防火墙在网络中的作用精选(九篇)

前言：一篇好文章的诞生，需要你不断地搜集资料、整理思路，本站小编为你收集了丰富的防火墙在网络中的作用主题范文，仅供参考，欢迎阅读并收藏。

第1篇：防火墙在网络中的作用范文

关键词 防火墙；网络安全；技术研究

中图分类号：TP393 文献标识码：A 文章编号：1671-7597（2014）02-0116-01

信息时代的到来，促使网络已经涉足到我国的各个领域，不论是运行工作，还是机密防护，都涉及到网络，网络安全逐渐成为重点关注的内容。为保障网络安全，可利用防火墙的检测、警示、防护作用，维持网络环境的安全状态，避免恶意攻击和病毒植入，近几年，有关防火墙的新型技术不断出现，例如：加密、认证等，严谨控制网络环境，提高防火墙的把关工作。

1 防火墙简介

防火墙是针对网络环境而言，网络信息在交互的过程中，通过防火墙，实现由内而外、自外而内的保护，例如：外部信息进入内部网络环境时，防火墙可以利用内部的组件，对流通信息实行高质量检测，符合内部网络要求时，防火墙才可“放行”信息，如发现危险信息，防火墙会主动隔断其与内部的联系，然后生成安全日志，防止同名恶意信息的再次攻击，因此，防火墙本身具备高质量的运行系统。防火墙具备防御的性质，发挥限制信息的作用，而且防火墙干预的范围非常广，基本可以保护所控制的网络整体，既要确保系统不被外界恶意信息攻击，又要保障内部信息的安全储存，防止信息泄露，同时防火墙还可以起到隔离的作用，一方面有效分析运行、传递的信息，另一方面限制信息往来，体现防火墙独立的信息处理能力。

2 防火墙在网络安全中的要点

网络安全技术中，防火墙具备不可缺少的一部分，同时期在对网络信息进行安全保护时，表现出诸多要点，必须做好防火墙要点分析的工作，才可发挥防火墙的保护作用。

2.1 防火墙的维护

防火墙是根据外界攻击的类型、特性实行升级更新，在安装后，需实行同步维护，开发者研发防火墙后，并不是可以一直维护网络环境，需对其进行有针对的更新，根据防火墙在使用中表现出的缺陷，进行实质修复，所以使用者必须注重后期维护，时刻跟踪防火墙的状态，保障防火墙时刻处于最新型的保护状态。

2.2 防火墙的配置

防火墙的配置，即是实现信息保护的策略，通过合理的配置，可以提高防火墙的防护能力，因此必须保障配置原则，首先需要分析网络环境的风险级别，采取合理的防护配置，避免高风险对应低级配，然后分析网络运行要素，针对网络需求，选择合理的配置，再次明确策略，主要是根据网络的危险性，制定防火墙策略，实现最优处理，最后搭配适宜，重点是实现网络是防护的高度吻合性。

2.3 防火墙的失效处理

防火墙虽然可以起到防护作用，但是在一定程度上，有可能被恶意攻破，导致其处于失效状态，防火墙一旦失效，即表示其暂时失去防护能力，主要观察防火墙的失效状态，看是否能够自行恢复防御效果，一般防火墙会自动重启，逐步恢复失效前的能力，此时使用者可关闭防火墙内的所有通道，禁止数据流通，对防火墙实行评估、检测，达到正常后，在投入使用。

2.4 防火墙的规则使用

防火墙在使用规则方面，遵循“四部曲”的工作流程，即策略、体系、规则和规则集。按照四项使用流程，在保障信息安全的基础上，增加流通性，维护信息的真实性，体现防火墙的保护功能，其中最重要的是规则集，其可确保防火墙的状态，促使防火墙时刻处于信息检查的状态，将出、入的信息如实记录。

3 防火墙在网络安全中的分类和功能

网络是时刻处于不同类型的变动状态中，防火墙必须摸清网络的变化特性，才可发挥防御功能，目前针对网络的不同使用特性，防火墙出现不同性质的分类，对防火墙的分类和功能做以下分析。

3.1 防火墙的分类

按照性质可将防火墙分为三类：监测型、型和过滤型，分析如下。

1）监测型。监测型属于目前安全性能比较高的一类，支持后台维护，即自动对正在运行的网络，实行抽检、防护，而且不会造成任何网络负担，有效监测网络是否存在外来攻击，同时防止网络内部的自行攻击，结合网络层次和机制，监测网络运行。

2）型。型虽然效率高，但是安全性能存在不足之处，其可在内外交接的过程中，有效掩藏内网，切断内外连接，避免内网遭遇攻击，型主要是防止木马、病毒以及其他恶意植入，此类防火墙使用时，必须搭配合理的服务器，以此提高防御的效率。

3）过滤型。过滤型应用在数据流通较大的网络内，其主要的作用对象也是数据流，因为其在维护上没有较高的要求，所以其为防护基础，基本网络环境中，都安装此类防火墙。

3.2 防火墙的功能

1）控制内部数据。通过防火墙，加强网络访问的安全度，例如：防火墙对网络访问者实行身份验证，保障访问安全，保障内部访问者的安全登录，确保内部信息、数据的安全，避免内部出现行为攻击。

2）提高网络安全度。防火墙与网络其他防护软件形成组合，提高安全程度，高端防火墙还实现专有信息，即加密内部信息，对信息进行集中处理，在信息流通的过程中，必须经过防火墙的加密保护和检测。

3）监控网络运行。防火墙可以有效监控网络运行，警示发生在网络区域内的行为，一旦发现网络危险，立刻提示，记录并处理危险动作，分析是否存在攻击信息。

4）屏蔽外界干扰。防火墙可以针对网络形成整体的保护层，避免外界危险信息的入侵，防火墙中包含协议解析功能，针对外界进入的信息，分析路径、IP，进而搜索到信息来源，部分外界攻击容易利用IP，因为IP协议处于暴露状态，所以防火墙重点屏蔽网络IP处的信息干扰，同时防火墙可以屏蔽网络的多项暴露处，避免为外界攻击构成信息通道。

4 结束语

防火墙本身是建立在运行系统基础上的软件，针对网络构建安全的运行环境，目前，防火墙在网络安全中占据重要地位，因此，社会投入大量的科研力量，重点研究防火墙中的网络技术，促使其既可以形成保护系统，又可以提高网络的安全效果，营造可靠、安全、稳定的网络环境，积极推进网络在企业中的利用度，同时保障企业网络系统的运行。

参考文献

[1]张连银.防火墙技术在网络安全中的应用[J].科技资讯，2012（09）：90-92.

[2]刘彦保.防火墙技术及其在网络安全中的应用[J].延安教育学院学报，2012（02）：56-58.

第2篇：防火墙在网络中的作用范文

关键词：防火墙；网络安全；发展趋势

一、防火墙技术在网络安全应用中的重要性

防火墙最基本的功能就是控制在计算机网络中，不同信任程度区域间传送的数据流。例如互联网是不可信任的区域，而内部网络是高度信任的区域。以避免安全策略中禁止的一些通信，与建筑中的防火墙功能相似。它在网络安全应用中的重要性主要包括以下几个方面：

1.网络安全的屏障

防火墙能极大地提高一个内部网络的安全性，并通过过滤不安全的服务而降低风险。由于只有经过精心选择的应用协议才能通过防火墙，所以网络环境变得更安全。防火墙同时可以保护网络免受基于路由的攻击，防火墙应该可以拒绝所有以上类型攻击的报文并通知防火墙管理员。

2.强化网络安全策略

通过以防火墙为中心的安全方案配置，能将所有安全软件（如口令、加密、身份认证、审计等）配置在防火墙上。与将网络安全问题分散到各个主机上相比，防火墙的集中安全管理更经济。

3.监控网络存取和访问

如果所有的访问都经过防火墙，那么，防火墙就能记录下这些访问并作出日志记录，同时也能提供网络使用情况的统计数据。当发生可疑动作时，防火墙能进行适当的报警，并提供网络是否受到监测和攻击的详细信息。另外，收集一个网络的使用和误用情况也是非常重要的。首先的理由是可以清楚防火墙是否能够抵挡攻击者的探测和攻击，并且清楚防火墙的控制是否充足。

4.防止内部信息的外泄

通过利用防火墙对内部网络的划分，可实现内部网重点网段的隔离，从而限制了局部重点或敏感网络安全问题对全局网络造成的影响。再者，隐私是内部网络非常关心的问题，一个内部网络中不引人注意的细节可能包含了有关安全的线索而引起外部攻击者的兴趣，甚至因此而暴漏了内部网络的某些安全漏洞。

二、防火墙技术在网络安全中的应用现状

随着防火墙技术的不断更新，新型的防火墙技术安全性能更高，它综合了过滤和技术，克服二者在安全方面的缺陷，不仅覆盖了传统包过滤防火墙的全部功能，而且在全面对抗IP欺骗、ARP、ICMP、SYNFlood等共计手段方面有明显的优势和效果，增强了服务，并使其与包过滤相融合，加上智能过滤技术，使得防火墙的安全性能有了长足提高。目前新型防火墙技术主要包括以下几种：

1.分布式防火墙技术，指那些驻留在网络中主机如服务器或桌面机并对主机系统自身提供安全保护的软件产品，广义上讲，分布式防火墙是一种新的防火墙体系结构，包括用于内外部网之间和内网之间防护的网络防火墙、对网络中服务器和桌面机保护的主机防火墙、用于保护网络中单一设备的中心边界防火墙等。

2.嵌入式防火墙技术，指内嵌于路由器或交换机的防火墙，通常也被称为阻塞点防火墙，这种防火墙能弥补并改善各类安全能力不足的企业边缘防火墙、基于主机的应用程序、网络程序、入侵检测告警程序和防病毒程序等，确保企业内部和外部的网络安全。

3.职能防火墙技术，通过利用统计、记忆、概率和决策的职能方法对数据进行识别，并达到访问控制的目的，由于这些方法多时人工职能学科采用的方法，也统称为职能防火墙，通常这种防火墙的关键技术包括防攻击技术、防扫描技术、防欺骗技术、入侵防御技术、包擦洗和协议正常化技术、AAA技术等。

虽然防火墙技术越来越成熟，功能也越来越强大，但依然存在一些不足，主要表现在以下几个方面：

1.不能防御不经过防火墙的攻击，显而易见，若果防火墙布置在企业网络的边界 ，对进出企业的信息进行过滤，而企业内部的电脑通过拨号网络直接与外网连接的话，防火墙就不起作用。

2.不能防御计算机病毒的攻击，计算机病毒攻击的方式层出不穷，大多数防火墙都是根据系统存在的漏洞进行攻击，对于这种攻击防火墙常常无能为力。

3.防火墙自身存在安全漏洞，无论是硬件还是软件防火墙，都会或多或少的存在设计漏洞，一些不法分子可能会利用这些设计上的漏洞绕过防火墙对系统进行攻击。

4.对防御数据驱动式的攻击无能为力，作为一种常见的攻击方式，但其每次通过防火墙时的数据却都是符合规则的，但这些数据组合以后就会对系统进行破坏。

5.以损失有用服务为代价，为了信息安全，我们通常会关闭一些不必要的服务，但这些服务中也有许多有价值的服务信息，虽然可以一定程度上提高计算机应用的安全性，但也必须以放弃一部分使用价值为代价。

三、防火墙技术的未来发展趋势

针对目前防火墙不能解决的问题以及越来越多的网络攻击方式的出现，对防火墙技术也必将有更高的要求，未来将向高速度、多功能和安全性更高的方向发展，其未来发展趋势可以从包过滤技术、防火墙体系结构和防火墙系统管理三方面来实现。

1.在防火墙包过滤技术发展方面，首先安全策略功能会更加强大，新的防火墙技术会把在AAA系统上运用的用户认证及其服务扩展到防火墙中，使其拥有可以支持基于用户角色的安全策略功能，使得用户在身份验证方面的安全功能增强。其次，加强防火墙的多级过滤技术，通过多级的过滤技术并配合其它方面的鉴别手段，可以从不同层面过滤掉所有的源路由分组、假冒IP源地址、禁止出或入的协议、有害数据包、控制和监测互联网提供的所有通用服务等，在一定程度上弥补单独过滤技术的不足。同时，新的防火墙技术或会增加更多的扩展功能，甚至包括防病毒和入侵监测等主流功能。

2.在防火墙体系结构发展方面，随着互联网用户的增加，以及用户对网络的更高要求，防火墙技术也必须以更加快速的数据处理来满足显示要求。目前出现的基于ASIC的防火墙和基于网络处理器的防火墙都在不同程度上顺应着这种潮流，这两种防火墙技术性能虽然得到了大幅度的提高，但是，它们依然有其不足之处，如基于ASIC的防火墙是使用专门饿硬件处理网络数据流，但纯硬件的ASIC防火墙缺乏可编程性，使得其灵活性大打折扣。而基于网络处理器的防火墙虽然属于基于软件的解决方案，而且灵活性更强，但其作用的发挥很大程度上取决于软件性能的好坏。因此比较理想化的解决方案是增加ASIC芯片的可编程性，使其能够更好的和软件想配合，这样才能同时满足运行性能和灵活性能的要求。

3.在防火墙的系统管理发展方面，分布式和分层的安全结构的集中管理方式是未来的发展趋势，这种集中的管理方式不仅能降低管理成本，而且能在网络安全中保证策略的一致性，使得防火墙能够起到快速响应和快速防御的效果。其次，未来防火墙的系统管理方面将拥有更加强大的审计功能和自动日志分析功能，通过这些方面的加强，能够更早的发现潜在的威胁并采取有效地预防措施，在日常中，通过其日志分析功能，能够及早的帮助计算机管理员发现系统中可能存在的安全漏洞，对做到早预防和调整安全管理策略是必不可少的。最后，网络安全产品的系统化也是未来的发展的趋势，因为目前的防火墙技术难以满足当前的网络安全要求，通过建立以防火墙为核心的安全体系，就可以为内部网络提供更多的安全保障，使各安全技术各司其职，从各个方面防御外来入侵。

参考文献

[1]马东辉.入侵检测系统与防火墙在教育网络中的互动应用研究[D].中国石油大学.2011年

[2]刘波.防火墙穿透技术的研究与实现[D].沈阳工业大学.2009年

[3]黄晗辉.防火墙规则的异常检测及优化研究[D].重庆大学.2010年

[4]陈文惠.防火墙系统策略配置研究[D].中国科学技术大学.2007年

第3篇：防火墙在网络中的作用范文

关键词：网络；防火墙

中图分类号：TP393文献标识码：A文章编号：1007-9599 (2011) 03-0000-01

Network Firewall Technology Development

Chen Xi

(Baoding Branch of China Tietong,Baoding71000,China)

Abstract:The rapid development of the network to bring convenience,but also a lot of inconvenience to the 3G users,intrusion,virus infection and other serious threats to the user's normal use of 3G network,so firewall,played a crucial role in the development of This article on the status of 3G network development and existing threats,analysis of network firewall technology to help ensure the normal use of the user better.

Keywords:Network;Firewall

网址对于网络安全来说防火墙是主要的一个防御机制，在整个网络系统中起到至关重要的作用。防火墙的技术、自身的功能、保护能力、网络结构、安全策略等因素，是网络安全性的决定性因素，而在网络迅猛发展的今天，对网络安全和防护的要求就越来越迫切，网络防火墙被用作为加强控制网络之间的互访，严防外部网络用户恶意通过外网入侵内部网络，并对网络之间的数据包的传输进行实时监控，判断网络之间通信的合法性，以及网络运行的状态。

一、防火墙的类型

网络在人们的平常生活中越来越普及化，网络的安全就越来越受到了人们的重视，防火墙成为网络安全的一个重要保障。防火墙的种类多样化，根据应用技术的不同，可分为一下几类：

（一）防火墙的初级产品：包过滤型防火墙它的核心为传输技术，通过读取数据包中的地址信息来辨别数据包的合法性，辨别其来自的网站是否安全，如果是危险的数据包，防火墙最自动将其抑制，包过滤技术具有简单实用的优点，而且成本低，经常是以较小的代价实现对系统的保障，但是其常常无法识别应用层的恶意攻击。

（二）网络地址转化（network address translation）NATNAT的主要技术是将IP地址转化为临时的、注册的外部IP地址，同时允许私有IP地址用户访问因特网，系统将源端口和源地址映射为一个伪装的地址和端口，用伪装的地址与端口与外网建立连接，从而以达到隐藏真实的IP地址。

（三）型防火墙型防火墙亦可称作为服务器，它是一种安全性相对较高的产品，其位于服务器与用户级之间，对于两者之间的数据交流可以起到很好的监控和阻拦危险数据的作用，避免了外部的一些恶意攻击，为网络与用户之间建立了一条有效安全的绿色通道，其优点是安全性较高，对应用层可以做到有效的扫描和侦测，对于抑制应用层的病毒侵入和感染十分有效，劣势就是管理起来相对复杂。

（四）监测型防火墙监测型防火墙是一种新的产品，它对网络各层的数据予以主动的、实时的监控，对于各层中的恶意入侵和非法操作的监控、判断更为行之有效，而且防范能力也得到了大幅度的提升，其优点它的防御能力已完全超越了前几种类型防火墙，但劣势也比较明显，成本高，管理困难。

二、在网络安全的五个体系中防火墙处于五层中的最低层，负责网络数据的安全传输与认证

由于网络的全球化和重要性，网络安全的重要性也随之深入人心。从发展的角度看，防火墙技术正在向其它各层的网络安全延伸。由于网络病毒的不断升级，随之其防火墙的技术与职能也在迅速的拓展。

（一）向着多级过滤技术发展网络会向着多级过滤技术发展，多级过滤技术的定义是：采用多级过滤措施，在分组过滤（网络层）一级，对所有的源路由分组和假冒的IP源地址进行过滤；应遵循过滤规则，过滤掉所有（传输层）一级，违反规则的的协议和有害数据包；在应用网关（应用层）一级，能利用不同的网关，操控和监测到Internet提供的所有服务。我们可以通过这个技术的理解上开发出更多的扩展技术。

（二）动态封包过滤技术动态封包过滤技术与传统的数据包过滤技术相比较：传统的数据包技术职能检测到单个的数据包的包头和单一的判断信息是否转发或丢弃，动态数据包过滤技术则是着重于连续封闭包包间的关联性以及其出入的检测；过滤；加密解密或者传输，并作进一步的用户身份认证，他能够深入检查出数据包，查出内部存在的恶意行为，识别恶意数据流量，阻断恶意攻击的出现，并且具备识别黑客的非法扫描，有效阻断非法的欺骗信息。

三、网络防火墙产品发展趋势

网络信息技术的飞速发展，硬件设施的不断更新，随之带来防火墙产品的不断换代以及产品技术的迅速进展，数据的安全、身份的认证以及病毒阻控和入侵检测等成为了防火墙的发展方向，其发展趋势主要有：

（一）模式转变。传统的防火墙主要是用来把数据流，形成分隔开来，从而划分出安全的管理区。普遍位于网络的边缘。而传统的防火墙设计缺乏对内网恶意攻击者的防范，而新的防火墙产品以网络节点为保护对象，最大限度的保护对象，提高网络安全级别，增强保护作用。

（二）技术整合。通过对防火墙技术的了解。可以更加清楚的认识各类技术的优缺点。这对于今后防火墙的技术整起到了促进的作用。

（三）性能提高。随着网络的飞速发展，千兆网络也逐渐在普及，在未来防火墙产品的发展上将会有更强处理功能的防火墙问市。在硬件上，千兆防火墙的主要选择将会为网络处理器（Network Processor）和专用集成电路（ASIC）技术。可以通过优化存储器等资源，使防火墙达到线速千兆。在软件上为了能够达到防火墙在性能上的要求，未来将会融入更多的先进技术理念并应用到实践中去，从而做到与性能相匹配。

四、结束语

在网络已成为人们普遍使用工具的当下，网络安全性已成为人们探讨的焦点。而作为保护网络安全性手段之一的防火墙技术已成为人们普遍使用的手段。不仅针对于个人，也保护着企业内部的网络安全。随着网络的安全性不断的受到侵害，安全性也在不断的更新。未来多级过滤技术、动态封包过滤技术将会运用到实战中来。防火墙技术也将更加多元化，更加方便、快捷、安全。能够使防火墙技术的不断完善这不仅关系到某个领域，更会涉及到信息安全的未来。

参考文献：

[1]冯登国.计算机通信网络安全[M].北京:清华大学出版社,2001:104

第4篇：防火墙在网络中的作用范文

【关键词】网络安全；校园网；防火墙技术

一、防火墙技术在校园网建设中的重要性

现代社会是电子信息的社会，网络已经成为遍及社会和家庭的必要工具。随着计算机网络技术的不断进步，相应的网络安全问题也逐步成为人们的关注焦点。

一些怀有恶意的网络攻击，对网络客户端的使用者进行信息盗取，修改网络数据，通过远程控制电脑非法占用电脑使用者资料信息。网络作为一个公开的信息交换工具就具有潜在的危险性。网络安全是一个特殊的领域，收到全球的高度重视。因此网络安全技术十分重要。

高校虽然和具有商业机密的企业网有着一定的差距，但是校园网依旧有自己的安全保护需要和保护内容。首先安全安静的网络环境是学校保护学生身心健康的重要手段。现在我国的大部分高校依旧采用的是大面积的覆盖，很多栋建筑还有教学课堂都在逐步走向网络化的进程中。越来越多的学生都在运用网络进行学习和娱乐，并且使用网络的时间在不断加长，这些都是的网络的安全管理工作越来越重要，也越来越有管理难度。

在平时的教学当中，关于教学的网络资源的调配工作越来越成为学校关注的问题，网络宽带的使用和分配，如何满足现代教育多媒体教学技术应用的需求。多媒体教学中包括远程技术的使用，校园网的用户认证，防止恶意的网络攻击和校园网上不良信息的传播等。很多校园网络没有设置相应的安全防护系统，学生们在课堂上能够任意链接IE浏览各种信息，其中包括一些网上的不良信息。这些不仅影响教师的教学进度，而且影响学生的身心健康和正常发展。

网络安全是当前所有网络用户最为关注的问题，目前的防火墙技术已经成为保护校园网络安全，正确解决校园安全隐患的有效工具。防火墙并不是单单包括防火墙软件的应用，还包括防火墙硬件的配置。这样的防火墙技术能够确保电脑更加安全，但是费用也相对来说比较高。防火墙技术必须随着网络技术的不断发展而进步变化，只有如此才能真正确保电脑校园网络的安全和稳定。

二、防火墙技术在高校校园网中的选用原则

（一）防火墙技术概念

防火墙技术对于加强网络管理和网络控制起到很大的作用。通过对网络的访问之间加强控制，防止用户受到非法访问的骚扰。防火墙是一种保护网络整体环境安全的设备。它对多个网络用户之间的资源传送和连接方式都有相应的安全策略。网络之间的通信只有通过防火墙技术的检查才能够确保整个网络的安全运行，是整个网络处于防火墙技术的监控下。

（二）高校校园网中使用防火墙的选用原则

选择防火墙的标准有很多，但最重要的是以下几条：

1.总体拥有成本

防火墙产品作为网络系统的安全屏障，其TCO（Total Cost of Ownership，总体拥有成本）不应该超过受保护网络系统可能遭受最大损失的成本。以一个非关键部门的网络系统为例，假如其系统中的所有信息及所支持应用的总价值为10万元，则该部门所配备防火墙的总成本也不应该超过10万元。当然，对于关键部门来说，其所造成的负面影响和连带损失也应考虑在内。

2.防火墙本身是安全的

作为信息系统安全产品，防火墙本身也应该保证安全，不给外部侵入者以可乘之机。

3.管理与培训

管理和培训是评价一个防火墙好坏的重要方面。人员的培训和日常维护费用通常会在TCO中占据较大的比例。一家优秀秀的安全产品供应商必须为其用户提供良好的培训和售后服务。

4.可扩充性

网络系统在建设的初始阶段往往由内部信息的系统规模比较小，遭受的损失可能就比较小，太昂贵的防火墙产品就显得没有必要。随着现代社会中的网络不断发展，网络信息安全成本不断上升，遭受网络损失的可能性和危害性都增强了，因此越来越多的用户面对可能付出的昂贵的损失，选择了更加安全可靠的防火墙产品。好的防火墙技术能够在保障网络安全的同时给予用户高度是自我空间，有较好的的产品弹性。

三、高校校园网中常用的防火墙技术

防火墙是一种在内外部网络建立保护层，保护内外部网络资源不被破坏。使用防火墙能够有效的使内部网络的访问受到保护，使其拥有一个保护层，避免内部网络受到外部网络的干扰，而不影响内部网络成员对外网络资源的访问。同时校园网络的为了维护网络的稳定和安全一定不会选用单一的防火墙技术。其中常用的保护校园网络的技术主要包括以下几方面。这些技术能够综合全面的解决高校校园网络的各项安全问题。

（一）包过滤技术

包过滤技术是在网络中适当的位置上对数据包实施有选择的过滤。包过滤防火墙一般含有一个包检查模块，它可以安装在网关或路由器上，处于系统的TCP（Transfer Controln Protocol，传输控制协议）层和IP（Internet Protocol，网际协议）层之间，以便抢在操作系统或路由器的TCP层之前对IP包进行处理。通过检查模块的处理，防火墙可以对进出站的数据进行检查，验证数据包是否符合过滤规则。

（二）技术

技术是针对每一个特定应用服务的控制，它作用于应用层，具有状态性的特点，能提供部分与传输有关的状态，起到外部网络向内部网络申请服务时的中间转接作用。内部网络只接受提出的服务请求，拒绝外部网络其他节点的直接请求。提供服务的可以是一台双宿网关，也可以是一台堡垒主机。

（三）状态检查技术

在网络层实现网络防火墙技术包括很多方面技术的支持。其中状态检查就是其中一项技术。状态检查技术采用的是在网关上安装和运行安全引擎，对网络进行模块检测。模块检测是在不影响网络正常运行的前提下进行的。它能够对网络通信进行信息抽取，实行动态检测，更容易实现网络系统的全面安全管理。

（四）内容检查技术

内容检查技术提供对高层服务协议数据的监控，以确保数据流的安全。它是一个利用智能方式来分析数据，使系统免受信息内容安全威胁的软件组。

以上内容是在解决高校网络安全中防火墙措施所起到的作用和相应的设置。防火墙不仅完美的过滤掉了高校局域网中的不良信息，保留了健康有用的信息，而且维护了课堂的正常秩序，同时防火墙的安装能够保障校园网络的平稳运行。通过以上的阐述，我们能够正确认识到防火墙技术在网络安全尤其是校园网络安全方面的重要性和必要性。近年来计算机网络的发展已经成为了不可阻挡的潮流，人们对于计算机网络的要求也在不断的增加。网络安全问题也成为人们所关注的焦点问题，针对计算机网络世界的安全问题，更加先进的防火墙技术和合理的软硬件搭配组合就会随之出现，计算机网络的安全在不断的增强。经过事实证明，好的合理的防火墙技术选择是保护计算机安全的重要条件。对于拥有商业机密的企业电子网络或者是高校的局域网络，只有通过合理的防火墙技术才能够保证网络安全。维护了网络安全就是维护了我们的教育成果，保证了我们的教学方法能够顺利实施。相信在不久的将来，我国的防火墙技术也会随着我国的网络技术不断发展，超越现有的能力和水平，更加强大的网络防火墙技术会不断呈现在我们的面前。

参考文献：

第5篇：防火墙在网络中的作用范文

关键词：防火墙技术；网络；安全

1防火墙技术

防火墙是计算机网络安全必须用到的技术，其能够将计算机网络资源确保在安全范围内。这种技术的使用原理是要提前设置该保护目标，让其有规律地对计算机网络信息以及数据进行授权和限制，防火墙技术在使用过程中会主动记录网络信息与数据来源，其控制着计算机的运行条件与使用方法，以此杜绝外来攻击对计算机内部造成的影响，其可以在不同的角度与层面上来确保计算机网络资源的安全。防火墙技术在计算机网络信息安全中发挥着非常重要的作用。

2计算机网络安全中的防火墙技术

2.1服务器型

在防火墙技术中服务器型防火墙是通过在主机上运用的一种服务程序，直接面对计算机上特定的应用服务，因此也将它称为应用型防火墙。这种技术将参照计算机上的运行模式先进行设置服务器，之后再利用服务器展开信息交换模式，即外部网络想要与内部网络建立连接，就必须得通过服务器的转换，内部网络只接受服务器所提出的要求，拒绝外部网络连接的直接请求。把网络信息从内部网络传送到外部网络之后将带着正确的IP信息归来，因此黑客也正是利用服务器的这个特点，将病毒植于数据IP之中带到内部网络中来，这时，杀毒软件也利用同样的原理与防火墙联合将攻击者的IP信息路径进行分析，准确地找到攻击者IP的源头。由于服务器可以虚拟IP，这使攻击者IP找不到实用的信息，这样可以很好地保护计算机内部网络安全，再加上服务器还有中转的特性，能够很好地控制内部网络与外部网络的信息交换，从而大大提升了计算机网络的安全水平。服务器对网关具有很高的要求，要建立相应的网关层面，充分发挥网关的作用，使服务器的价值得到有效的运用，以此来实现计算机网络安全与稳定的维护和发展。

2.2包过滤型技术

这种包过滤技术是在传统的路由器中增加了分组过滤功能的防火墙，其能够在计算机网络中进行安全风险识别过滤，这种防火墙技术是一种最简单完全透明的过滤型技术。此技术在计算机传输信息过程中能获取数据来源地的IP，并且还能主动将该IP的数据信息掌握标记好。如果注册该技术与标记的IP相符，就存在着数据包有危险因素，此时就要将其中的安全隐患处理好才可以进行数据传输。包过滤技术将计算机传输路径进行划分工作，确定不同的传输路径，能够很好地保障计算机网络的传输安全，这种技术通常用于路由器以及主机等地方，可以根据计算机网络需求提供相应的安保需求。但是，这种技术也受本身的端口限制，因此在兼容性能上来说是比较差的。

2.3混合型技术

混合型防火墙技术在计算机网络安全中是效果最突出的一种复合技术，是把包过滤与服务器等诸多功能相结合形成的新型防火墙结构。这种技术可以很灵活的保障计算机网络的安全运行，此技术把单一的技术问题与漏洞进行了改善，是近年来计算机网络安全运行非常重视的一项技术研究。这种技术具有一定的灵活性，以动态的过滤方法打破信息交换的方式，智能的感应系统有效地提高了计算机网络信息传输的隐蔽性，提升了网络空间的安全水平。防火墙技术与复合技术二者双管齐下进行保护，形成了一种混合型的多方位层次度不同的防火墙系统，充分提高了防火墙的实时安保效果。

3防火墙技术的发展

3.1检测模式的转变

如今这种类型防火墙技术已成为计算机网络安全中最具代表性的一种防火墙模式。传统的防火墙都是在边界处以数据传输进行分隔安全管理，不能很好地对内部网络进行安全隐患提醒清除。因此，防火墙技术开始分布式结构转变，将每个网络节点进行覆盖保护，很好的确定了流量的方向，减少了计算机网络安全检测的难度，最大限度地提升了网络安全保护的强度，很好地改善了传统防火墙的缺陷与漏洞问题，让网络安全防御性得到升华，大大提升了计算机网络信息安全保障。

3.2功能改变

如今防火墙技术呈现出一种集多种功能于一体的设计趋势，其包括aaa、vpn，甚至是防病毒以及入侵检测等功能都被设计于防火墙之中，这样多功能技术的防火墙对网络信息管理带来了不少便捷。当然，这种扩展式网络管理首先要想到防火墙系统本身的安全性能不被破坏。

3.3性能提升

由于计算机网络应用逐渐丰富、流量也日益复杂，所以，在防火墙技术硬件性能上的要求也越来越高。当防火墙某个硬件性能达到一定瓶颈期的时候，我们可以把部分硬件进行升级处理，以此来达到网络安全的目的。因此，在未来防火墙技术软件中融入更先进的设计技术来衍生出更多专用平台来缓解防火墙性能要求是必不可少的技术研究。

4防火墙技术在计算机网络安全中的应用及策略

4.1访问策略中应用

访问策略对于计算机使用中的网络安全具有直接的影响作用，把配置通过详细的安排让访问策略对整个计算机的运行信息进行细致入微的分析统计，以此来建立起完善的防护系统。访问策略在网络安全执行保护的过程中会产生策略表，此表可以很好地将策略活动进行记录，然后防火墙技术会根据策略表来执行其应有的任务，真正有效地实现计算机网络安全保护的效果与目的。

4.2日志监控中应用

防火墙技术对保护日志进行分析，能够让人们掌握高价值的信息，在计算机运行的过程中，需要对日志进行重点保护，对于某个类型的日志进行全面的采集，这就使防火墙需要承担巨大的工作内容，因此需要合理地进行分门别类，将监管力度加大，使日志采集更具有便捷性，避免一些恶意屏蔽信息的现象出现。有时关键信息会隐藏在类别信息中，用户可以根据需求将有价值的信息提取出来，根据日志监控的基础，提升防火墙技术安全保护效果，以此让其更好地进行筛选，从而实现网络流量得到优化的目的。

4.3安全配置中应用

防火墙技术对于安全配置有着很高的要求，其最大的特点在于安全配置隔离区域之中的运行方式，即信息流由防火墙技术自动监控，通过对地址转换的利用，将内网信息IP流入外网时转换为公共IP信息，这样才能防止IP信息被追踪解析，这时安全配置会很好地发挥其隐藏IP、防止外网入侵等作用，为内网安全提供有力的保护。

第6篇：防火墙在网络中的作用范文

关键词：网络信息安全；大型网络；硬件防火墙；三次握手；过滤；CPU负载

伴随着信息技术的发展，网络已经成为人们工作生活必不可少的工具，而网络信息安全也越来越受到人们的重视。防火墙技术的发展将促进防火墙成为网络安全的重要保障，而硬件防火墙会成为保护大中型网络信息安全的首选!

一、大中型网络为何选择硬件防火墙

软件防火墙是安装在计算机操作平台的软件产品，它通过在操作系统底层工作来实现管理网络和优化防御功能。

对于大中型网络来说，将软件防火墙装人内部网络的每台设备和内部服务器中来保护网络安全的工作量是巨大的，在实际操作比较困难。首先，大中型网络需要稳定高速运行，而基于操作系统的软件防火墙运行将会给CPU增加超重负荷，造成路由不稳定，势必影响网络。其次，大中型网络会是黑客们攻击的对象，面对高速密集的DOS(拒绝服务)攻击，显然，单凭软件防火墙本身承受能力是无法做到抵御黑客，保护网络安全的。再次，软件防火墙在兼容性方面不及硬件防火墙。正是软件防火墙存在这些缺点．在大中型网络中一般会采用硬件防火墙。

二、硬件防火墙的工作原理和网络安全防御策略

2．1防火墙在网络中的位置

外部防火墙工作在外部网络和内部网络之间，这样的布署将内部网络和外部网络有效地隔离起来，已达到增加内部网络安全的目的。一般情况下，还要设立一个隔离区(DMZ)，放人公开的服务器，让外网访问时，就能增加内网的安全。而内部防火墙保护隔离区对内网的访问安全，这样的综合布署将有效提高网络安全。

2．2硬件防火墙的构成

硬件防火墙为了克服软件防火墙在大中型网络中的不足，对软件防火墙进行了改进。通过硬件和软件的结合来设计防火墙，硬件和软件部分都必须单独设计，将软件防火墙嵌入在硬件中同时，采用专门的操作系统平台(加入Linux系统，因为有些指令程序需要安装在Windows系统之中，而Windows稳定性不如Linux，如果在本身就很脆弱的系统平台中布署安全策略．这样的防火墙也会不安全)，从而避免通用操作系统的安全性漏洞。对软硬件的特殊要求，使硬件防火墙的实际带宽与理论值基本一致，提高吞吐量、增加安全性，加快运行速度。将这样的硬件防火墙安装进入大中型网络，不仅在可以有效地保障内网与外网链接时的安全．而且可以保障内部网络中不同部门不同区域之间的安全。

2．3大中型网络安全威胁来源

现今的网络使用的都是TcP，IP协议，TCP报文段传输最重要的就是报文段首部(segmenthea&r)~的内容。客户端和服务端的服务响应都是与报文段首部的数据相关联，而三次握手能够实现也和报文段首部的数据相关，其安全性也取决于首部内容，因此黑客经常利用TCPflP协议的漏洞对报文段首部下手从而实现有外网对内网进行攻击。

在大中型网络内部也有部门的划分，对于一些比较重要的部门就连内部网络其他部门也要授权后才能进行访问，这样就会最大限度保障网络的安全，因为有的大型网络的安全关系到国家社会的安全和稳定，所以如果在内部发生网络威胁将会带来更大的损失。

2．4网络中的攻击手段

网络中主要的攻击手段就是对服务器实行拒绝服务攻击，用IP欺骗使服务器复位合法用户的连接，使其不能正常连接．还有就是迫使服务器缓冲区满，无法接受新的请求。

2．4．1伪造IP欺骗攻击

IP欺骗中攻击者构造一个TCP数据，伪装自己的IP和一个合法用户IP相同，并且对服务器发送TCP数据，数据中包含复位链接位(RST)，当发送的连接有错误时，服务器就会清空缓冲区中建立好的正确连接。这时，如果那个合法用户要再发送合法数据，服务器就不会为其服务，该用户必须重新建立连接。

2．4．2SYNFLooD攻击

SYNFLOOD是利用了TCP协议的缺陷，一个正常的TCP连接需要三次握手，首先客户端发送一个包含SYN标志的数据包，然后服务器返回一个SYN／ACK的应答包，表示客户端的请求被接受，最后客户端再返回一个确认包ACK，这样才完成TCP连接。在服务器端发送应答包后，如果客户端不发出确认，服务器会等待到超时，期间这些半连接状态都保存在一个空间有限的缓冲区队列(BacklogQueue)中。SYNFLOOD攻击就是利用服务器的连接缓冲区，使用一些特制的程序(可以设置TCP报文段的首部，使整个T0P拉文与正常报文类似，但无法建立连接)，向服务器端不断地成倍发送仅有SYN标志的TCP连接请求，当服务器接收的时候，都认为是没有建立起来的连接请求，于是为这些请求建立会话，排到缓冲区队列中，这样就会使服务器端的TCP资源迅速耗尽，当缓冲区队列满时，服务器就不再接收新的连接请求了。其他合法用户的连接都会被拒绝，导致正常的连接不能进入，甚至会导致服务器的系统崩溃。

2．4．3ACKHood攻击

用户和服务器之间建立了TCP连接后，所有TCP报文都会带有ACK标志位，服务器接受到报文时，会检查数据包中表示连接的数据是否存在，如果存在，在检查连接状态是否合法，合法就将数据传送给应用层，非法则服务器操作系统协议栈会回应RST包给用户。对于JSP服务器来说，小的ACK包冲击就会导致服务器艰难处理正常得连接请求，而大批量高密度的ACKFlood会让A．pache或IIS服务器出现高频率的网卡中断和过重负载，最终会导致网卡停止响应。ACKFlood会对路由器等网络设备以及服务器造成影响。

2．4．4UDPFlood攻击

UDPFlood攻击是利用UDP协议无连接的特点，伪造大量客户端IP地址向服务器发起UDP连接，一旦服务器有一个端口响应并提供服务，就会遭到攻击，UDPFlood会对视频服务器和DNS服务器等造成攻击。

2．4．5ICMPFlood攻击

ICMPFlood通过Pin生的大量数据包，发送给服务器，服务器收到大量ICMP数据包，使CPU占用率满载继而引起该TCP／IP栈瘫痪，并停止响应TCP／IP请求，从而遭受攻击，因此运行逐渐变慢，进而死机。

除了以上几种攻击手段，在网络中还存在一些其他攻击手段，如宽带DOS攻击，自身消耗DOS攻击，将服务器硬盘装满，利用安全策略漏洞等等，这些需要硬件防火墙对其做出合理有效防御。

2．5硬件防火墙防御攻击的策略

2．5．1伪造IP欺骗攻击的防御策略

当IP数据包出内网时检验其IP源地址，每一个连接内网的硬件防火墙在决定是否允许本网内部的IP数据包发出之前，先对来自该IP数据包的IP源地址进行检验。如果该IP包的IP源地址不是其所在局域网内部的IP地址，该IP包就被拒绝，不允许该包离开内网。这样一来，攻击者至需要使用自己的IP地址才能通过连接网关或路由器。这样过滤和检验内网发出数据包的IP源地址的方法基本可以做到预防伪造IP欺骗攻击。

2．5．2SYNFLo0D攻击防御策略

硬件防火墙对于SYNFLOOD攻击防御基本上有三种，一是阻断新建的连接，二是释放无效连接，三是SYNCookie和SafeRe．set技术。

阻断新建连接就是在防火墙发现连半开连接数阈值和新建连接数阈值被超时时，SYNFLOOD攻击检测发现攻击，暂时阻止客户向服务器发出的任何请求。防火墙能在服务器处理新建连接报文之前将其阻断，削弱了网络攻击对服务器的影响，但无法在服务器被攻击时有效提升服务器的服务能力。因此，一般配合防火墙SYNFlood攻击检测，避免瞬间高强度攻击使服务器系统崩溃。释放无效链接是当服务器上半开连接过多时，要警惕冒充客户端的虚假IP发起无效连接，防火墙要在这些连接中识别那些是无效的．向服务器发送复位报文，让服务器进行释放，协助服务器恢复服务能力。SYNCo0kie和SafeReset是验证发起连接客户的合法性。防火墙要保护服务器入口的关键位置，对服务器发出的报文进行严格检查。

2．5．3ACKFlood攻击防御策略

防火墙对网络进行分析，当收包异常大于发包时，攻击者一般采用大量ACK包，小包发送，提高速度，这种判断方法是对称性判断．可以作为ACKFlood攻击的依据。防火墙建立hash表存放TCP连接状态，从而大致上知道网络状况。

2．5．4UDPHood攻击防御策略

UDPF1ood攻击防御比较困难，因为UDP是无连接的，防火墙应该判断UDP包的大小，大包攻击则采用粉碎UDP包的方法，或者对碎片进行重组。还有比较专业的防火墙在攻击端口不是业务端口是丢弃UDP包，抑或将UDP也设一些和TCP类似的规则。

2．5．5ICMPFlood攻击防御策略

对于ICMPFlood的防御策略，硬件防火墙采用过滤ICMP报文的方法。硬件防火墙还对网络中其他的一些攻击手段进行着安全有效的防御，保护着网络的安全。

三、硬件防火墙的配置考虑要素和选购标准

硬件防火墙是网络硬件设备，需要安装配置，网络管理人员应该要考虑实际应用中硬件规则的改变调整，配置参数也在不断改变。对于硬件防火墙的安全策略也应该考虑到，哪些数据流被允许，哪些不被允许，还有等等，还有授权的问题，外网域内网之问，内网里各个不同部门之间，还有DMZ区域和内网等，这些都需要照顾到。详尽的安全策略应该保证硬件防火墙配置的修改工作程序化．并能尽量避免因修改配置所造成的错误和安全漏洞。除此之外还要考虑CPU负载问题，过高的CPU负载可能是遭到网络DOS攻击。硬盘中保留日志记录也很重要，这对检查硬件防火墙有着重要作用，还要定期检查。:

第7篇：防火墙在网络中的作用范文

虽然防火墙和入侵检测技术在网络安全领域中占着举足轻重的地位，但由于它们自身存在的一些不足，导致其无法满足网络安全整体化的需求。通过分析比较两者的优缺点，提出将入侵检测技术与防火墙紧密结合，二者之间进行联动，从而实现对网络系统的即时保护。

关键词：

防火墙；入侵检测；联动；网络安全

随着互联网的深入发展，网络攻击方式层出不穷，令人防不胜防；而防火墙和入侵检测作为防护网络安全的两种重要技术手段，虽被广泛采用，但由于自身缺陷，使得两者的防范内容不尽相同。比如防火墙只能防范来自外部的攻击而无法解决来自网络内部的攻击；入侵检测只能识别攻击发出报警却不能自动产生适当的响应去阻止攻击等等，为了满足网络安全整体化的要求，提出将防火墙和入侵检测这两种具有较强互补性的技术整合在一起进行联动，扬长避短，充分发挥各自的优势，提高网络安全防护水平，最大程度的保障网络及信息的安全。

1防火墙技术

防火墙[1]指的是一个由软件和硬件组合而成的高级访问控制设备，是置于不同网络安全域之间执行访问控制策略的一种或一系列部件的组合。防火墙位于网络安全防护体系的最外一层，通常会被放置在外网与内网之间的出入口处。作为不同网络安全域之间通信流的唯一通道，它为实现网络安全起到了把关的作用。防火墙技术实际上是一种隔离技术,通过制订安全策略（允许、拒绝、监视、记录），将内部信任区域与外部不安全区域（如因特网）或内部网不同可信区域有效隔离,最大限度的对外部屏蔽网络内部的信息、结构和运行状况，以此来实现网络的安全防护。虽然防火墙能在网关级进行保护，但只提供静态防御，防御规则事先就已经设置完毕，一旦规则设置有误或者安全形势发生变化，防火墙就失去了即时应变的能力，因此它是一种被动的安全防护技术，存在一定的局限性，主要表现为：1）防火墙默认内部网络都是可信的，如果内部网络中存在后门，那些不经过防火墙的攻击数据包进入到内网时防火墙无法防范和响应。2）防火墙的访问控制策略需事先设置，不能实时调整策略规则来阻止正在进行的攻击，缺少应变性无法主动防范新的安全威胁。3）防火墙既不能防止受病毒感染的文件或程序的传输也不能防止基于某些标准网络协议的攻击。

2入侵检测技术

入侵检测[2]是对计算机网络系统中入侵行为的检测。它通过收集和分析网络行为、日志数据以及网络系统中若干关键点信息，检查网络系统中是否存在入侵或违反规则的行为并及时做出响应，例如断网、报警、记录事件信息等。入侵检测系统简称IDS(IntrusionDetectiveSystem)由进行入侵检测的软件和硬件所构成。与防火墙的被动防御不同，入侵检测采取的是一种积极主动地安全防护手段，能在不影响网络性能的前提下通过旁路监听方式不间断地收取网络数据，主动寻找入侵信号，对系统中的异常现象或未授权的访问、活动等事件进行审计、追踪、识别和检测。入侵检测不仅能察觉到来自系统外部的入侵，同时也能发现系统内部用户未经授权的活动，主动保护自己免受网络攻击，因此被认为是防火墙之后的第二道安全闸门。尽管如此，入侵检测技术还是存在一些局限性：1）由于入侵检测通常依赖特征匹配，每截获一个数据包都要分析和匹配，检测其中的数据是否具备攻击特征，因此会耗费大量的时间和系统资源，使得入侵检测的检测速度跟不上网络数据的传输速度，通常在数据包巨多的流量面前它会迅速失效。2）入侵检测的漏报率和误报率都比较高，产生漏报的一大原因是攻击特征数据库不能及时更新；另外一些旧式的攻击对已更新的操作系统不起作用，如果模式库中还存有这些攻击特征，就会导致入侵检测频繁报警，这些无效报警很大程度上无疑加大了入侵检测的误报率。3）入侵检测往往重点都放在对网络中入侵攻击行为的识别上，所以即使检测到攻击也很难采取有效的保护措施去阻止攻击。

3防火墙与入侵检测的联动

通过以上的分析对比可以看出两者在网络安全防护方面都存在一定的缺陷，防火墙侧重于提供静态访问控制、入侵检测侧重于主动发现入侵。如果把这两种技术结合在一起，集中二者的长处，形成互补，建立紧密的联动关系，相互提供保护屏障，既可以提升防火墙的机动性也能增强入侵检测系统的阻断能力。

所谓联动[3]是指通过一种组合的方式，将不同的安全技术进行整合，由其他安全技术弥补某一安全技术自身功能和性能的缺陷，以适应网络安全立体化、整体化的要求。本文提出的防火墙与入侵检测系统联动的方式是指将防火墙和入侵检测划分为两个独立的子系统，单独完成各自的任务，两者之间通过相应的通信接口和协议进行信息共享和互动，实现一体化的主动防御；同时为了防止交互信息被黑客窃取和攻击，相互间的通信需要进行认证和加密。防火墙与入侵检测系统之间的联动协作流程如图1所示。联动实现过程如下：1)首先防火墙安置于Internet与内部网络的连接处，这样当外网中的数据包要进入内网时就需经过它预先设定的访问规则控制链表，通过筛选过滤数据包可以阻挡一部分攻击。2)经过防火墙筛选过滤后的数据包以及绕过防火墙没有经过筛选的数据包都进入到内网中，这时部署在内网中的入侵检测系统不间断的提取这些数据包依据自身的规则库对它们进行分析比对，一旦发现入侵企图立即报警并将报警信息[4]（包括事件入侵类型，源地址，目的地址，源端口，目的端口及阻断时间等）转换成统一的报警格式，通过加密、认证后发送给防火墙。3)防火墙收到入侵检测的通知后立刻做出针对性的改进，动态修改相应的安全策略完善其访问控制规则，从而避免该攻击行为的再次发生。4)入侵检测系统每隔一段时间自动升级入侵特征库防止当新的攻击类型出现时，不能及时做出响应。

4结束语

本文根据防火墙和入侵检测的特点，提出建立防火墙与入侵检测系统的联动，这是目前网络安全产品的发展趋势；但由于防火墙和入侵检测本身都是比较复杂的系统，若将两者结合势必要对各自的硬件进行升级同时联动中多了认证和加密，如果在数据传输中被假冒和窃听则防火墙和入侵检测的性能都会受到影响，今后还需在这方面展开研究，力争创造一个更加智能、稳固的安全防护系统。

参考文献:

[1]曲朝阳,崔洪杰,王敬东,等.防火墙与入侵检测系统联动的研究与设计[J].微型机与应用,2012(5):48-50.

[2]江保利.防火墙与入侵检测联动防御系统研究[J].信息技术,2013(10):28-29.

[3]桂春梅,钟求喜,王怀民.基于UML的防火墙和入侵检测联动模型的研究[J].计算机工程与科学,2004,26(11):25-26.

第8篇：防火墙在网络中的作用范文

关键词：信息安全防火墙过滤迁移

在信息社会中，信息具有和能源、物源同等的价值，在某些时候甚至具有更高的价值。具有价值的信息必然存在安全性的问题，对于企业更是如此。经济社会的发展更要求各用户之间的通信和资源共享，需要将一批计算机连成网络才能保证电子商务活动的正常开展，这样就带来了更多的安全隐患。特别是对当今最大的网络——国际互联网，很容易遭到别有用心者的恶意攻击和破坏。信息的泄露问题也变得日益严重，因此，计算机网络的安全性问题就变得越来越重要。

如何来保证计算机网络的安全性呢？方法虽然很多，但防火墙技术绝对是其中最高效、实用的方法之一。在构建安全的网络环境的过程中，防火墙作为第一道安全防线，正受到越来越多用户的关注。通常一个公司在购买网络安全设备时，总是把防火墙放在首位。目前，防火墙已经成为世界上用得最多的网络安全产品之一。那么，防火墙是如何保证网络系统的安全，又如何实现自身安全的呢？本文从防火墙的概念出发，详细分析了防火墙的功能，并按其保证安全方法的不同进行了分类:包过滤式防火墙、服务式防火墙、地址迁移式防火墙等。

一、防火墙介绍

防火墙是指一种将内部网和公众访问网分开的方法，是网络之间一种特殊的访问控制设施。在Internet网络与内部网之间设置的一道屏障，防止黑客进入内部网，由用户制定安全访问策略，抵御各种侵袭的一种隔离技术。它能允许你“同意”的人和数据进入你的网络，将“不同意”的人和数据拒之门外，最大限度地阻止网络中的黑客来访问你的网络，防止他们更改、拷贝、毁坏你的重要信息；能限制被保护的网络与互联网络之间，或者与其他网络之间进行的信息存取、传递操作；能根据企业的安全策略控制出入网络的信息流，且本身具有较强的抗攻击能力。是提供信息安全服务，实现网络和信息安全的基础设施。在逻辑上，防火墙是一个分离器，一个限制器，也是一个分析器，有效地监控了内部网和Internet之间的任何活动，保证了内部网络的安全。防火墙的安全技术包括包过滤技术、技术和地址迁移技术等。

二、防火墙的作用

1.作为网络安全的屏障

只有经过精心选择的应用协议才能通过防火墙，可使网络环境变得更安全。如防火墙可以禁止NFS协议进出受保护的网络，这样外部的攻击者就不可能利用这些脆弱的协议来攻击内部网络。防火墙同时可以保护网络免受基于路由的攻击，如IP选项中的源路由攻击和ICMP重定向中的重定向路径。防火墙应该可以拒绝所有以上类型攻击的报文并通知防火墙管理员。

2.可以强化网络安全策略

通过以防火墙为中心的安全方案配置，能将所有安全软件（如口令、加密、身份认证、审计等）配置在防火墙上。与将网络安全问题分散到各个主机上相比，防火墙的集中安全管理更经济。例如在网络访问时，一次一密口令系统和其他的身份认证系统完全可以不必分散在各个主机上，而集中在防火墙身上。

3.可以对网络存取和访问进行监控审计

如果所有的访问都经过防火墙，那么，防火墙就能记录下这些访问并做出日志记录，同时也能提供网络使用情况的统计数据。当发生可疑动作时，防火墙能进行适当的报警，并提供网络是否受到监测和攻击的详细信息。另外，收集一个网络的使用和误用情况也是非常重要的。可以清楚防火墙是否能够抵挡攻击者的探测和攻击，并且清楚防火墙的控制是否充足。而网络使用统计对网络需求分析和威胁分析等也是非常重要的。

4.可以防止内部信息的外泄

通过利用防火墙对内部网络的划分，可实现内部网重点网段的隔离，从而限制了局部重点或敏感网络安全问题对全局网络造成的影响。

三、防火墙的技术分类

1.包过滤技术（PacketFilter）式防火墙

包过滤是在网络层中对数据包实施有选择的通过，依据系统事先设定好的过滤逻辑，检查数据据流中的每个数据包，根据数据包的源地址、目标地址，以及包所使用端口确定是否允许该类数据包通过。在互联网这样的信息包交换网络上，所有往来的信息都被分割成许许多多一定长度的信息包，包中包括发送者的IP地址和接收者的IP地址。当这些包被送上互联网时，路由器会读取接收者的IP并选择一条物理上的线路发送出去，信息包可能以不同的路线抵达目的地，当所有的包抵达后会在目的地重新组装还原。包过滤式的防火墙会检查所有通过信息包里的IP地址，并按照系统管理员所给定的过滤规则过滤信息包。如果防火墙设定某一IP为危险的话，从这个地址而来的所有信息都会被防火墙屏蔽掉。这种防火墙的用法很多，比如国家有关部门可以通过包过滤防火墙来禁止国内用户去访问那些违反我国有关规定或者“有问题”的国外站点。包过滤路由器的最大的优点就是它对于用户来说是透明的，也就是说不需要用户名和密码来登录。这种防火墙速度快而且易于维护，通常做为第一道防线。包过滤路由器的弊端也是很明显的，通常它没有用户的使用记录，这样就不能从访问记录中发现黑客的攻击记录。而攻击一个单纯的包过滤式的防火墙对黑客来说是比较容易的。如“信息包冲击”是黑客比较常用的一种攻击手段，黑客们对包过滤式防火墙发出一系列信息包，不过这些包中的IP地址已经被替换掉了，取而代之的是一串顺序的IP地址。一旦有一个包通过了防火墙，黑客便可以用这个IP地址来伪装他们发出的信息。通常它没有用户的使用记录，这样我们就不能从访问记录中发现黑客的攻击记录；此外，配置繁琐也是包过滤防火墙的一个缺点。它阻挡别人进入内部网络，但也不告诉你何人进入你的系统，或者何人从内部进入网际网路。它可以阻止外部对私有网络的访问，却不能记录内部的访问。包过滤另一个关键的弱点就是不能在用户级别上进行过滤，即不能鉴别不同的用户和防止ip地址盗用。所以说包过滤型防火墙是某种意义上的安全系统。

2.服务式防火墙

服务是另一种类型的防火墙，它通常是一个软件模块，运行在一台主机上。服务器与路由器的合作，路由器实现内部和外部网络交互时的信息流导向，将所有的相关应用服务请求传递给服务器。服务作用在应用层，其特点是完全“阻隔”了网络通信流，通过对每种应用服务编制专门的程序，实现监视和控制应用层通信流的作用。服务的实质是中介作用，它不允许内部网和外部网之间进行直接的通信。

用户希望访问内部网某个应用服务器时，实际上是向运行在防火墙上的服务软件提出请求，建立连接;理服务器代表它向要访问的应用系统提出请求，建立连接;应用系统给予服务器响应;服务器给予外部网用户以响应。外部网用户与应用服务器之间的数据传输全部由服务器中转，外部网用户无法直接与应用服务器交互，避免了来自外部用户的攻击。通常服务是针对特定的应用服务而言的，不同的应用服务可以设置不同的服务器。目前，很多内部网络都同时使用分组过滤路由器和服务器来保证内部网络的安全性，并且取得了较好的效果。

3.地址迁移式防火墙

由于多种原因，IPv4地址逐步面临耗尽的危机，而Ipv6的实际应用还有待时日。随着企业上网的人数增多，企业获得的公共IP地址（称全局IP地址，或者实际IP地址）可能难以和企业上网的实际设备数目匹配，这种现象具有加剧的倾向。一种可能的解决方案是为每个企业分配若干个全局IP地址，企业网内部使用自定义的IP地址（称为本地IP地址或者虚拟IP地址）。当内外用户希望相互访问时,专门的路由器（NAT路由器）负责全局/本地IP地址的映射。NAT路由器位于不同地址域的边界处，通过保留部分全局IP地址的分配权来支持IP数据报的跨网传输。其工作原理:(1)地址绑定（静态或者动态的建立本地/全局地址的映射关系）;(2)地址查找和转换（对数据报中的相关地址信息进行修改）;(3)地址解绑定（释放全局地址）。

地址迁移式防火墙实际上融合了分组过滤和应用的设计思想，可以根据应用的需求限定允许内外网访问的结点；可以屏蔽内网的地址，保证内网的安全性。数据报分析是NAT路由器必须做的工作（例如，修改IP数据报携带的高层协议数据单元中的地址信息），因此可以有选择地提供/拒绝部分跨网的应用服务。

四、小结

在互联网上防火墙是一种非常有效的网络安全模型，通过它可以隔离风险区域与安全区域的连接，同时不会妨碍人们对风险区域的访问。随着电子商务的不断发展，防火墙技术必将在网络安全方面着发挥更加重要的作用和价值。

参考文献:

[1]高峰许南山:防火墙包过滤规则问题的研究[J].应用,2003,23(6)

第9篇：防火墙在网络中的作用范文

当前，日益严重的Web威胁已是网络安全的发展趋势。据不完全统计，目前70％的网络攻击是发生在应用层，而不是网络层。对于这类攻击，传统网络防火墙往往“心有余而力不足”。因为，传统网络防火墙的防护重点在网络层，所以，很多Web攻击利用网络防火墙开放的端口，躲过其监测，直接针对目标应用程序。

随着应用层受到攻击的概率越来越大，传统网络防火墙的不足之处开始明显暴露。对此，一些防火墙厂商开始有意识地针对应用层的威胁，在防火墙产品上增加一些弹性概念的特征，推出所谓的Web应用防火墙，试图防范这些来自应用层的攻击。

难以抵挡的Web威胁

有统计数字显示，过去的2008年中，网络安全漏洞数量比2007年增长13.5％，总共发现了7406个全新的安全漏洞。2001-2006年间，安全漏洞平均年增长率是36.5％。安全漏洞数置在2008年达到前所未有的水平。在所有的安全漏洞中，有54.9％是Web应用安全漏洞，2008年披露的Web应用安全漏洞中，有74.0％到年底都还没有补丁。

这就是当前的网络安全现状，网络威胁已经转向以Web威胁为主。虽然传统网络防火墙在抵御SQL注入攻击等网络层攻击方面，发挥了重要作用，但其不足之处也越来越明显。

首当其冲的是无法检测加密的Web流量。由于网络防火墙对于加密的SSL流中的数据是不可见的，防火墙无法迅速截获SSL数据流并对其解密，因此无法阻止应用程序的攻击，甚至有些网络防火墙，根本就不提供数据解密的功能。

在如今大多数网络防火墙中，依赖的是静态的特征库，与入侵监测系统的原理类似。只有当应用层攻击行为的特征与防火墙中的数据库中已有的特征完全匹配时，防火墙才能识别和截获攻击数据。因此，普通应用程序加密后，也能轻易躲过防火墙的检测。

应该说，由于体系结构的原因，即使是先进的网络防火墙，在防范Web应用程序时，由于无法全面控制网络、应用程序和数据流，也无法截获应用层的攻击。由于对于整体的应用数据流，缺乏完整的、基于会话(Session)级别的监控能力，因此，传统网络防火墙很难预防新的未知攻击。

这种情况下，企业级防火墙开始增加统一威胁管理(UTM)服务，如防病毒、防间谍软件、入侵防御、内容过滤，甚至一些防垃圾邮件服务，以增强威胁防御功能。这就是Web应用防火墙产生的原因。

基于策略联动防御

与传统防火墙作为单一的硬件盒子不同，Web应用防火墙不只是单一产品，还需要基于策略并且结合企业的Web应用进行具体的安全咨询。因此，在给企业用户部署Web应用防火墙时，安全厂商需要对企业的各种内部应用非常了解，比如对OA、MIS、ERP等应用系统的支持。

目前，Web应用防火墙的实际应用并不多，用户对其的认知接受也在过程中。从技术上看，很多Web应用防火墙已经脱离了防火墙本身的范畴，可以理解为一个Web应用交付平台。目前已推出基于策略的防火墙产品基本以国外厂商为主，国内厂商暂时少见类似的产品。

事实上，并非对Web服务器提供保护的“盒子”都是Web应用防火墙，目前而言，一个标准的Web应用防火墙至少需要具备四大功能：安全防护，即对于针对Web服务器的攻击要具备防御能力，同时还要对数据泄密具备监管能力；应用加速。除了防护以外，企业用户在网络之中，需要对应用的运转效率进行控制，比如对TCP协议的缓冲、对SSL VPN的加速、对访问管理的卸载等；可扩展性。很多企业的Web服务器数量庞大，Web应用防火墙需要对应用交付和负载均衡提供支持；IP审计。Web应用防火墙本身对所有流量进行过滤的时候，本身必须具备一套策略，即哪些流量需要阻断，哪些可以放过。这些相关的策略标准与策略模型需要对企业流行的应用进行支持。