一、从防火墙的软、硬件形式来分的话,防火墙可以分为软件防火墙和基于硬件防火墙以及芯片级防火墙。

软件防火墙:这类防火墙必需运行在特定的计算机上,而且需要操作系统支持,大致又可分为网络版和个人版,一般而言网络版(或称企业版)需要网络操作系统,个人版一般安装在企业中的客户端操作系统之上。网络版软件主要有checkpoint、ISA 2004 企业版等,可将它们安装在一个企业的接入口,来有效的对内部局域网和Internet进行隔离。个人版有很多,如天网个人防火墙、Kaspersky Anti-Hacker、瑞星个人防火墙等,安装在各自的计算机上来保护你的电脑。

基于硬件防火墙:所谓基于硬件,是相对芯片级而言的,这类防火墙的硬件在现在市面上流行的主要是采用PC构架的兼容机,然后在此硬件之上安装经过处理(或称经过精简)的操作系统,主要是采用Linux这类操作系统进行相应的安全优化而来。值得注意的是此类防火墙和软件防火墙一样采用的依然是别人的内核,因此依然会受到你所安装的操作系统本身的安全性影响。基于硬件防火墙一般至少应具备三个端口,分别接内网,外网和DMZ区(非军事化区),现在一些新的硬件防火墙往往扩展了端口,常见四端口防火墙一般将第四个端口做为配置口、管理端口。很多防火墙还可以进一步扩展端口数目等。象servgate、联想网御等都属于此类防火墙。

芯片级防火墙:它是基于专用的防火墙硬件平台,所采用专用的ASIC芯片、并为此硬件平台量身定做专用的操作系统;精简的指令系统使它的运行速度远高于前两种防火墙,而且处理能力更强,性能更高,并且更安全;当然价格相对比较高。这类防火墙主要有NetScreen、FortiNet、Pix等。

二、依据防范的方式和侧重点的不同,可分为数据包过滤型、应用级网关型、服务型、规则型四种。

包过滤型:或称网络级防火墙。包过滤(Packet Filtering)主要是在网络层和传输层对数据包进行选择,它根据数据包头源地址,目的地址、端口号和协议类型等标志确定是否允许通过。选择的依据是根据各自设置的具体要求来进行,通常此操作被称为访问控制表(Access Control Table),只有满足过滤条件的数据包才被转发到相应的目的地,其余数据包则被从数据流中丢弃。此类防火墙配置简单,价格便宜,易于安装和使用,一般都是和路由器联合使用,由于以上特点,很多厂商都在原有的路由器基础上增加了包过滤功能,这样便大大降低了成本。但这类防火墙缺点也很明显:第一是一旦非法访问攻破防火墙,即可对主机上的所有软件系统进行攻击;第二是IP包头信息容易被窃取和假冒。

应用级网关:应用级网关(Applicaion Level Gateways)是在网络应用层上建立协议过滤和转发功能。它能够检查进出的数据包,通过网关复制传递数据,防止在受信任服务器和客户机与不受信任的主机间直接建立联系。应用级网关能够理解应用层上的协议,能够做复杂一些的访问控制,并做精细的注册和稽核。它针对特别的网络应用服务协议即数据过滤协议,并且能够对数据包分析并形成相关的报告。应用网关对某些易于登录和控制所有输出输入的通信的环境给予严格的控制,以防有价值的程序和数据被窃取。 在实际工作中,应用网关一般由专用工作站系统来完成。但每一种协议需要相应的软件,使用时工作量大,效率不如网络级防火墙。 应用级网关有较好的访问控制,是目前最安全的防火墙技术,但实现困难,而且有的应用级网关缺乏“透明度”。在实际使用中,用户在受信任的网络上通过防火墙访问Internet时,经常会发现存在延迟并且必须进行多次登录(Login)才能访问Internet或Intranet。所以虽是高安全产品,但实际在企业中的应用并不理想。

服务:又称电路级网关。服务(Proxy Server)是设置在Internet网关的专用应用级代码,它主要是针对包过滤和应用级网关技术存在的缺点而引入的。这种服务准许网管员允许或拒绝特定的应用程序或一个应用的特定功能。包过滤技术和应用网关是通过特定的逻辑判断来决定是否允许特定的数据包通过,一旦判断条件满足,防火墙内部网络的结构和运行状态便“暴露”在外来用户面前,这就引入了服务的概念,即防火墙内外计算机系统应用层的“链接”由两个终止于服务的“链接”来实现,这就成功地实现了防火墙内外计算机系统的隔离。同时,服务还可用于实施较强的数据流监控、过滤、记录和报告等功能。服务技术主要通过专用计算机硬件(如工作站)来承担,这导致防火墙的最大缺点就是速度相对比较慢,当用户对内外部网络网关的吞吐量要求比较高时,防火墙就会成为内外部网络之间的瓶颈。

规则检查防火墙:该防火墙结合了包过滤防火墙、服务和应用级网关的特点。它同包过滤防火墙一样,规则检查防火墙能够在网络层上通过IP地址和端口号过滤进出的数据包。它象服务一样,能够检测是否是特许包。又象应用级网关一样,可以在应用层上检查数据包的内容,查看这些内容是否能符合企业网络的安全规则。规则检查防火墙虽然集成前三者的特点,但是不同于前三种,从理论上就能比应用级在过滤数据包上更有效。

三、防火墙的选购

防火墙并不是万能的,不是说有了它就是安全了,并不是有了它就能提高上网的速度了;当我们在准备应用防火墙技术时,得考虑以下几点:第一是防火墙是不能防病毒的,同时也不能防垃圾邮件的,尽管有不少的防火墙产品声称其具有这功能,无非是增加了相应的几个模块,这在一定程度上使防火墙增加了数据处理的负担。第二是防火墙在处理数据时的延时,(所谓防火墙的延时,即数据转换或处理时所损耗的时间)一旦延时超过了网络数据通信所规定的时间,将无法支持实时服务的请求,现在要使这个延时达到最小,只能是购买高性能的设备,当然这样的话将需要更多的资金来支持。

第7篇：防火墙在网络中的应用范文

关键词： 防火墙 病毒 企业网安全

一、防火墙的相关知识

防火墙就是一个位于计算机和它所连接的网络之间的软件。该计算机流入流出的所有网络通信均要经过防火墙。它对流经它的网络通信进行扫描，这样能够过滤掉一些攻击，以免其在目标计算机上被执行，还能禁止特定端口的流出通信，封锁特洛伊木马，禁止来自特殊站点的访问，从而防止来自不明入侵者的所有通信。防火墙一般安装在内部网络与外部网络之间，集中所有互联网流量，因此对其要求极高，一旦发生故障必须能迅速恢复。

二、选择防火墙需要注意的问题

作为企业信息安全保护最基础的硬件，防火墙在企业整体防范体系中占据至关重要的地位。一款反应和处理能力不强的防火墙，不但保护不了企业的信息安全，反而会成为安全的最大隐患，所以，选择防火墙必须谨慎。

1.应购买具有品牌优势、质量信得过的产品。厂商的持续开发能力以及升级和维护能力非常重要。目前对国内安全产品的认证有四种：中国信息安全产品测评认证中心的认证（针对企业应用），国家保密局测评认证中心的认证（针对政府网应用）、公安部计算机信息安全产品质量监督检验中心（获得销售许可），以及中国人民信息安全测评认证中心（针对军队使用）。

2.在性能方面只选适合的，不一定选最高的，除了要考虑产品本身应该安全可靠，还要考虑防火墙性能的稳定，并应有良好的扩展性与适应性，方便管理和控制也是必须考虑的。除此之外还要注意防火墙的基本性能，如效率与安全防护能力、网络吞吐量、提供专业的数量，以及与其他信息安全产品的联动等问题。

3.价格并非越贵越好。不同价格的防火墙保证的安全程度也不同。硬件防火墙因为比软件防火墙稳定和效率更高，一般价格也要高一些。对于有条件的企业来说，最好选择整套企业级的防火墙解决方案。

4.用户在选择防火墙时，除了考虑性能与价格外，还应考虑厂商提供的售后服务。一旦使用中遇到用户解决不了的问题或故障时，厂商应及时响应、快速解决问题。

三、防火墙的分类

防火墙有很多种分类方法：依据采用的技术的不同，防火墙产品可分为软件防火墙、硬件防火墙和软硬一体化防火墙；按照应用对象的不同，防火墙产品可分为企业级防火墙与个人防火墙；根据防御方式的不同，防火墙产品又可分为包过滤型（Packet Filtering）防火墙、应用级网关型（Application Level Gateway）防火墙和服务型（Proxy Service）防火墙，等等。

四、应对企业中的网络安全隐患

拥有诸多用户和诸多有问题的复杂服务的大企业更具挑战性。“有问题的”服务是指貌似简单但实际上需要防火墙开放多个端口的服务，譬如VoIP和NetMeeting。这两种服务都需要为25种以上的不同服务开放端口，所以就应该使用应用网关防火墙，或者仅限于严格控制的环境（譬如，从内部网络、某一组IP地址启动服务、只在特定时间段进行）。此外，如果在复杂的大型环境安装防火墙，应该使用支持集中式防火墙管理和配置功能的防火墙，譬如PIX、CyberGuard、Firebox、FireWall-1、NetScreen和Sidewinder G2。

对应用层数据进行加密，已经被广泛地应用于各种场合，以提高数据的安全性。如在邮箱系统中，就采用了SSL的加密机制。用户可以选择是否要对邮件的内容进行加密。若用户选择SSL加密的话，则在邮件发送的时候，邮箱系统会自动对整封邮件在应用层面上进行加密。

这就对深度检测防火墙提出了新的挑战，防火墙必须有对应用层数据进行加密、解密的能力。因为像一些病毒邮件，其往往隐藏在邮件的附件中，也就是隐藏在应用层的数据中。而因为对应用层的数据采取了加密处理，所以一般防火墙不能够辨别应用层数据中是否存在着病毒文件。只有防火墙能够对应用层数据进行解密、加密的能力，才能够判断数据包中是否含有应用层的攻击信息。所以，如果防火墙的深度检测功能不能够对企业中的关键应用，如邮件系统，提供深度检测安全性的话（即对应用层数据进行解密后的检测），则整个深度检测就会失去其存在的意义。换句话说，深度检测只能够检测未经过加密处理的应用层数据，其效果就会大大的打折扣。

在企业的关键应用中，一般邮件系统中会实现应用层的数据加密。除了这个应用外，企业可能在VPN、FTP服务器、OA服务器中也实现了类似SSL的加密机制。根据了解，只要能够在互联网上进行访问的信息化应用，一般都会在应用层上对数据加密，以提高数据的安全性。通过对应用层数据加密，可以有效地防止攻击者通过网络侦听的手段窃取公司的机密数据。

1.能否有效解决应用层字符串匹配问题

在针对应用层的攻击中，很多是通过字符串的匹配不当来实现的。如典型的欺骗IDS攻击，就是通过这个字符串不匹配而完成的。

有时候为了了解某种请求的安全策略是否被启用，防火墙通常会根据请求的信息与自身的安全策略来进行匹配。一旦条件匹配，防火墙就采用对应的安全策略。非法攻击者会利用各种手段，对用户的请求信息进行伪装，企图让字符串不匹配，以达到越过安全设备的目的。可以简单一点来理解：当客户端想通过防火墙的时候，客户端的数据会向防火墙发送一个请求。在这个请求信息中，会包含是否需要采用某种安全策略的信息，而这些信息都是通过一些特定的字符串来表示的。当防火墙收到请求信息时，就会把这些字符串跟自身的进行对比。若符合，则采取某种安全策略，如加密等；若不符合，则不会采用安全策略，而以普通的方式转发。

如此，只要攻击者对请求者的请求信息进行随意的更改，就可能导致请求信息字符串与防火墙中的字符串不匹配，从而绕过安全设备，进行一些非法的勾当。为了解决这个字符串匹配问题，深度检测技术设计了一种“正常化技术”。通过这种技术，能够让深度检测识别隐藏在URL编码、Unicode数据中的应用层攻击行为，以提高应用层数据的安全性。

2.能否判断协议的一致性

数据要在网络上传输，都必须遵守一定的规范。在网络上，数据的交通法规就是各种应用层协议，如HTTP、SMTP、FTP协议等。这些协议都有全球统一的规范。如果员工发送一封邮件，则应用层的数据必须符合SMTP协议的规范。

但是，很多攻击者就利用这些规范来对企业网络进行攻击。如在邮件中，会插入FTP协议的内容。当用户查看邮件内容的时候，在不知情的情况下，系统自动从FTP服务器上下载木马、病毒等非法软件，实现应用层的攻击。所以，深度检测技术既然能够检测应用层的数据，则我们就希望它好事做到底，能够进一步判断协议的一致性。也就是说，其应用层中的数据所采用的协议跟其所声明的协议类型是否一致。如果不一致的话，则防火墙就需要过滤这个数据包，并向管理员提出警告。如果一致的话，就顺利转发。

3.PIX防火墙

为了在组织中高效使用防火墙，需要一个安全策略来确认被保护网络的所有数据包只能通过防火墙传递到非保护网络。这样就能控制谁能访问网络，访问什么服务，及如何利用PIX防火墙的功能实现你的安全策略。

本文为全文原貌 未安装PDF浏览器用户请先下载安装 原版全文

图1显示了PIX防火墙如何保护内部网络安全地访问Internet。

在这个结构中，PIX防火墙在被保护网络和非保护网络之间形成了一个边界。被保护网络和非保护网络之间的所有数据包流量必须经过防火墙以遵循一定的安全策略。被保护网络通常能访问Internet。PIX防火墙让你将诸如Web、SNMP、E-mail等服务放置在被保护网络中，以控制外部用户的对这些服务的访问。

服务系统也能放置在Perimeter网络中（图1）。PIX防火墙也能控制和监视Inside网络或Outside网络对这些服务系统的访问。

典型的Inside网络就是一个组织自己的内部Intranet网络，外部网络就是Internet。但是，PIX防火墙也能在Intranet网络中使用以隔离或保护一组内部的计算机系统。Perimeter网络能和Inside网络一样进行安全配置。PIX防火墙的Inside、Perimeter和Outside接口能监听RIP路由更新消息，如果需要，所有的接口能广播一个缺省的RIP路由。

PIX防火墙能在两个或多个网络之间防止非授权的连接，即PIX防火墙能保护一个或多个网络，与外部的、非保护的网络隔离，防止非授权访问。这些网络间的所有连接都能被PIX防火墙控制。

当向外连接的数据包（Outbound Packets）到达PIX防火墙的被保护接口时（Inside Interface），PIX防火墙检查先前的数据包是否是来自此主机。如果没有，PIX防火墙就在它的状态表为新的连接建立一个转换槽（translation slot）。通过网络地址转换（NAT）或端口地址转换（PAT）的分配，这个槽包括内部IP地址和一个唯一的全局IP地址。PIX防火墙这时转换这个数据包的源IP地址（source IP）为这个唯一的全局IP地址，并按需修改其他字段，然后转发这个数据包到合适的非保护接口。

当向内连接的数据包（Inbound Packets）到达PIX防火墙的非保护接口时（Outside Interface），它必须先经过PIX防火墙的安全检查。如果数据包检查通过，则PIX防火墙移走这个数据包的目的IP地址（Destination IP），插入内部的IP地址。这样，这个数据包被转发到被保护接口。

转换内部地址，动态转换对在Internet上不需要固定地址的桌面计算机是非常有用的。使用非NIC（Network Information Center）注册的IP地址的内部网络主机通过在PIX防火墙中的地址转换能直接访问Internet上的标准TCP/IP程序，而不需要特定的客户程序。PIX防火墙支持能为每个内部主机提供一个全局唯一网络地址的网络地址转换（NAT），和为许多内部主机提供一个共享的全局唯一网络地址的端口地址转换（PAT）。NAT和PAT能转换为多达64K主机地址。

PIX防火墙中的另一个地址转换是静态转换。静态转换能有效地移动一个内部的、非注册主机到防火墙中的虚网。这对一个需要映射到外部Internet网关的内部主机是非常有用的，如SMTP服务器。

防火墙在网络中是一个逻辑装置，用来保护内部的网络不受来自Internet的侵害。严格意义的防火墙，就是一个或一组系统，用来在两个或多个网络间加强访问控制。它的目的在于把那些不信任的网络隔离在特定的网络之外，但又不影响正常工作。其核心思想就是在不安全的网间网环境中构造一个相对安全的子网环境。因此当我们掌握一定技术后，便可以充分利用防火墙的技术，阻止一切危害企业网安全的隐患，使企业网络正常运行，信息安全得到保证。

参考文献：

［1］刘晓辉.网络基础.机械工业出版社，2007.

［2］马亮，杜恺琳.局域网组网技术与维护管理.电子工业出版社，2009.

第8篇：防火墙在网络中的应用范文

本文将从相关技术、选购要素、选购策略三个方面进行介绍。

防火墙的分类

防火墙有许多种形式，有的以软件形式运行在普通计算机之上，有的以硬件形式单独实现，有的以固件形式设计在路由器之中。总体来说，防火墙可分为四大类：包过滤防火墙、应用级网关和状态监视器、复合型防火墙。

1　包过滤防火墙

一般在路由器上实现。工作原理为系统在网络层检查数据包，与应用层无关。因此系统具有很好的传输性，可扩展能力强，但较容易被黑客所攻破。

在Intemet上，所有信息均被分割成许多一定长度的信息包，包中包含发送者及接收者的IP地址信息，当这些信息包被送上Intemet时，路由器会读取接收者的IP并选择一条合适的物理线路发送出去，信息包可能经由不同的路线抵达目的地，当所有的包抵达目的地后将被重新组装还原。

包过滤式防火墙会检查所有通过信息包中的IP地址，并按照系统管理员给定的过滤规则进行过滤，以屏蔽掉没被规则批准的信息。

包过滤防火墙的优点为，其对用户来说是透明的，处理速度快且易于维护，因此通常会被作为网络的第一道防线。其缺点为：由于没有用户使用记录，因此管理者难以获得入侵者的攻击记录；系统配置较为繁琐；可阻挡外部用户进入内网，但不通知管理者何人进入了内部系统，或何人从内部网进入了Internet；可以阻止外部用户对私有网络的访问，却不能记录内部用户的访问。

包过滤防火墙最大的弱点是不能鉴别用户级别及防止IP地址的盗用。因此。攻破一个单纯的包过滤式防火墙相对简单，“IP地址欺骗”及“同步风暴”是黑客攻击包过滤防火墙时较常用的手段。

2　应用级网关

应用级网关即服务器。工作原理为，通过检查所有应用层信息包，并将检查的内容信息放入决策过程，从而提高网络的安全性，缺点是伸缩性较差。

应用级网关适用于特定的Internet服务，如HTTP、FTP等等。服务器常运行在两个网络之间，对于用户来说其像是一台服务器，而对于外部服务器来说，它又是一台客户机。当服务器接收到用户对某个站点的访问请求时，会检查该请求是否符合规定，如果规则允许用户访问该站点，服务器将进入该站点取回所需信息再转发给用户。服务器通常拥有一个高速缓存，这个缓存用于存储用户经常访问站点的内容，当不同用户访问同一站点时，服务器直接将缓存内容发出即可。

应用级网关的安全性高于单一包过滤，且会详细记录所有的访问状态信息，但应用级网关也存在一些不足之处：如它会使访问速度变慢；应用级网关需要对每一个特定的Intemet服务安装相应的服务软件，用户不能使用未被服务器支持的服务；针对每一类服务需要使用不同的客户端软件，伸缩性较差；并非所有的Intemet应用软件都可以使用服务器等。

3　状态监测防火墙

工作原理为，使用了一个在网关上执行网络安全策略的监测引擎软件模块，在不影响网络正常运行的前提下，采用抽取有关数据的方法对网络通信的各层实施监测。安全性高，且监测引擎支持多种协议及应用程序，很容易实现对应用及服务的升级。

与前两种防火墙不同，当用户的访问请求到达网关操作系统前，状态监视器会抽取有关数据进行分析，结合网络配置和安全规定做出接纳、拒绝、身份认证、报警或给该通信加密等处理动作。

该产品的优点为，一旦某个访问违反安全规定，就会被拒绝报告有关状态并进行日志记录；可自动监测无连接状态的远程过程调用(RPC)和用户数据报(UDP)等端口信息，安全性能大大提升。其劣势为，配置较复杂。降低了网络速度，为了解决这一问题，目前一些防火墙产品尝试通过采用面向对象的图形用户界面(GUI)来定义安全策略规。以简化配置过程。

4　复合型防火墙

复合型防火墙为综合了状态检测与透明的新一代防火墙，其基于ASIC架构，将防病毒、内容过滤整合到防火墙中，实现了安全性能的新突破。

常规的防火墙不能防止隐蔽在网络流量里的攻击，复合型防火墙通过在网络界面对应用层进行扫描，将防病毒、内容过滤与防火墙结合起来，体现出网络与信息安全发展的一种新思路。其通过在网络边界实施OSI第七层内容扫描，实现了实时在网络边缘部署病毒防护、内容过滤等应用层安全服务措施。

选购要素

防火墙作为网络安全体系的基础及核心控制设备，贯穿于受控网络通信的整个主干线，其不但对通过受控千线的所有通信行为进行安全处理，同时也承担着繁重的通信任务，用户在选购时，应主要从以下几个方面进行分析和比较。

1　安全性

选择防火墙时不但应关注其如何控制连接及防火墙能支持多少种服务等功能，更应关注其自身的健壮性。

2　可靠性

从系统设计上，提高可靠性的措施一般为提高本身部件的强健性、增大设计阈值和增加冗余部件，因此要求系统须有较高的生产标准及设计冗余度。

3　灵活性

即对通信行为的有效控制，其要求防火墙设备有一系列不同级别、可满足不同用户各类安全控制需求的控制能力。

4　经济性

用户应根据自己的安全需求考虑采用那种产品，除考虑价格因素外，管理、维护及消耗材料的费用等也应考虑在内。

5　高性能

作为影响网络性能的瓶颈，防火墙性能是用户在选购时必须重点考察的指标。一般的衡量指标主要包括：网络吞吐量、丢包率、延迟、连接数等。

6　丰富的功能

安全策略中往往有些特殊需求(如网络地址转Q、双重DNS、拟专用网络、扫毒等功能等)，这些功能并不是每一个防火墙产品均可以提供，因此性能的丰富性也应是选择防火墙的考虑因素之一。

7　配置的方便性

在网络人口及出口处安装新的网络设备是每个网管员的噩梦，而支持透明通信的防火墙，在安装时不需要对原网络配置做任何改动，所做的工作只相当于安装一个网桥或Hub。

8　管理的简便性

对于防火墙类访问控制设备，除不断进行安全控制策略调整外，还须对业务系统访问控制进行频繁调整。

选购策略

防火墙的选择要从需求出发，结合实际情况制订选购的策略，应尽量避免一味的对高参数、新产品的追求，注重产品的性价比和适用性，下面笔者针对一些实际情况介绍一点经验。

1　不要轻信“外来和尚”

在网络安全，甚至是计算机领域，我们完全不用崇洋。很多国内防火墙产品不仅功能较为全面，很容易应用，且服务本地化，性价比非常好。

2　按需选择性能指标

选择产品时一定要有前瞻性，产品最好能适应1～2年后网络的扩展需求，在资金有限的情况下，还应仔细衡量一下，哪些指标对自己是最有用的。如有些用户片面追求最大并发连接数，认为并发连接数越大越好，其实这是一些厂商的误导，对于百兆防火墙来说，100万的并发连接对于应用已绰绰有余，其他的指标的选择也一样，按需选择才是根本。

3　科学分析功能需求

第9篇：防火墙在网络中的应用范文

关键词：内部网络；外部网络；平安

一、防火墙功用概述

防火墙是一个维护安装，它是一个或一组网络设备安装。通常是指运转特别编写或更改正操作系统的计算机，它的目的就是维护内部网的访问平安。防火墙能够装置在两个组织构造的内部网与外部的Internet之间，同时在多个组织构造的内部网和Internet之间也会起到同样的维护作用。它主要的维护就是增强外部Internet对内部网的访问控制，它主要任务是允许特别的衔接经过，也能够阻止其他不允许的衔接。防火墙只是网络平安战略的一局部，它经过少数几个良好的监控位置来停止内部网与Internet的衔接。防火墙的中心功用主要是包过滤。其中入侵检测，控管规则过滤，实时监控及电子邮件过滤这些功用都是基于封包过滤技术的。防火墙的主体功用归结为以下几点：依据应用程序访问规则可对应用程序连网动作停止过滤；对应用程序访问规则具有自学习功用；可实时监控，监视网络活动；具有日志，以记载网络访问动作的细致信息；被拦阻时能经过声音或闪烁图标给用户报警提示。

防火墙仅靠这些中心技术功用是远远不够的。中心技术是根底，必需在这个根底之上参加辅助功用才干流利的工作。而完成防火墙的中心功用是封包过滤。在逻辑上，防火墙是一个别离器，一个限制器，也是一个剖析器，有效地监控了内部网和Internet之间的任何活动，保证了内部网络的平安（见图1）。

二、防火墙主要技术特性

应用层采用Winsock2SPI停止网络数据控制、过滤；中心层采用NDISHOOK停止控制，特别是在Windows2000下，此技术属微软未公开技术。

此防火墙还采用两种封包过滤技术：

一是应用层封包过滤，采用Winsock2SPI；

二是中心层封包过滤，采用NDIS_HOOK。Winsock2SPI工作在API之下、Driver之上，属于应用层的范畴。应用这项技术能够截获一切的基于Socket的网络通讯。采用Winsock2SPI的优点是十分明显的：其工作在应用层以DLL的方式存在，编程、测试便当；跨Windows平台，能够直接在Windows98/ME/NT/2000/XP上通用，Windows95只需装置上Winsock2for95，也能够正常运转；效率高，由于工作在应用层，CPU占用率低；封包还没有依照低层协议停止切片，所以比拟完好。而防火墙正是在TCP/IP协议在windows的根底上才得以完成。在构筑防火墙维护网络之前，需求制定一套完好有效的平安战略，这种平安战略普通分为两层：网络效劳访问战略和防火墙设计谋略。

三、网络效劳访问战略

网络效劳访问战略是一种高层次的、详细到事情的战略，主要用于定义在网络中允许的或制止的网络效劳，还包括对拨号访问以及SLIP/PPP衔接的限制。这是由于对一种网络效劳的限制可能会促运用户运用其他的办法，所以其他的途径也应遭到维护。网络效劳访问战略不但应该是一个站点平安战略的延伸，而且关于机构内部资源的维护也起全局的作用。这种战略可能包括许多事情，从文件切碎条例到病毒扫描程序，从远程访问到挪动介质的管理。

四、防火墙的设计谋略

防火墙的设计谋略是详细地针对防火墙，担任制定相应的规章制度来施行网络效劳访问战略。在制定这种战略之前，必需理解这种防火墙的性能以及缺陷、TCP/IP本身所具有的易攻击性和风险。防火墙普通执行以下两种根本战略中的一种：除非明白不允许，否则允许某种效劳；除非明白允许，否则将制止某项效劳。

执行第一种战略的防火墙在默许状况下允许一切的效劳，除非管理员对某种效劳明白表示制止。执行第二种战略的防火墙在默许状况下制止一切的效劳，除非管理员对某种效劳明白表示允许。防火墙能够施行一种宽松的战略（第一种），也能够施行一种限制性战略（第二种），这就是制定防火墙战略的动手点。一个站点能够把一些必需的而又不能经过防火墙的效劳放在屏蔽子网上，和其他的系统隔离。

五、设计时需求思索的问题

为了肯定防火墙设计谋略，进而构建完成战略的防火墙，应从最平安的防火墙设计谋略开端，即除非明白允许，否则制止某种效劳。战略应该处理以下的问题：需求什么效劳；在哪里运用这些效劳；能否应当支持拨号入网和加密等效劳；提供这些效劳的风险是什么；若提供这种维护，可能会招致网络运用上的不便当等负面影响，这些影响会有多大，能否值付出这种代价；和可用性相比，站点的平安性放在什么位置。