防火墻技術的研究范文

序論：在您撰寫防火墻技術的研究時，參考他人的優秀作品可以開闊視野，小編為您整理的7篇范文，希望這些建議能夠激發您的創作熱情，引導您走向新的創作高度。

第1篇

關鍵詞： 防火墻 技術原理 體系結構

一、防火墻簡介

1.防火墻的概念

防火墻的本義是指古代人們房屋之間修建的那道墻，這道墻可以防止火災發生的時候蔓延到別的房屋。防火墻技術是指隔離在本地網絡與外界網絡之間的一道防御系統的總稱。

2.防火墻的發展

（1）第一代防火墻

第一代防火墻技術幾乎與路由器同時出現，采用了包過濾（Packet filter）技術。

（2）第二、三代防火墻

1989年，貝爾實驗室的Dave Presotto和Howard Trickey推出了第二代防火墻，即電路層防火墻，同時提出了第三代防火墻——應用層防火墻（防火墻）的初步結構。

（3）第四代防火墻

1992年，USC信息科學院的BobBraden開發出了基于動態包過濾（Dynamic packet filter）技術的第四代防火墻，后來演變為目前所說的狀態監視（Stateful inspection）技術。

（4）第五代防火墻

1998年，NAI公司推出了一種自適應（Adaptive proxy）技術，并在其產品Gauntlet Firewall for NT中得以實現，給類型的防火墻賦予了全新的意義，可以稱之為第五代防火墻。

二、防火墻的類型

從技術上看，防火墻有三種基本類型：包過濾型、服務器型和復合型。

包過濾型防火墻（Packet Filter Firewall）通常建立在路由器上，在服務器或計算機上也可以安裝包過濾防火墻軟件。包過濾型防火墻工作在網絡層，基于單個IP包實施網絡控制。它對所收到的IP數據包的源地址、目的地址、TCP數據分組或UDP報文的源端口號及目的端口號、包出入接口、協議類型和數據包中的各種標志位等參數，與網絡管理員預先設定的訪問控制表進行比較，確定是否符合預定義好的安全策略并決定數據包的放行或丟棄。

服務器型防火墻（Proxy Service Firewall）通過在計算機或服務器上運行的服務程序，直接對特定的應用層進行服務，因此也稱為應用層網關級防火墻。服務器型防火墻的核心，是運行于防火墻主機上的服務器進程，實質上是為特定網絡應用連接企業內部網與Internet的網關。

復合型防火墻（Hybrid Firewall）把包過濾、服務和許多其他的網絡安全防護功能結合起來，形成新的網絡安全平臺，以提高防火墻的靈活性和安全性。

三、防火墻技術原理

防火墻從原理上主要有三種技術：包過濾（PackeFiltering）技術、服務（ProxyService）技術和狀態檢測（StateInspection）技術。

1.包過濾（PacketFiltering）技術

在基于TCP/IP協議的計算機網絡上，所有網絡上的計算機都是利用IP地址的唯一標志來確定其在網絡中的位置的，而所有來往于計算機之間的信息都是以一定格式的數據包的形式來傳輸的，數據包中包含了標志發送者位置的IP地址、端口號和接受者位置的IP地址、端口號等地址信息。當這些數據包被送上計算機網絡時，路由器會讀取數據包中接受者的IP地址，并根據這一IP地址選擇一條合適的物理線路把數據包發送出去，當所有的數據包都到達目的主機之后再被重新組裝還原。包過濾性防火墻就是根據數據在網絡上的這一傳輸原理來設計的，它可以實現網絡中數據包的訪問控制。首先包過濾防火墻會檢查所有通過它的數據流中每個數據包的IP包頭信息，然后按照網絡管理員所設定的過濾規則進行過濾。

2.服務（ProxyService）技術

實際是設置在Internet防火墻網關上有特殊功能的應用層代碼，是在網管員允許下或拒絕特定的應用程序或者特定服務，還可應用于實施數據流監控、過濾、記錄和報告等功能。在應用層，提供應用層服務的控制，起到內部網絡向外部網絡申請服務時中間轉接作用，內部網絡只接受提出的服務請求，拒絕外部網絡其他接點的直接請求。的工作原理比較簡單。用戶與服務器建立連接，將目的站點告知，對于合法的請求，以自己的身份（應用層網關）與目的站點建立連接，然后在這兩個連接中轉發數據。其主要特點是有狀態性，能完全提供與應用相關的狀態和部分傳輸方面的信息，能提供全部的審計和日志功能，能隱藏內部IP地址，能實現比包過濾路由器更嚴格的安全策略。

3.狀態檢測（StateInspection）技術

狀態檢測又稱動態包過濾，是在傳統包過濾上的功能擴展，最早由Checkpoint提出。狀態檢測作為防火墻技術其安全特性最佳，它采用了一個在網關上執行網絡安全策略的軟件引擎，稱為檢測模塊。檢測模塊在不影響網絡正常工作的前提下，采用抽取相關數據（狀態信息）的方法對網絡通信的各層實施監測，并動態地保存狀態信息作為以后制定安全決策的參考。

四、各防火墻體系結構的優缺點

1.雙重宿主主機體系結構提供來自于多個網絡相連的主機的服務（但是路由關閉），它圍繞雙重宿主主計算機構筑。該計算機至少有兩個網絡接口，位于因特網與內部網之間，并被連接到因特網和內部網。兩個網絡都可以與雙重宿主主機通信，但相互之間不行，它們之間的IP通信被完全禁止。雙重宿主主機僅能通過或用戶直接登錄到雙重宿主主機來提供服務。

2.被屏蔽主機體系結構使用1個單獨的路由器提供來自僅僅與內部網絡相連的主機的服務。屏蔽路由器位于因特網與內部網之間，提供數據包過濾功能。堡壘主機是1個高度安全的計算機系統，通常因為它暴露于因特網之下，作為聯結內部網絡用戶的橋梁，易受到侵襲損害。這里它位于內部網上，數據包過濾規則設置它為因特網上唯一能連接到內部網絡上的主機系統。它也可以開放一些連接（由站點安全策略決定）到外部世界。在屏蔽路由器中，數據包過濾配置可以按下列之一執行：①允許其他內部主機，為了某些服務而開放到因特網上的主機連接（允許那些經由數據包過濾的服務）。②不允許來自內部主機的所有連接（強迫這些主機經由堡壘主機使用服務）。這種體系結構通過數據包過濾來提供安全，而保衛路由器比保衛主機較易實現，因為它提供了非常有限的服務組，所以這種體系結構提供了比雙重宿主主機體系結構更好的安全性和可用性。弊端是，若是侵襲者設法入侵堡壘主機，則在堡壘主機與其他內部主機之間無任何保護網絡安全的東西存在；路由器同樣可能出現單點失效，若被損害，則整個網絡對侵襲者開放。

3.被屏蔽子網體系結構考慮到堡壘主機是內部網上最易被侵襲的機器（因為它可被因特網上用戶訪問），我們添加額外的安全層到被屏蔽主機體系結構中，將堡壘主機放在額外的安全層，構成了這種體系結構。這種在被保護的網絡和外部網之間增加的網絡，為系統提供了安全的附加層，稱之為周邊網。這種體系結構有兩個屏蔽路由器，每一個都連接到周邊網。1個位于周邊網與內部網之間，稱為內部路由器，另一個位于周邊網與外部網之間，稱之為外部路由器。堡壘主機位于周邊網上。侵襲者若想侵襲內部網絡，必須通過兩個路由器，即使他侵入了堡壘主機，仍無法進入內部網。因此這種結構沒有損害內部網絡的單一易受侵襲點。

五、對防火墻技術造成的安全漏洞的建議

防火墻的管理及配置相當復雜，要想成功地維護防火墻，防火墻管理員必須對網絡安全的手段及其與系統配置的關系有相當深刻的了解。防火墻的安全策略無法進行集中管理。一般來說，由多個系統組成的防火墻，管理上有所疏忽也是在所難免的。

對此可作如下改進：管理上的安全問題，關鍵在于提高管理員的素質，積極學習安全管理及網絡安全知識，熟練掌握防火墻的系統配置關系，多多實踐，積累足夠的經驗，多個系統防火墻的管理一定要有高度認真、負責到底的精神?？偠灾?，提高管理者的素質至關重要。

參考文獻：

第2篇

關鍵詞：防火墻；帶寬技術；網絡端口；阻塞

中圖分類號：TP393 文獻標識碼：A 文章編號：1007-9599 （2013） 01-0164-02

防火墻帶寬控制技術就是通過某些控制工具實現數據的分類整理，進行順暢通過的技術。防火墻控制技術的實現解決了互聯網的一個技術瓶頸，帶來了網速的飛躍；但是也帶來了問題。帶寬控制技術的實現帶來了哪些飛躍，又帶來了哪些問題呢？

1 防火墻帶寬控制技術

隨著網絡的發展，帶寬也得到了飛速的發展。雖然帶寬已經達到了比較高的水平，但是在公司或者學校等集中使用網絡的地方還是容易出現一些問題。因為在企業或者學校使用的是局域網，所有的網絡數據都通過一個渠道輸送。因此，雖然在企業或者單位使用的網速很好，已經達到很多兆了，但是在數據的輸出網口還是會出現堵塞的情況。這就影響了用戶的正常使用。因此，為了解決這一問題，電腦研發者研究出了防火墻帶寬控制技術，這是專門為了解決局域網大量數據擁擠的情況而研究的。防火墻帶寬控制技術就是通過對數據流進行分組，讓同一種類的數據流可以同時通過而不影響通過速度。簡單來說，就是在同一時間將通過端口的數據流按照類型進行分類，然后按等級通過，等級高的先通過，等級低的后通過。同一等級的可以同時通過。有了防火墻帶寬控制技術很多企業由于大數據流量同時通過而造成的擁擠現象解決了。這項技術的研發目前還不是特別成熟，因為它在對數據流進行分類的同時也影響了防火墻的性能。防火墻也是在斷口處進行設卡，以阻止不良信息的通過，但是通過帶寬控制技術將信息進行分類后，有些不良信息可能混進某一類而進入電腦中，從而給電腦帶來傷害。

2 防火墻帶寬控制技術實現的必要性

2.1 網絡端口的阻塞問題。網絡是新時代的產物，是改變我們生活的一種工具，它讓生活變得更方便、更快捷?；ヂ摼W提供給人們的不僅僅是隨時隨地的新聞，身邊的電影院，還為企業提供一系列的服務。企業可以利用互聯網開展電子商務，就是在互聯網上進行業務的洽談，為了企業內部交流的需要，IT研究者研發了局域網，局域網的好處就是企業內部使用同一個端口，便于交流，也可以節省一些網絡費用。但同時也出現了一些問題，因為企業內部同時使用網絡的人員較多，所以容易造成數據流的集中，如果大量的數據同時通過端口，就有可能造成端口的堵塞，從而影響整個局域網的網速。通俗來講，就跟堵車一樣，如果在同一個路口有大量車同時通過，通過的速度就會變慢，甚至出現停滯不前的情況。如果端口堵塞了，就會影響企業的辦公效率。因此，必須研發一種帶寬控制技術，讓所有的數據按照一定的規則通過，這樣就不會造成堵塞的現象了。

2.2 某些應用長期占用網速。在企業的電子商務中，人們從事的崗位不同，工作所處理的任務不同，因此使用互聯網所傳輸的數據也就有了區別，有些數據流量較大，占用網速較多，有些數據流量較小，占用網速也少。但是如果流量大的數據和流量小的數據同時通過端口的時候，流量大的數據就會長期占用網速，導致流量小的數據無法通過。就好像我們如果下載大型游戲的同時觀看電影，就會造成電影的不順暢，甚至很多網頁都打不開，兩者是同一個道理。所以為了優化處理這個問題，就需要帶寬控制技術，通過在防火墻的端口實施帶寬控制，就能嚴禁某些數據長期占用網速。通過帶寬控制技術，將數據流進行分類，讓數據流量小的內容也能順利通過。

3 帶寬控制工具TC的功能實現

TC是帶寬控制技術的一個實現工具，通過在網絡端口安裝TC，達到規范數據流順暢通過的目的。TC的工作原理就是將同時通過端口的數據按照隊列進行分類，然后按照次序一次通過，同一種類的數據可以同時通過。就好比十字路口的紅綠燈，發揮著指揮的作用。如果在十字路口，沒有交通信號燈的管制，幾個方向的車同時通過，不僅通過的速度緩慢，還有可能造成事故。而采用了紅綠燈后，對車輛進行分類，每個方向的車都按照“直行”“左轉”“右轉”排好隊，這樣通過時就能順暢了。TC的工作原理就等同于路口紅綠燈的功能，將所有要通過的數據按照不同種類進行分類后，然后再一次通過，就保障了網速的順暢。

4 防火墻帶寬控制技術的優缺點

第3篇

關鍵詞：防火墻；linux；iptables；netfilter

中圖法分類號：TP309文獻標識碼：A文章編號：1009-3044(2008)08-10ppp-0c

隨著網絡的開放性、共享性和互連程度擴大，特別是Internet的發展，網絡的重要性和對社會的影響也越來越大。隨著網絡上各種新興業務的興起，比如電子商務、電子現金、數字貨幣網絡銀行等，以及各種專用網的建設，比如金融網等，使得安全問題顯得越來越重要。因此網絡安全成了數據通信領域研究和發展的一個重要方向，對網絡安全技術的研究成了現在計算機和通信領域的一個熱點。而防火墻技術是針對網絡安全特點而建立的防范措施。而LINUX操作系統不僅具有開放源代碼的巨大優勢，而且能適用于多種CPU和硬件平臺，性能穩定，非常適合作為一些嵌入式防火墻設備的操作系統，因此，研究基于LINUX的防火墻技術具有重要的意義。

1 防火墻原理

1.1 防火墻的概念和工作原理

防火墻技術是目前各種網絡安全解決方案中常用的技術，它通過控制和檢測網絡之間的信息交換和訪問行為來實現對網絡的安全管理。防火墻技術作為目前用來實現網絡安全措施的一種主要手段，它主要是用來拒絕未經授權的用戶訪問，阻止未經授權的用戶存取敏感數據，同時允許合法用戶不受阻礙地訪問網絡資源，從總體上看，防火墻應具有以下五大基本功能：

過濾進出網絡的數據包。

管理進出網絡的訪問行為。

封堵某些禁止的訪問行為。

記錄通過防火墻的信息內容和活動。

對網絡攻擊進行檢測和告警。

為實現以上功能，在防火墻產品的開發中，人們要應用網絡拓撲技術、計算機操作系統技術、路由技術、加密技術、訪問控制技術、安全審計技術等成熟或先進的技術手段。其工作原理是：按照事先規定好的配置與規則，監測并過濾通過防火墻的數據流，只允許授權的或者符合規則的數據通過。防火墻應該能夠記錄有關連接的信息、服務器或主機間的數據流量以及任何試圖通過防火墻的非法訪問記錄。同時、防火墻自身也應具備較高的抗攻擊性能。

1.2 防火墻的分類

按照防火墻對內外來往數據的處理方法，大致可以將防火墻分為兩大體系：包過濾防火墻和防火墻(應用層網關防火墻)。前者以以色列的Checkpoint防火墻和Cisco公司的PIX防火墻為代表，后者以美國NAI公司的Gauntlet防火墻為代表。

表1 兩種防火墻的比較

包過濾防火墻分為靜態和動態。靜態包過濾防火墻根據定義好的過濾規則審查每個數據包。以便確定其是否與某一條包過濾規則匹配。過濾規則基于數據包的報頭信息進行制b}，報頭信息中包括IP源地址、IP目標地址、傳輸協議（TCP, UDP, ICMP等等)、TCP/UDP目標端口, ICMP消息類型等，包過濾類型的防火墻要遵循的一條基本原則是“最小特權原則”，即明確允許那些管理員希望通過的數據包，禁止其他的數據包。動態包過濾防火墻采用動態設置包過濾規則的方法，避免了靜態包過濾所具有的問題。這種技術后來發展成為所謂包狀態監測技術。采用這種技術的防火墻對通過其建立的每一個連接都進行跟蹤，并且根據需要可動態地在過濾規則中增加或更新條目。

防火墻也叫應用層網關(Application Gateway)防火墻。這種防火墻通過一種(Proxy)技術參與到一個TCP連接的全過程。從內部發出的數據包經過這樣的防火墻處理后，就好像是源于防火墻外部網卡一樣，從而可以達到隱藏內部網結構的作用。這種類型的防火墻被網絡安全專家和媒體公認為是最安全的防火墻。類型防火墻的最突出的優點就是安全。由于每一個內外網絡之間的連接都要通過Proxy的介入和轉換，通過專門為特定的服務如Http編寫的安全化的應用程序進行處理，然后由防火墻本身提交請求和應答，沒有給內外網絡的計算機以任何直接會話的機會，從而避免了入侵者使用數據驅動類型的攻擊方式入侵內部網。

自適應技術(Adaptive proxy)是最近在商業應用防火墻中實現的一種革命性的技術。它可以結合類型防火墻的安全性和包過濾防火墻的高速度等優點，在毫不損失安全性的基礎之上將型防火墻的性能提高10倍以上。組成這種類型防火墻的基本要素有兩個：自適應服務器 (Adaptive Proxy Server)與動態包過濾器 (Dynamic Packet filter)。

在自適應與動態包過濾器之間存在一個控制通道。在對防火墻進行配置時，用戶僅僅將所需要的服務類型、安全級別等信息通過相應Proxy的管理界面進行設置就可以了。然后，自適應就可以根據用戶的配置信息，決定是使用服務從應用層請求還是從網絡層轉發包。如果是后者，它將動態地通知包過濾器增減過濾規則，滿足用戶對速度和安全性的雙重要求。

2 linux防火墻的實現

2.1 linux 防火墻簡介

Linux最初從2.0內核的ipfwadm開始具備了基本的包過濾功能。ipfwadm能透過IP據包頭的分析，分辨出數據包的來源IP與目的地IP、數據包類型、來源端口號與目的端口號、數據包流向、數據包進入防火墻的網卡界面等，并依此分析結果來對比規則進行數據包過濾，同時也支持IP偽裝的功能，利用這個功能可以解決IP不足的問題，但是這些程序缺乏彈性設計，用戶無法自行建立規則組合(rule set)作更精簡的設定，同時也缺乏網址轉換功能，無法應付越來越復雜的網絡環境，已經逐漸被淘汰。隨后取而代之的是ipchains。Ipchains不但指令語法更容易理解，功能也較ipfwadm優越：ipchain允許自訂規則組合(rule set)，稱之為user-define chains，可以將彼此相關的規則組合在一起，在需要的時候跳到該組規則進行過濾，有效的將規則數量大幅縮減，克服了以往ipfw僅能進行循序過濾，導致規則過長的缺陷。同時，ipchains能提供網址轉換的能力，從而滿足NAT的完整需求，基本構成一套成熟的防火墻。，

在Linux2.4內核以后，被稱為iptables/netfilter的防火墻以更好的結構重新構造，并實現了許多新功能，如完整的動態NAT(2.2內核實際是多對一的"地址偽裝")、基于MAC及用戶的過濾、真正的基于狀態的過濾（不再是簡單的查看tcp的標志位等）、包速率限制等。它比以前任何一個Linux內核的防火墻子系統都要完善和強大。

2.2 iptables/netfilter框架

Netfilter提供了一個抽象的、通用的框架，該框架定義的一個子功能實現的就是包過濾子系統。Netfilter由一系列基于協議棧的鉤子組成，這些鉤子都對應某一具體的協議。當前的Netfilter，已經基于IPv4, IPX, IPv6等協議開發了對應的鉤子函數。

Netfilter是嵌入內核IP協議棧的一系列調用入口，設置在報文處理的路徑上。網絡報文按照來源和去向，可以分為三類:流入的、流經的和流出的。其中流入和流經的報文需要經過路由才能區分，而流經和流出的報文則需要經過投遞，此外，流經的報文還有一個FORWARD的過程，即從一個NIC轉到另一個NIC。 Netfilter就是根據網絡報文的流向，在以下幾個點插入處理過程：

(1)NF_IP_PRE_ROUTING，在報文作路由以前執行；

(2)NF_IP_FORWARD，在報文轉向另一個NIC以前執行；

(3)NF_IP_POST_ROUTING，在報文流出以前執行；

(4)NF_IP_LOCAL_IN，在流入本地的報文作路由以后執行；

(5)NF_IP_LOCAL_OUT，在本地報流出路由前執行。

Netfilter框架為多種協議提供了一套類似的鉤子(HOOK)，用一個struct list_head nf_hooks[NPROTO][NF_MAX_HOOKS]二維數組結構存儲，一維為協議族，二維為上面提到的各個調用入口。每個希望嵌入Netfilter中的模塊都可以為多個協議族的多個調用點注冊多個鉤子函數(HOOK )，這些鉤子函數將形成一條函數指針鏈，每次協議棧代碼執行到NF HOOK()函數時(有多個時機)，都會依次啟動所有這些函數，處理參數所指定的協議棧內容。

每個注冊的鉤子函數經過處理后都將返回下列值之一，告知Neifilter核心代碼處理結果，以便對報文采取相應的動作：

(1)NF_ACCEPT， 繼續正常傳輸數據報；

(2)NF_DROP， 丟棄該數據報，不再傳輸；

(3)NF_STOLEN， 模塊接管該數據報，不要繼續傳輸該數據報；

(4)NF_QUEUE， 對該數據報進行排隊(通常用于將數據報給用戶空間的進程進行處理)；

(5)NF_REPEAT， 再次調用該鉤子函數。

如圖1所示，數據報從左邊進入系統，進行IP校驗以后，數據報經過第一個鉤子函數NF_IP_PRE ROUTING進行處理;然后就進入路由代碼，其決定該數據包是需要轉發還是發給本機的；若該數據包是發被本機的，則該數據經過鉤子函數NF_IP_LOCAL_IN處理以后然后傳遞給上層協議;若該數據包應該被轉發則它被NF IP FORWARD處理;經過轉發的數據報經過最后一個鉤子函數NF_IP_POST_ROUTING處理以后，再傳輸到網絡上。本地產生的數據經過鉤子函數NF_IP_LOCAL_OUT處理可以后，進行路由選擇處理，然后經過NF_IP_POST_ROUTING處理以后發送到網絡接口。

Netfilter組件也稱為內核空間(kernel space)，是內核的一部分，由一些信息包過濾表組成，這些表包含內核用來控制信息包過濾處理的規則集。

與之相對應的iptables組件是一種工具，也稱為用戶空間（user space），它使插入、修改和除去信息包過濾表中的規則變得容易。通過使用用戶空間，可以構建自己的定制規則，這些規則存儲在內核空間的信息包過濾表中。這些規則具有目標，它們告訴內核對來自某些源、前往某些目的地或具有某些協議類型的信息包做些什么。如果某個信息包與規則匹配，那么使用日標ACCEPT允許該信息包通過。還可以使用目標DROP或REJECT來阻塞并殺死信息包。

內核模塊提供三個規則表((table)，分別是數據報過濾表(filter table)，網絡地址轉換表(nat table)及數據報處理表(mangle table)。

數據報過濾表(filter table)：

表格不會對數據報進行修改，而只對數據報進行過濾。iptables優于ipchains的一個方面就是它更為小巧和快速。它是通過鉤子函數NF_IP_LOCAL_IN，NF_IP_FORWARD及NF_IP_LOCAL_OUT接入netfilter框架的。因此對于任何一個數據報只有一個地方對其進行過濾。這相對ipchains來說是一個巨大的改進，因為在ipchains中一個被轉發的數據報會遍歷三條鏈。

網絡地址轉換表(nat table)：

NAT表格監聽三個Netfilter鉤子函數：NF_IP_PRE_ROUTING，NF_IP_POST_ROUTING及NF_ IP_LOCAL_OUT。NF_IP_PRE_ROUTING實現對需要轉發的數據報的源地址進行地址轉換而NF_IP_POST_ROUTING則對需要轉發的數據包的目的地址進行地址轉換。對于本地數據報的目的地址的轉換則由NF_IP_LOCAL_OUT來實現。

NAT表格不同于filter表格，因為只有新連接的第一個數據報將遍歷表格，而隨后的數據報將根據第一個數據報的結果進行同樣的轉換處理。NAT表格被用在源NAT,目的NAT，偽裝(其是源NAT的一個特例)及透明(其實是目的NAT的一個特例)。

數據報處理表(mangle table)：

mangle表格在NF_IP_PRE_ROUTING和NF_IP_LOCAL_OUT鉤子中進行注冊。使用

mangle表，可以實現對數據報的修改或給數據報附上一些帶外數據。當前mangle表支持修改TOS位及設置skb的nfmard字段。

3 iptables的命令配置與應用

Iptables的基本語法是：

iptables [-t table] command [match] [- j target/jump]

其中Ct參數用來指定規則表，當未指定規則表時，則默認認為是filter

下面根據實例來詳細解釋下iptables的用法，配置防火墻的基本規則是先拒絕所有的服務，然后根據需要再添加新的規則。在實例中，我們開放了WEB服務器，郵件服務器，FTP服務器等常用的端口，在實際情況中可以根據特定的網絡狀況，特定的安全要求做特別的處理：

iptables CF#刪除已經存在的規則

iptables -P INPUT DROP#配置默認的拒絕規則。

iptables -A INPUT -p tcp --dport 80 -j ACCEPT#打開WEB服務端口的tcp協議

iptables -A INPUT -p tcp --dport 110 -j ACCEPT #打開POP3服務端口的tcp協議

iptables -A INPUT -p tcp --dport 25 -j ACCEPT#打開SMTP服務端口的tcp協議

iptables -A INPUT -p tcp --dport 21 -j ACCEPT#打開FTP服務端口的tcp協議

4 結論

Linux內核防火墻的iptables/netfilter框架設計得非常成功，它將所有對數據包的處理都統一到這個一個框架之下。Netfilter不僅僅有此高效的設計，同時還具備很大的靈活性，這主要表現在iptable/netfilter中的很多部分都是可擴充的，包括Table, Match, Target等。

參考文獻：

[1]毛德操,胡希明.Linux內核源代碼情景分析[M].浙江大學出版.2001,9.

[2]Marcus Goncalves.宋書民,等,譯.防火墻技術指南[M].機械工業出版社,2000,11.

[3]Robert L.Ziegler..余青霓,等,譯.LINUX防火墻[M].人民工業出版社,2000,10.

[4]博嘉科技主編.LINUX防火墻技術探秘[M].國防工業出版社,2002,10.

第4篇

【關鍵詞】計算機網絡 防火墻技術 功能 趨勢

隨著信息化時代的到來，計算機網絡逐漸成為人們有效開展信息交換的重要手段，并滲透到社會生活的各個方面，給人們生活帶來了巨大影響。與此同時，保障計算機網絡信息安全，愈來愈成為當今社會面臨的亟需解決的課題。

1 防火墻技術的含義

“所謂防火墻指的是一個由軟件和硬件設備組合而成、在內部網和外部網之間、專用網與公共網之間的界面上構造的保護屏障。”它是一種計算機硬件和軟件的結合，使Internet與Intranet之間建立起一個安全網關，從而保護內部網免受非法用戶的侵入。它實際上是一種隔離技術。

2 防火墻的功能

防火墻對計算機網絡具有很好的保護作用。入侵者必須先穿越防火墻的安全防線，才能接觸目標計算機。具體來說防火墻有以下功能。

2.1 防火墻有保障計算機網絡安全的功能

防火墻通過自身過濾功能將不安全的數據包隔擋在“代碼墻”以外，降低Internet給計算機造成的風險。然后通過驗證程序檢測哪些數據包是安全的，并使之進入計算機，由此使得網絡環境變得更安全。

2.2 防火墻具有監控網絡存取和訪問的功能

由于進入計算機的數據包都要經過防火墻的檢測和篩選，那么防火墻就能記錄下這些數據包并對網絡的使用情況進行統計。當發生可疑數據包時，防火墻能進行適當的報警，并提供網絡是否受到監測和攻擊的詳細信息。因此，防火墻對網絡使用統計與監控具有非常重要的作用。

2.3 可以防止內部信息的外泄

隱私是網絡使用者最關心的問題。很多隱私的被流露于公眾的視野，多數都是因為計算機網絡內部某些安全漏洞。而使用防火墻就可以利用防火墻對內部網絡的劃分，實現內部網的隔離，從而限制了局部或敏感網絡安全問題對全局網絡造成的影響。進而隱蔽了那些透漏內部細節DNS服務。這樣一臺主機的域名和IP地址就不會被外界所了解。

2.4 防火墻對數據庫安全的實時保護功能

防火墻通過驗證工具和包過濾系統分析，根據預定義的禁止和許可策略讓合法的SQL 操作通過，阻斷非法違規操作，形成數據庫的防御圈，實現SQL 危險操作的主動預防、實時審計。同時，還可以對來自于外部的入侵行為，提供SQL 注入禁止和數據庫虛擬補丁包功能。

3 防火墻技術的發展趨勢

隨著新的網絡病毒的出現，防火墻技術的發展更應該注重放行數據的安全性研究。因為使用者對網絡安全的要求是既要保證網絡安全，也必須保證網絡的正常運行。因此，新型防火墻技術在研發過程中要集成其它安全技術，使防火墻的安全性得以進一步提升。這一些新的發展趨勢，可以從防火墻體系結構、包過濾技術和防火墻系統管理三方面展開。

3.1 防火墻的體系結構發展趨勢

隨著信息化潮流的到來，計算機網絡的應用更加廣泛，規模更加龐大。使用者對網絡寬帶的安全提出了更高的要求。這意味著防火墻技術必須緊跟時代的發展，加快提升自身處理數據的能力，為計算機網絡提供更加有效的安全保護和有效的運行保障。尤其是，在當今信息化社會的生活中，計算機網絡、手機網絡等網絡媒體的應用越來越普遍，這就要求防火墻技術對流入網絡的數據處理更加有效、準確、及時。要想滿足這種需要，防火墻技術研發人員就必須制定超前的研發方案，完善防火墻的結構體系。例如當前部分制造商開發的基于ASIC的防火墻和基于網絡處理器的防火墻。

3.2 防火墻數據包過濾技術發展趨勢

（1）防火墻的主要功能就是對來自外網的木馬程序、病毒程序等危險程序進行防范和抵御。因而，在實際網絡使用中使用主體通常經防火墻稱之為病毒防火墻。從目前網絡使用者通過各種途徑選取不同的防火墻，并按照與計算機內，目的就是防范病毒的入侵。

（2）注重研發多級過濾技術?！八^多級過濾技術，是指防火墻采用多級過濾措施，并輔以鑒別手段”。該過濾技術主要是通過編制不同的程序系統，逐級設立功能。各級根據自身的功能開展對流入網絡的數據流進行識別，檢測。層層把關，能夠更加有效的抵御病毒對計算機網絡的入侵。這是一種綜合性防火墻技術，它可以彌補各種單一過濾技術的不足。

（3）為了進一步強化防火墻的安全策略功能。目前，很多防火墻技術生產商在現有的防火墻技術的基礎上，又增加了用戶認證系統。用戶認證系統隨著無線網絡的普及應用，獲得了眾多無線網絡電信商和用戶的青睞。并逐漸成為無線網絡安全應用的必備系統。

3.3 防火墻的系統管理發展趨勢

隨著防火墻技術的快速發展，加強防火墻的系統管理也成為網絡技術發展的重點。首先是集中式管理。集中式管理的優點就是能夠使生產商以最小的投入獲取最大的效益。同時，還可以保證網絡安全保障系統的一致性。從目前成功研發的事例來看，Cisco（思科）、3Com等幾個大的防火墻技術開發商已經在注重加強防火墻的系統管理發展。其次是加大開發防火墻的監控和審計功能的力度。在防火墻技術研發過程中，我們不僅要注重事后治理，更要注重事前預防，未雨綢繆，將潛在的威脅扼殺在流入之初。最后是建立以防火墻為核心的網絡安全體系。因為我們在現實中發現，僅現有的防火墻技術難以滿足當前網絡安全需求。通過建立一個以防火墻為核心的安全體系，就可以為內部網絡系統部署多道安全防線，各種安全技術各司其職，從各方面防御外來入侵。

參考文獻

[1]羅霽.并行多模式匹配算法及硬件實現研究[D].杭州電子科技大學，2013（06）：10.

[2]楊旭.計算機網絡信息安全技術研究[D]. 南京理工大學，2008（06）：43

[3]信息技術研究中心.網絡信息安全新技術與標準規范實用手冊（第1版） [M].北京：電子信息出版社，2004：20-21.

作者簡介

鄧龍敏（1998-），男 ，湖北省黃石市人?，F就讀于鄂南高中，熱衷于計算機網絡技術研究。

第5篇

關鍵詞：因特網；網絡安全；計算機防火墻技術

中圖分類號：TP393.08 文獻標識碼：A 文章編號：1007-9599 （2012） 16-0000-02

計算機防火墻是一種獲取安全性方法的形象說法，它由硬件設備和軟件組合而成、在專用網絡和公共網絡之間、內部網絡和外部網絡之間的界面上構造一個保護屏障，使得不同的網絡之間建立一個安全網關，以保護內部專門網絡，使其免受非法用戶的入侵[1]。

計算機防火墻的主要功能有：過濾掉不安全服務和非法用戶[2]；控制對特殊站點的訪問；提供監視Internet安全和預警的方便端點。其功能主要體現在訪問控制，內容控制，全面的日志；集中管理，自身的安全和可用性；流量控制，NAT，VPN等方面。

目前防火墻技術正在朝著智能化和分布化的方向發展，其中智能防火墻技術對數據的識別是通過利用記憶、概率、統計和決策的智能方法來進行的，以實現訪問控制。智能防火墻采用新的數學方法，消除了匹配檢查所需要的海量計算，高效發現網絡行為的特征值，直接進行訪問控制，可以很好的解決目前存在的網絡安全問題。智能防火墻技術是計算機防火墻技術發展的必然趨勢[3，4]。

1 計算機防火墻的分類及其原理

計算機防火墻根據工作機制的不同可分為包過濾防火墻、應用型防火墻、網絡地址翻譯及復合型防火墻。

1.1 包過濾防火墻

包過濾防火墻技術中預先設定有包過濾規則，包過濾防火墻工作在網絡層，接收到的每個數據包都要同包過濾規則進行比較，然后決定該數據包是通過還是阻塞。

包過濾防火墻又分為無狀態包過濾和有狀態檢查包過濾。無狀態包過濾防火墻是最原始的防火墻，它是根據每個包頭部的信息來決定是否要將包繼續傳輸，從而增強安全性。其安全程度相對較低，它的內部網絡很容易暴露，進而容易遭受攻擊。在通信中，無法維持足夠的信息來決定是否應該放棄這個包，因為任何一條不完善的過濾規則都會給網絡黑客可乘之機。但是有狀態檢查包過濾其可以記住經過防火墻的所有通信狀態，并依據其記錄下來的狀態信息數據包的允許與否。動態包過濾防火墻是目前最流行的防火墻技術。

1.2 應用型防火墻

是指服務器利用偵聽網絡內部客戶的服務請求，然后將這些請求發到外部的網絡中；當服務器從公共服務器處接收到響應后，其再將響應返回給原始的客戶，其與原始的公共服務器所起的作用是一樣的[3]。

應用級技術采用在OSI的最高層檢查每一個IP包，進而獲得安全策略。應用技術雖然在一定程度上保證了網絡的安全，但是它對每一種服務都需要，且它工作在協議棧高層，執行效率明顯降低，有時會成為網絡的瓶頸。

1.3 網絡地址翻譯

網絡地址翻譯將專用網絡中的ip地址轉換成在因特網上使用的全球唯一的公共ip地址。盡管最初設計nat的目的是為了增加在專用網絡中可使用的ip地址數，但是它有一個隱蔽的安全特性，如內部主機隱蔽等。這在一定程度上保證了網絡安全。nat實際上是一個基本的，一個主機代表內部所有主機發出請求，并代表外部服務器對內部主機進行響應等。但nat工作在傳輸層，因此它還需要使用低層和高層服務來保證網絡的安全。

1.4 復合型防火墻

出于更高安全性的要求，有些開發商常把包過濾的方法與應用的方法結合起來，開發出復合型的防火墻產品，這種復合型的防火墻用以下兩種方式實現網絡安全維護功能：（1）通過屏蔽主機防火墻體系結構，使分組過濾路由器或防火墻與互聯網相連，同時在內部網絡安裝一個堡壘機，利用對過濾規則的設置，使堡壘機成為互聯網上其他網絡訪問所能到達的唯一節點，確保內部網絡不受未授權的外部用戶的攻擊。（2）通過屏蔽子網防火墻體系結構，將堡壘機安裝在一個內部子網內，同時在這一子網的兩端安裝兩個分組過濾路由器，使這一子網與互聯網及內部網絡分離，進而確保這一子網不受未授權的外部用戶的攻擊。在結構中，堡壘機和分組過濾路由器共同構成了整個屏蔽子網防火墻體系的安全基礎。

2 常見網絡攻擊方式及網絡安全策略

2.1 網絡攻擊方式

2.1.1 病毒

盡管某些防火墻產品提供了在數據包通過時進行病毒掃描的功能，但仍然很難將所有的病毒阻止于網絡之外，黑客欺騙用戶下載某個程序，從而使惡意代碼進入到計算機內網。應對策略：設置網絡安全等級，對于未經安全檢測的下載程序，嚴格阻止其任務執行[5]。

2.1.2 口令字

窮舉與嗅探是口令字的兩種攻擊方式。窮舉是通過外部網絡的攻擊對防火墻的口令字進行猜測。嗅探通過監測內部網絡來獲取主機給防火墻的口令字。應對策略：通過設計使主機和防火墻通過單獨接口進行通信或是采用一次性口令等。

2.1.3 郵件

借助郵件進行的網絡攻擊方式日益明顯，垃圾郵件的制造者通過復制方式，把一條消息變成幾百幾萬份消息，并將其發送到很多人，當郵件被收到并打開時，惡意代碼便進入到計算機系統。應對策略：打開防火墻上的過濾功能，在內網主機上采取相應阻止措施。

2.1.4 IP地址

黑客通過利用與內部網絡相似的IP地址，能夠避開服務器的檢測，從而進入到內部網進行攻擊。應對策略：打開內核的rp_filter功能，把具有內部地址但是是來自網絡外部的數據包全部丟棄；同時把IP地址和計算機的MAC綁定，擁有相應MAC地址的用戶才能使用被綁定的IP地址進行網絡訪問[5]。

2.2 網絡安全策略

2.2.1物理安全策略

物理安全策略的目的有：（1）保護計算機、服務器、打印機等硬件設備與通信鏈路不受到人為破壞與搭線攻擊等。（2）驗證用戶身份與使用權限，防止越權操作。（3）為計算機系統提供良好的工作環境。（4）建立安全管理制度，防止發生非法進入計算機控制室以及偷竊破壞活動等[6]。

目前，物理安全的防護措施主要有：（1）傳導發射進行防護。如：在信號線與電源線上加裝濾波器，使導線與傳輸阻抗間的交叉耦合減到最小。（2）對輻射進行防護。主要采取電磁屏蔽措施與干擾措施，在計算機系統工作時，通過利用屏蔽裝置或者干擾裝置來產生一種噪聲，該噪聲輻射到空中，能夠掩蓋計算機系統的信息特征與工作頻率。

2.2.2 訪問控制策略

作為最重要的網絡安全策略之一，訪問控制是確保網絡安全運行的技術策略，其主要任務是指保護網絡資源不被非常訪問和非法使用。防火墻技術就是網絡安全訪問控制策略在實踐中主要的應用。

2.2.3 網絡安全管理策略

為了保證網絡安全，除了采用物理安全策略和訪問控制策略之外，加強網絡的安全管理，制訂有關規章制度，對于確保網絡安全、可靠地運行，能起到十分有效的作用。

3 結論

隨著互聯網網絡技術的快速發展，網絡安全方面的問題必將引起人們越來越多的重視。計算機防火墻技術是用來維護網絡安全的一種重要措施和手段，它主要作用是：拒絕未經授權的用戶訪問相關數據，阻止未經授權的用戶存儲或下載敏感數據，同時也要確保合法用戶訪問網絡資源不受影響。防火墻目的在于為用戶提供信息的保密，認證和完整性保護機制，使網絡中的服務，數據以及系統免受侵擾和破壞。相信，隨著新的計算機安全問題的出現和科學技術的進一步發展，計算機防火墻也將獲得進一步的改進。

參考文獻：

[1] Richard Tibbs， Edward Oakes. 防火墻與VPN原理與實踐[M].清華大學出版社，2008.

[2]閻慧.防火墻原理與技術[M].機械工業出版社，2004.

[3]王艷.淺析計算機安全[J].電腦知識與技術，2010，5：1054-1055.

[4]欒江.計算機防火墻發展現狀及應用前景[J].信息與電腦，2010，6：17.

[5]周立.計算機防火墻技術原理分析及應用展望[J].硅谷，2008，10：49-50.

第6篇

關鍵詞：防火墻 深度檢測 研究分析

中圖分類號：TP393.08 文獻標識碼：A 文章編號：1007-9416（2016）04-0000-00

傳統的防火墻主要在訪問控制列表為基礎進行過濾的，它有專門的內部網絡入口，也被人稱作“邊界防火墻”。在近幾年來防火墻技術的地位越來越重要，其最新改進的技術――深度包檢測技術，是可以看到傳統防火墻的入侵檢測與阻止的整合，也是解決傳統防火墻所遇到問題的新技術，在防火墻發展過程中具有重要的作用。

1 防火墻技術發展歷程

1.1 包過濾防火墻

第一代防護墻包過濾是沒有相關狀態的概念，管理工作人員只需要通過過濾就可以允許或是禁止訪問控制列表中的選項。包過濾防火墻在發展中其安全屬性具有一定的缺陷，應用層的信息是系統沒有辦法獲取的，防火墻沒有辦法理解通信的內容是非常容易被黑客攻擊的。正是因為這個原因，人們更多的人們包過濾防火墻技術不夠安全，在發展中慢慢被狀態檢測防火墻技術取代了。

2.2 狀態檢測防火墻

相對于包過濾防火墻技術來說，狀態防火墻技術在性能、擴展等方面的表現出來的優勢使其很快就成為防火墻技術的佼佼者。在上個世紀九十年代推出第一臺商用的狀態檢測防火墻產品，隨后得到快速的發展。狀態檢測防火墻主要是在網絡層工作，對包過濾防火墻比較看，它所做出的決策是在會話信息基礎上而不是包的信息。狀態檢測防火墻在驗證數據包時候會先判定這個數據是否符合當前的會話，同時還可以在狀態中保存這些信息。狀態檢測防火墻技術對異常的TCP網絡層的攻擊有著一定的阻止作用。有些網絡設備是可以將數據包分解成更小的數據幀。該種防火墻技術在一定的時間內是人們使用最廣泛的技術，用來保護計算機網絡不受到黑客的攻擊，但是專門對應用層網絡攻擊的現象越來越多時候，狀態檢測防火墻技術的有效性也在不斷的下降。由于狀態防火墻在設計的時候并沒有專門的根據Web應用程序的攻擊進行設計，這樣深度包檢測防火墻技術應用而生。

2.3 深度包檢測防火墻

深度包檢測防火墻技術可以更好的處理應用程序上的流量問題，可以很好的防范目標系統受到各種復雜的攻擊，將狀態檢測的優勢很好的結合起來。它可以對數據流量進行分析同時還可以做出訪問的控制判決，根據允許的數據流量對負載做出相關的決策。

3 深度包檢測技術特點

隨著科技的發展，深度包檢測技術在不斷的更新換代中進而實現深度包檢測的功能。深度包檢測防火墻技術在一定的程度上融合了包過濾與狀態檢測防火墻技術的功能，主要具有以下4個功能特征。

3.1 應用層加密與解密

SSL通常被運用在Web瀏覽器與服務器之間認證身份的加密數據傳輸，進而確保數據的安全性。該種技術在運用的時候對防火墻也就提出了更高的要求――要對數據的加密與解密進行處理。若是不能夠對SSL加密的數據進行解密的話嗎，那么防火墻就沒有辦法對負載的信息進行相關的分析，更沒有辦法判斷出數據中是否具有相關應用層的攻擊信息，同時沒有辦法體現出深度包檢測的優勢。SSL的加密性能非常高，當前很多企業使用來保證應用程序數據的安全，若是深度包檢測技術沒有辦法對企業中的關鍵應用程序提高安全性能的化，那么也就是說整個深度包檢測失去它的意義。

3.2 正?；夹g

為了可以很好的防范應用層的攻擊通常情況下主要是依賴字符串的匹配，但是不正常的匹配在很大的程度上會造成安全漏洞。例如，為了能知道某種請求是否可以啟用，防火墻的請求就會與安全策略來匹配，只有匹配成功了，防火墻才會采用安全策略。在解決字符匹配的時候是需要利用正?；夹g的，只有深度包檢測才具備這樣的功能，可以識別與阻止大量的危險攻擊。

3.3 協議一致性

應用層協議一致性通常在應用程序中會用到，協議都是由RFC進行規范建設的。因為深度包檢測是在應用層中進行狀態檢測的，因而就必須要明確應用層中的數據是否與這些協議一致，這樣才會防止隱藏的攻擊。

3.4 雙向負載檢測

與包過濾檢測、狀態檢測來說，深度包檢測具有很強大的功能，它是可以允許與拒絕數據包的通過，通常主要是檢查與修改四到七層的數據包，主要有包頭、負載。深度檢測防火墻是可以自動的進行匹配，這樣能正確檢測出服務質量如何。若是請求不匹配那么深度包檢測就會自動將其丟掉，同時將其寫入到日志中，也會向管理員發出警告。另外，深度包檢測技術是可以進行修改URL，這一點是與應用層的NAT相似。在復雜的網絡環境中，為了可以提供全面的防護，進行深度包檢測是一定的。深度包檢測技術還在不斷的發展中，但其基本具有以上的特點。最近幾年里，隨著編程ASIC技術發展與有效的規則算法出現使得深度包檢測引擎的執行能力加強，應用深度檢測技術越來越受到好評，很多防火墻的供應商都在不斷的增加對防火墻產品中應用數據進行分析。

4 結語

雖然深度包檢測技術受到越來越多好評，但是其也具有相當多的缺點。當前的深度包檢測產品通常都是一體化的安全設備，這樣就會由于單個安全組件的癱瘓而引起整個網絡處于安全漏洞的狀態下。同時將更多的功能集中在一起，也就越可能的限制單個產品供應商，這樣在一定的程度上就會使我們喪失了靈活性。網絡安全問題正在處于復雜的境地，有著各種各樣的傳統防火墻與入侵技術，因而當深度包檢測的融合能否降低復雜性，還是需要不斷的發展觀察。

參考文獻

[1] 劉坤燦.防火墻深度包檢測技術的研究與實現[D].北京郵電大學，2013（01）.

[2] 蘆志朋.深度包檢測主機防火墻的研究與實現[D].電子科技大學，2010（03）.

[3] 艾鑫.眾核環境下深度包檢測系統的設計與優化[D].哈爾濱工業大學，2013（06）.

第7篇

關鍵詞：網絡隔離；防火墻技術；比較

中圖分類號：TP393 文獻標識碼：A文章編號：1007-9599 (2011) 09-0000-01

Comparative Study of Network Isolation and Firewall Technology

Wang Lei

(Hunan Women's University,Changsha410004,China)

Abstract:Based on the network and firewall technology,isolation technology and the principles described in terms of security from both analysis and comparison of network isolation to draw users to solve network security problems is the best choice.

Keywords:Network isolation;Firewall technology;Comparison

一、前言

隨著Internet的飛速發展以及我國政府信息化為代表的電子政務的蓬勃發展，寬帶網已經得到普及。業界電子商務的開展，海量的網絡信息，日趨豐富的網絡功能使得“網上辦公”條件已經成熟。辦公信息化帶來了辦公效率質的飛躍，但辦公信息化的安全，也極大地引起人們的關注和思考，相應的網絡隔離技術與防火墻技術的應用研究引起了人們的高度重視。

二、網絡隔離技術簡介

（一）網絡隔離技術的發展歷程

網絡隔離，英文名為Network Isolation，主要是指把兩個或兩個以上可路由的網絡（如：TCP/IP）通過不可路由的協議（如：IPX/SPX、NetBEUI等）進行數據交換而達到隔離目的。由于其原理主要是采用了不同的協議，所以通常也叫協議隔離（Protocol Isolation）。

（二）網絡隔離技術原理

網絡隔離產品采用了網絡隔離技術，是使用帶有多種控制功能的固態開關讀寫介質連接兩個獨立主機系統的信息安全設備。由于兩個獨立主機系統之間，不存在通信的物理連接、邏輯連接、信息傳輸命令、信息傳輸協議，不存在依據協議的信息包轉發，只有數據文件的無協議“擺渡”，且對固態存儲介質只有“讀”和“寫”兩個命令。所以，網絡隔離產品從物理上隔離、阻斷了具有潛在攻擊可能的一切連接，使“黑客”無法入侵、無法攻擊、無法破壞，實現了真正的安全。

（三）網絡隔離設備的實現機制

網絡隔離設備由內網處理單元、外網處理單元和專用隔離硬件組成。網絡隔離硬件包括一個獨立的固態存儲單元和一個獨立的調度和控制單元，內網處理單元和外網處理單元在同一時刻最多只有一個同固態存儲單元建立非TCP/IP協議的數據連接，并通過私有協議進行數據的交換。

三、防火墻的體系架構介紹

目前的防火墻大都依靠于對數據包的信息進行檢查，檢查的重點是網絡協議的信息。防火墻主要查看IP包中的IP包頭、TCP包頭、應用層包頭以及數據加載的包頭，要了解防火墻的具體架構，就需要分析檢查它是哪一層協議的信息。根據OSI模型，防火墻架構包含以下幾種：包過濾防火墻，電路網關防火墻，應用網關防火墻，狀態檢測包過濾防火墻和切換防火墻。防火墻是建立在內外網邊界上的過濾封鎖機制，內部網絡被認為是安全和可信賴的，而外部網絡被認為是不安全和不可信賴的。防火墻的作用是防止不希望的、未經授權的通信進出被保護的內部網絡。防火墻對網絡安全的保護程度，很大程度上取決于防火墻的體系架構。隨著網絡應用的增加，對網絡帶寬提出了更高的要求。這意味著防火墻要能夠以非常高的速率處理數據。一些防火墻制造商開發了基于ASIC的防火墻和基于網絡處理器的防火墻。從執行速度的角度看來，基于網絡處理器的防火墻也是基于軟件的解決方案，它需要在很大程度上依賴于軟件的性能，但是由于這類防火墻中有一些專門用于處理數據層面任務的引擎，從而減輕了CPU的負擔，該類防火墻的性能要比傳統防火墻的性能好許多。

四、防火墻存在的安全漏洞

防火墻設備側重于網絡層到應用層的策略隔離，操作系統、內部系統的漏洞、通用協議的缺陷等都成為不安全的潛在因素。首先由防火墻的體系架構可知，防火墻可能會產生網絡層短路，從而導致偽造合法數據包帶來的危害；防火墻還難以抵御數據驅動式攻擊，即大量合法的數據包將導致網絡阻塞而使正常通信癱瘓。其次，防火墻很難阻止由通用協議本身漏洞發起的入侵。第三，防火墻系統本身的缺陷也是影響內部網絡安全的重要因素，當防火墻主機被控制后，內部受保護網絡就會暴露無疑。第四，要使防火墻發揮有效的安全性，需要正確、合理地配置防火墻相關的安全策略，而配置的復雜程度不僅帶來繁瑣的工作量，同時也增加了配置不當帶來的安全隱患。

五、安全性分析比較

（一）指導思想不同

1.防火墻的思路是在保障互聯互通的前提下，盡可能安全；

2.網絡隔離技術的思路是在保證必須安全的前提下，盡可能互聯互通。

（二）體系架構不同

網絡隔離產品一般為雙機或三機系統，而防火墻由一臺處理機組成，為單機系統。而網絡隔離設備實現了OSI模型七層的斷開和應用層內容的檢查機制，因而不會產生網絡層短路，消除了基于網絡協議的攻擊。

（三）安全規則配置的復雜程度不同

防火墻主要依據網絡治理工程師配置的規則進行安全檢查，其安全性的高低與規則配置情況密切相關。規則配置十分復雜，規則最終所起的作用不僅與每條規則有關，而且與每條規則的先后順序、規則之間的相關性都有很大關系。網絡治理工程師必須仔細檢查每條規則，以保證其結果是其預期的結果。從另一個方面講，防火墻的配置要求網絡治理工程師有較高的網絡知識和技術水平。防火墻只是一個被動的安全策略執行設備，防火墻不能防止策略配置不當或錯誤配置引起的安全威脅，規則配置錯誤將造成不安全通道打開。而網絡隔離設備無需進行復雜的規則配置，只需設定一些內外網訪問政策。網絡隔離設備僅答應定制的信息進行交換，即使出現錯誤，也至多是數據不再答應傳輸，而不會造成重大安全事故。

參考文獻：