防火墙在网络中的作用范文第1篇

关键词 防火墙；计算机网络；应用；探讨

中图分类号：TP393 文献标识码：A 文章编号：1671-7597（2013）21-0107-01

近年来，黑客攻击网站的事情时有发生。尽管网络给我们带来了便利，但因为计算机网络安全问题而出现的个人信息泄露、网银密码泄露等事件屡见不鲜。为了维护我们在网络上应享有的正当权益以及保护我们的个人信息，对计算机网络防火墙技术的探讨是很有必要的。

1 防火墙技术的简介

防火墙是一种由软件和硬件结合起来而形成的网络安全系统。防火墙的主要作用是在内部网络和外部网络之间建立起一个筛选的过程，避免外部网络的不安全因素进入内部网络并给内部网络造成损坏。防火墙的这个作用能有效避免内部网络遭受外部网络的病毒的入侵，使内部网络的文件丢失或者被盗取给内部网络用户带来损失。防火墙除了能将外部网络的不安全因素筛选出来以外，还能使内部网络的用户设置允许访问内部网络的名单，这一特点给计算机的网络安全带来了很大的保障。内部网络用户设置了内部网络的访问名单以后，只有有访问权限的人才能进入内部网络，没有访问权限的人则无法访问内部网络。防火墙的这个特性能极大地避免外来者未经用户允许进入内部网络的情况的发生。

2 防火墙技术的类型

防火墙技术可以有很多种分类的方法，其中包括依据构成防火墙的物质的不同来对防火墙进行分类、依据防火墙针对安全问题的解决方法来对防火墙进行分类、依据防火墙的构造来对防火墙进行分类以及依据防火墙起作用的地方来对防火墙进行分类。

2.1 依据构成防火墙的物质的不同来对防火墙进行分类

依据构成防火墙的物质的不同来对防火墙进行分类的话可以把防火墙分为三个类型。这种分类分出来的防火墙类型是软件构成的防火墙、硬件构成的防火墙以及芯片构成的防火墙。

软件构成的防火墙有一定的局限性，只有在指定的计算机上，软件构成的防火墙才能工作。如今的计算机操作系统非常多，不同的计算机操作系统的兼容性也不一样。就比如在某些操作系统中软件构成的防火墙能工作，但在其他的操作系统中软件构成的防火墙不能工作。因此要想软件构成的防火墙工作，就要选对能使防火墙适应的操作系统。

硬件构成的防火墙是以PC作为它的间架结构的。硬件构成的防火墙没有独有的硬件平台。在中关村等电子产品比较丰富的地方，出售的防火墙都是这种类型的硬件构成的防火墙。

芯片构成的防火墙与硬件构成的防火墙相比较最大的特点就是有它自己的独立的硬件平台，它和软件构成的防火墙相比较而言芯片构成的防火墙没有软件构成的防火墙所具有的操作系统。但因为芯片构成的防火墙有着独特的芯片，因此芯片构成的防火墙在所有防火墙种类中的工作速度最快以及解决问题的能力要更强。

2.2 依据防火墙针对安全问题的解决方法来对防火墙进行分类

依据防火墙真的安全问题的解决方法来进行分类可以把防火墙分为三个类型。运用这种方法进行分类所得出来的防火墙的类型分别是包过滤类型的防火墙、应用以及类型的防火墙和状态监测类型的防火墙。

包过滤类型的防火墙顾名思义就是通过对文件进行过滤来达到保护内部网络的目的的防火墙。它所运行的地方是在网络层和传输层，文件如果通过了过滤是安全的就会被传输进内部网络，如果文件没有通过过滤被检测出来存在安全问题，那么，这个文件就会被丢弃，不会让它进入到用户的内部网络。

应用以及类型的防火墙的运行原理是对不同的应用程序实行不同的，用这种方法来完成对外部数据传输进内部网络的监控。

外部网络的信息传入到内部网络时会进行分类，状态监测类型的防火墙的运行原理就是把这些分类以后的信息进行调整，然后根据不同时段所分类出来的信息进行一个总的判断，最后来判定能不能让信息进入到内部网络。

2.3 依据防火墙的构造来对防火墙进行分类

依据防火墙的构造可以把防火墙分为三个类型。这三种类型的防火墙分别是只有一个主机的防火墙、由集成电路构成的防火墙以及分布式防火墙。只有一个主机的防火墙是比较老的防火墙，目前大部分防火墙都不只有一个主机，其主要原因是因为它的价格比较昂贵。由集成电路构成的防火墙就目前来说是这三种防火墙中应用得最多最广的，它的价格比只有一个主机的防火墙要便宜许多。而分布式防火墙是最新的一种防火墙，它的性能是非常优秀的，但因为在三种防火墙中它的价格最贵，所以在目前应用得并不是很广泛。

2.4 依据防火墙起作用的地方来对防火墙进行分类

依据防火墙起作用的地方来对防火墙进行分类的话可以将防火墙分为三类，分别是位于网络边界的防火墙、软件构成的防火墙以及分布式的防火墙。

位于网络边界的防火墙工作的地方是在内部网络和外部网络的边界上，它所工作的原理是通过把内部网络和外部网络分开来达到保护用户的内部网络的目的。位于网络边界的防火墙一般都是由硬件构成的防火墙，因此如果要买的话金额是比较多的。

软件构成的防火墙通常都工作于单独的内部网络，只保护一台计算机，这种防火墙的购买金额是最低的，因此，它的防护作用也是最差的。

分布式的防火墙在上文已经提到过了，它的构建是最复杂的，它的构建既有软件也有硬件。分布式防火墙不仅可以对外部网络的文件传输进行筛选，还能对内部网络之间传输的数据进行过滤。

3 防火墙的作用

防火墙的作用经过归纳总结一共有5个：①过滤掉不安全的文件；②避免外人在未经主人允许的情况下进入内部网络；③禁止用户访问一些非法的网站；④对网络进行实时的监控；⑤避免用户的文件被非法盗取。

4 小结

本文简要介绍了防火墙的概念涵义以及防火墙的种类，并就防火墙种类的划分原则进行了简单介绍，随着计算机网络的发展，网络安全势必会成为人们关注的焦点问题，我们必须基于现有的防火墙水平，不断创新防护技术，实现更好的防护效果。

参考文献

[1]林汉祥.浅析计算机网络安全及防范[J].计算机光盘软件与应用，2013（15）.

[2]白会民.基于防火墙技术的计算机网络安全问题探讨[J].消费电子·理论版，2013（2）.

[3]张润秋，张庆敏，张恺.基于防火墙技术对网络安全防护的认识[J].计算机光盘软件与应用，2013（15）.

防火墙在网络中的作用范文第2篇

1 传统防火墙的不足

传统防火墙是现代网络安全防范的主要支柱，但在安全要求较高的大型网络中存在一些不足，主要表现如下：

(1) 结构性限制。传统防火墙的工作原理依赖于网络的物理拓扑结构，如今，越来越多的跨地区企业利用Internet来架构自己的网络，致使企业内部网络已基本上成为一个逻辑概念，因此，用传统的方式来区别内外网络十分困难。

(2) 防外不防内。虽然有些传统防火墙可以防止内部用户的恶意破坏，但在大多数情况下，用户使用和配置防火墙主要还是防止来自外部网络的入侵。

(3) 效率问题。传统防火墙把检查机制集中在网络边界处的单一接点上，因此，防火墙容易形成网络的瓶颈。

(4) 故障问题。传统防火墙本身存在着单点故障问题。一旦处于安全节点上的防火墙出现故障或被入侵，整个内部网络将完全暴露在外部攻击者的前面。

2 分布式防火墙的概念

为了解决传统防火墙面临的问题，美国AT&T实验室研究员Steven M.Bellovin于1999年在他的论文“分布式防火墙”中首次提出了分布式防火墙的定义，其系统由以下三部分组成：

(1) 网络防火墙。网络防火墙承担着传统防火墙相同的职能，负责内外网络之间不同安全域的划分；同时，用于对内部网络中各子网之间的防护。

(2) 主机防火墙。为了扩大防火墙的应用范围，在分布式防火墙系统中设置了主机防火墙。主机防火墙驻留在主机中，并根据响应的安全策略对网络中的服务器及客户端计算机进行安全保护。

(3) 中心管理服务器。中心管理服务器是整个分布式防火墙的管理核心，主要负责安全策略的制定、分发及日志收集和分析等操作。

3 分布式防火墙的工作模式

分布式防火墙的工作模式：由中心策略服务器统一制定安全策略，然后将这些制定好的策略分发到各个相关节点。而安全策略的执行则由相关主机节点独立实施，再由各主机产生的安全日志集中保存在中心管理服务器上，其工作模式如图所示。

分布式防火墙工作模式结构

从图中可以看出，分布式防火墙不再完全依赖于网络的拓扑结构来定义不同的安全域，可信赖的内部网络发生了概念上的变化，它已经成为一个逻辑上的网络，从而打破了传统防火墙对网络拓扑的依赖。但是，各主机节点在处理数据时，必须根据中心策略服务器所分发的安全策略来决定是否允许某一节点通过防火墙。

4 分布式防火墙的构建

分布式防火墙的构建主要有如下四个步骤：

(1) 策略的制定和分发。在分布式防火墙系统中，策略是针对主机制定的。在制定策略之后通过策略管理中心“推送”和主机“索取”两种机制分发到主机。

(2) 日志的收集。在分布式防火墙中，日志可以通过管理中心“定期采集”、主机“定期传送”、主机“定量传送”由主机传送到管理中心。

(3) 策略实施。策略在管理中心统一制定，通过分发机制传送到终端的主机防火墙，主机防火墙根据策略的配置在受保护主机上进行策略的实施。主机防火墙策略实施的有效性是分布式防火墙系统运行的基础。

(4) 认证。在分布式防火墙系统中通常采用基于主机的认证方式，即根据IP地址进行认证。为了避免IP地址欺骗，可以采用一些强认证方法，例如Kerberos、X.509、IP Sec等。

5 分布式防火墙的主要优势

在新的安全体系结构下，分布式防火墙代表新一代防火墙技术的潮流，它可以在网络的任何交界和节点处设置屏障，从而形成了一个多层次、多协议，内外皆防的全方位安全体系。主要优势如下：

(1) 分布式防火墙增加了针对主机的入侵检测和防护功能，加强了对来自内部攻击的防范，可以实施全方位的安全策略。

(2) 分布式防火墙消除了结构性瓶颈问题，提高了系统性能。

(3) 分布式防火墙随系统扩充提供了安全防护无限扩充的能力。

6 结论

总之，在企事业单位的计算机网络安全防护中，分布式防火墙技术不仅克服了传统边界式防火墙的不足，而且把防火墙的安全防护系统延伸到网络中的各台主机。它在整个企事业网络或服务器中，具有无限制的扩展能力。随着网络的增长，它们的处理负荷也会在网络中进一步分布，从而持续地保持高性能，最终给网络提供全面的安全防护。

参考文献

[1],李臻,彭纪奎.基于入侵检测的分布式防火墙的应用研究[J].微电子学与计算机,2011(6).

防火墙在网络中的作用范文第3篇

关键词：网络安全；防火墙技术；计算机网络

中图分类号：TP393.08 文献标识码：A文章编号：1007-9599 (2010) 13-0000-02

Discussion on Computer Network Security Firewall Technology

Cheng Hao

(Huai'an Municipal Party Audio-visual Center of CPC,Huaian223002,China)

Abstract:The rapid development of computer networks for people working and learning and life changing dramatically.But at the same time, computer network security issues become increasingly prominent,then,how in today's network environment to ensure the security of computer networks is particularly important.The question of accounting machines to calculate the development of network security,computer network security and firewall technology to do was discussed.

Keywords:Network security;Firewall technology;Computer network

现今社会随着计算机网络技术的发展，促进了信息技术的变革，社会对计算机网络的依赖也逐渐增强。计算机网络正改变着人们在工作和生活中的方式。但是，随之而来的计算机网络受攻击现象也就出现了，数据丢失、网上银行账号密码被破解等现象，使用户苦不堪言，损失的也无法挽回。为保护计算机、服务器和局域网资源受到攻击等，利用防火墙技术是当前比较可行的一种网络安全保护技术。

一、防火墙的概念

防火墙是由软件和硬件设备组合而成，在内部和外部网之间、专用网和公共网之间的界面上构造的保护屏障，是一种获取安全性方法。详细点说就是：“防火墙”是一个通用的术语，在两个网络之间执行控制策略的系统，是在网络上建立的网络通信控制系统，用来保护计算机的网络安全，他是一种控制技术，既可以是种软件产品，也可以是制作或嵌入到某个硬件产品中。它是设置在不同网络或是不同网络安全区域之间的一系列控制装置组合，也是不同网络和网络安全区域之间的信息和数据的唯一入口，根据网络管理人员制定的网络安全策略控制出入的各种数据信息流，对网络信息提供有效的安全服务。换句话说，从逻辑上来讲，防火墙其实就是一个分离器、限制器、分析器，它可以有效的监控所要保护的内部网和外部公共网之间的任何活动，然后对网络之间所传送的数据包会按照一定的安全策略进行检查，从而确定网络内部服务中哪些允许外部访问，哪些不允许外部访问。也保证了所有要保护的内部计算机的网络稳定。

二、计算机网络安全中防火墙技术的作用以及功能

（一）计算机网络安全中防火墙的作用：防火墙技术是建立在现代通信网络技术和信息安全技术基础上的应用性安全技术。首先，可以说防火墙是网络安全的屏障。因为一个防火墙，它能极大地提高一个内部网络使用的安全性，并且通过过滤不安全的服务降低风险。因为只有经过选择的安全的应用协议能通过防火墙，所以可以大大提高网络质量，可以让网络环境变得更加安全。比如防火墙可以禁止大家都知道的不安全的NFS协议进出受保护网络，这样呢，外部的攻击者它就不可能利用这些脆弱的协议向内部网络进行攻击。防火墙同时还可以保护网络免受于路由的攻击，比如说选项中源路由攻击和ICMP重定向中的重定向路径。防火墙可以拒绝所有以上类型攻击的报文并通知防火墙的管理员。

其次，防火墙可以大大的强化网络的安全策略，可以对网络存取和访问进行监控审计。以防火墙为中心的安全方案配置，能将所有安全软件，配置在防火墙上。与把网络安全问题分散在每个主机上相比较，这样的防火墙的集中安全管理就更为经济了。换句话讲如果所有的访问都经过防火墙，那么，防火墙可以记录下这些访问并可以作出日志记录，同时也能提供网络使用情况的统计数据。当发生可疑工作时，防火墙就会进行适当的报警，并提供网络是否受到监测和攻击等详细信息。另外一方面，收集一个网络的使用和误用情况也是十分重要的。最后，防火墙可以防止内部信息的外泄。通过利用防火墙对内部网络的划分，我们可以实现内部网络重点网段的隔离，从而限制了局部重点或敏感网络安全问题对全局网络造成的影响，可以清楚防火墙是否能够抵挡攻击者的探测和攻击，并且清楚防火墙的控制是否充足。再者，网络使用统计对网络需求分析和威胁分析等也是非常重要的。因为隐私是内部网络非常关心的问题，内部网络中不引人注意的细节可能包含了有关安全的线索而引起外部攻击者的兴趣，甚至因此而暴露了内部网络的某些安全漏洞。除了安全作用，防火墙还支持具有Internet服务特性的企业内部技术体系VPN，通过VPN，可以将企事业单位在地域上分布在各地的L A N或专用子网有机地联成一个整体，这样不仅省去了专用通信线路，而且也为信息共享提供了技术保障。

（二）计算机网络安全中防火墙的类型：防火墙是非常重要的网络防护设备。当然，它也有着不同的版本类型，它可以是硬件自身的一部分，可将因特网连接和计算机都捕入其中；也可以在一个独立的机器上运行，该机器则作为它所在网络中所有计算机的和防火墙。为达到安全防御的功能，必须应该使内部和外部网络之间的所有数据都通过防火墙进出。并且只有符合防火墙规则设置的数据流才可以通过防火墙；防火墙本身也要有非常非常强的抗攻击能力和自我免疫能力。防火墙不但可以用于对因特网的连接，同时它也可以用来在组织网络内部保护大型机和重要数据资源，所以根据防火墙技术的分类，我们通常分为以下的类型：

1.网络层防火墙

网络层防火墙主要就是获取数据包的包头信息，如协议号、源地址、目的地址和目的端口等，或者直接获取包头的一段数据。网络层防火墙可视为一种IP封包过滤器，运作在底层的TCP／IP协议堆栈上。过滤型防火墙工作在OSI网络参考模型的网络层和传输层，它根据数据包头源地址，目的地址、端口号和协议类型等标志确定是否允许通过。只有满足过滤条件的数据包才被转发到相应的目的地，其余数据包则被从数据流中阻挡丢弃。

2.应用层防火墙

应用层防火墙是对整个信息流进行分析，也有人把应用层防火墙叫应用型防火墙。它是工作在OSI参考模型的最高层，即应用层使用浏览器时所产生的数据流或是使用FTP时的数据流都是属于这一层的。应用层防火墙它可以拦截进出某应用程序的所有封包， 并且封锁其他的封包。它的特点其实就是完全“阻隔”了网络通信流，通过对每一种应用服务编制专门的程序，从而实现监视和控制应用层通信流的作用。我们根据防火墙的应用位置分为：边界防火墙、个人防火墙和混合防火墙。根据防火墙的性能来分，则有：百兆级防火墙和千兆级防火墙等等。

（三）常用防火墙技术的工作原理：

1.防火墙网络层包过滤型的工作原理。通过防火墙的包内容设置：在基于TCP／IP协议的计算机网络上，所有网络上的计算机都是用IP地址来唯一地标识其在网络中的位置的，而所有来往于计算机之间的信息都是以一定格式的数据包的形式传输的，数据包中包含了标识发送者位置的IP地址、端口号和接受者位置的IP地址、端口号等地址信息。当这些数据包被送上计算机网络时，路曲器会读取数据包中接受者的IP地址，并根据这一IP地址选择一条合适的物理线路把数据包发送出去，当所有的数据包都到达目的主机之后再被重新组装还原。这就是包过滤型火墙。包过滤防火墙就是根据数据在网络上的这一传输原理来设计的，包过滤防火墙的过滤规则包由若干条规则组成，由具体的防火墙软件提供或用户自定义规则设置，可以实现网络中数据包的访问控制。首先包过滤防火墙会检查所有通过它的数据流中每个数据包的IP包头信息，然后按照网络管理员所设定的过滤规则进行过滤。应用层协议过滤要求主要包括FTP过滤、基于R P C的应用服务过滤，基于UDP的应用服务过滤要求以及动态包过滤技术等。其具体操作过程为：防火墙根据具体报文的组成格式，判断该报文的源主机地址和目的主机地址以及该报文的存活时间，长度，报文的特性和报文的其他信息等，其中包括各种不同协议的包，依据各包通讯的不同端口，完成截获、检测和扫描以及过滤功能。

2.防火墙应用层型工作原理。实际是设置在Internet 防火墙网关上有特殊功能的应用层代码，是在网管员允许下或拒绝的特定的应用程序或者特定服务，还可应用于实施数据流监控、过滤、记录和报告等功能。在应用层提供支持。以及服务，在确认客户端连接请求有效后接管连接，代为向服务器发出连接请求，服务器应根据服务器的应答，决定如何响应客户端请求，服务进程应当连接两个连接。内部网络只接受提出的服务请求，拒绝外部网络其他接点的直接请求。为确认连接的唯一性与时效性，进程应当维护连接表或相关数据库，为了提供认证和授权，进程应当维护一个扩展字段集合。其实的工作原理是比较简单的，它就是用户跟服务器建立连接，然后将目的站点告知，对于合法的请求，以自己的身份(应用层网关)与目的站点建立连接，然后在这两个连接中转发数据。其主要特点是有状态性，能完全提供与应用相关的状态和部分传输方面的信息，同时还能够提供全部的审计和日志功能，既能隐藏内部IP地址，又能够实现比包过滤路由器更严格的安全策略。型防火墙它针对每一个特定应用都有一个模块，管理员完全可以根据网络的需要安装相应的。一般情况下每个相互无关，即使某个工作发生问题，只需将它简单地卸出，不会影响其它的模块，可以说他很大程度上提高了网络的安全性。

三、计算机网络安全中防火墙技术的应用

目前保护计算机网络安全最主要的手段之一就是构筑防火墙．防火墙的系统管理发展趋势主要体现在集中式管理．分布式和分层的安全结构

（一）防火墙和单子网

因为由于不同的资源有着不一样的风险程度，所以我们要基于此来对我们的网络资源去进行划分。这里的风险，主要包含着两方面的因素：一是资源将被妥协的可能性以及资源本身的敏感性。比方说一个好地WEB服务器在运行CGI，它会比那种仅仅提供静态网页更容易得到用户的认可，但是随之而来的便是WEB服务器的安全隐患问题。我们的网络管理人员在服务器前端配置好防火墙，就会大大的减少全面暴漏的风险。数据库服务器里存放着重要的数据信息，它就比WEB服务器更为敏感，因此呢，我们就需要添加额外的安全保护层。使用单防火墙好单子网保护多级应用系统的网络结构，这里面所有的服务器都被安排在了同一个子网，防火墙连接在边界路由器与内部网之间，防御来自互联网的网络攻击。在网络使用以及基于主机入侵检测系统下，服务器得到了加强与防护，这样便可以保护应用系统免受攻击。像这种的纵向防护技术在所有坚固的设计中可以说是相当普遍的，但他/它们并没有很明显的显示在图表中。这种设计方案中，所有的服务器全部安排在一个子网里，用防火墙讲他们跟互联网隔离，这些不同安全级别的服务器在子网中受到同等级的安全保护。所以，当进一步隔离网络服务器并不能从实质上降低重要数据的安全风险时，采用单防火墙和单子网的方案的确是一种经济的选择。

（二）单防火墙和多子网

如果遇到了比较适合划分多个子网的情况，网络管理人员可以把内部的网络划分成为独立的子网，不同层的服务器分别把他们放在不同的子网中去，数据层服务器只接受中间层服务器数据查询的连接端口，就能很好地提高数据层服务器的安全性，同时也能帮助防御其他类型的攻击。这时，就比较适用单个防火墙划分多重子网结构。它的方法就是在一个防火墙上开放出多个端口，用该防火墙把整个网络划分多个子网，每个子网分管应用系统特定的层。网络管理人员可以在防火墙不同的端口设置不同的安全策略。在这种配制中，互联网用户只能直接访问表述层的服务器，表述层服务器只能访问到中间层服务器，而中间层服务器也只能访问数据库服务器。这种结构与多级应用结构进行对比。就会发现这种设计能贴切地反映应用系统的需求，并且能对每个层进行有效的访问控制。

结语：

随着现代计算机网络技术的不断发展，计算机网络安全技术已经发展成为国家安全以及社会稳定的重要问题．同时它也是一个涉及计算机科学、网络技术以及网络信息安全等多种学科的科学问题。而防火墙作为维护网络安全的第一道防线，它被大家公认为是威力最大、效果最好的有利保护措施，可以说防火墙已成为保障计算机网络安全不可缺少的必备工具，因此得到了广泛的应用，于此同时，随着计算机网络技术的不断发展，防火墙作为重要的网络安全屏障，它的技术也在不断地发展以适应新的网络环境和新的网络技术，所以防火墙在网络安全领域扮演的角色也将会变得越来越重要。

参考文献：

[1]蔡立军.计算机网络安全技术[M].中国水利水电出版社,2002（06）

[2]胡朝龙.浅谈计算机网络安全对策及其纵深防御思想[J]．科技创新导报,2007(02)

[3]冯登国.网络安全原理与技术[M].科技出版社,2007（09）

[4]黎连业,张维.防火墙及其应用技术[M].清华大学出版社,2004（09）

[5]张连银.防火墙技术在网络安全中的应用[J].科技资讯,2007(09)

[6]朱鹏.于状态包过滤的防火墙技术[M].微计算机工程,2005（03）

防火墙在网络中的作用范文第4篇

关键词：防火墙 网络安全 技术

0 引言

随着科学技术的快速发展，网络技术的不断发展和完善，在当今信息化的社会中，我们生活和工作中的许多数据、资源与信息都通过计算机系统来存储和处理，伴随着网络应用的发展，这些信息都通过网络来传送、接收和处理，所以计算机网络在社会生活中的作用越来越大。为了维护计算机网络的安全，人们提出了许多手段和方法，采用防火墙是其中最主要、最核心、最有效的手段之一。防火墙是网络安全政策的有机组成部分，它通过控制和监测网络之间的信息交换和访问行为来实施对网络安全的有效管理。

1 防火墙的分类

防火墙是在内部网与外部网之间实施安全防范的系统，它用于保护可信网络免受非可信网络的威胁，同时，仍允许双方通信，目前，许多防火墙都用于Internet内部网之间，但在任何网间和企业网内部均可使用防火墙。按防火墙发展的先后顺序可分为:包过滤型(PackFilter)防火墙(也叫第一代防火墙)。复合型(Hybrid)防火墙(也叫第二代防火墙)；以及继复合型防火墙之后的第三代防火墙，在第三代防火墙中最具代表性的有:IGA (InternetGatewayAppciance)防毒墙；SonicWall防火墙以及Cink TvustCyberwall等。

按防火墙在网络中的位置可分为:边界防火墙、分布式防火墙。分布式防火墙又包括主机防火墙、网络防火墙。按实现手段可分为:硬件防火墙、软件防火墙以及软硬兼施的防火墙。

网络防火墙技术是一种用来加强网络之间的访问控制，防止外部网络用户以非法手段通过外部网络进入内部网络访问内部网络资源，保护内部网络操作环境的特殊网络互联设备。它对两个或多个网络之间传输的数据包，如链接方式，按照一定的安全策略来实施检查，以决定网络之间的通信是否被允许，并监视网络运行状态。

2 防火墙在网络安全中的作用

防火墙的作用是防止非法通信和未经过授权的通信进出被保护的网络。防火墙的任务就是从各种端口中辨别判断从外部不安全网络发送到内部安全网络中具体的计算机的数据是否有害，并尽可能地将有害数据丢弃，从而达到初步的网络系统安全保障。它还要在计算机网络和计算机系统受到危害之前进行报警、拦截和响应。一般通过对内部网络安装防火墙和正确配置后都可以达到以下目的:①限制他人进入内部网络，过滤掉不安全服务和非法用户。②防止入侵者接近你的防御设施。③限定用户访问特殊站点。④为监视Intemet安全提供方便。

3 防火墙的工作原理

防火墙可以用来控制Internet和Intranet之间所有的数据流量。在具体应用中，防火墙是位于被保护网和外部网之间的一组路由器以及配有适当软件的计算机网络的多种组合。防火墙为网络安全起到了把关作用，只允许授权的通信通过。防火墙是两个网络之间的成分集合，有以下性质:①内部网络和外部网络之间的所有网络数据流都必须经过防火墙；②只有符合安全策略的数据流才能通过防火墙；③防火墙自身应具有非常强的抗攻击免疫力。一个好的防火墙应具有以下属性:一是所有的信息都必须通过防火墙；二是只有在受保护网络的安全策略中允许的通信才允许通过防火墙；三是记录通过防火墙的信息内容和活动；四是对网络攻击的检测和告警；五是防火墙本身对各种攻击免疫。

4 防火墙技术

防火墙的种类多种多样，在不同的发展阶段，采用的技术也各不相同，因而也就产生了不同类型的防火墙。防火墙所采用的技术主要有:

4.1 屏蔽路由技术 最简单和最流行的防火墙形式是“屏蔽路由器”。屏蔽路由器在网络层工作(有的还包括传输层)，采用包过滤或虚电路技术，包过滤通过检查每个IP网络包，取得其头信息，一般包括:到达的物理网络接口，源IP地址，目标IP地址，传输层类型(TCPUDP ICMP)，源端口和目的端口。根据这些信息，判别是否规则集中的某条目匹配，并对匹配包执行规则中指定的动作(禁止或允许)。

4.2 基于的(也称应用网关)防火墙技术 它通常被配置为“双宿主网关”，具有两个网络接口卡，同时接入内部和外部网。由于网关可以与两个网络通信，它是安装传递数据软件的理想位置。这种软件就称为“”，通常是为其所提供的服务定制的。服务不允许直接与真正的服务通信，而是与服务器通信(用户的默认网关指向服务器)。各个应用在用户和服务之间处理所有的通信。能够对通过它的数据进行详细的审计追踪，许多专家也认为它更加安全，因为软件可以根据防火墙后面的主机的脆弱性来制定，以专门防范已知的攻击。

4.3 包过滤技术 系统按照一定的信息过滤规则，对进出内部网络的信息进行限制，允许授权信息通过，而拒绝非授权信息通过。包过滤防火墙工作在网络层和逻辑链路层之间。截获所有流经的IP包，从其IP头、传输层协议头，甚至应用层协议数据中获取过滤所需的相关信息。然后依次按顺序与事先设定的访问控制规则进行一一匹配比较，执行其相关的动作。

4.4 动态防火墙技术 动态防火墙技术是针对静态包过滤技术而提出的一项新技术。静态包过滤技术局限于过滤基于源及目的的端口，IP地址的输入输出业务，因而限制了控制能力，并且由于网络的所有高位(1024—65 535)端要么开放，要么关闭，使网络处于很不完全的境地。而动态防火墙技术可创建动态的规则，使其适应不断改变的网络业务量。根据用户的不同要求，规则能被修改并接受或拒绝条件。动态防火墙为了跟踪维护连接状态，它必须对所有进出的数据包进行分析，从其传输层，应用层中提取相关的通讯和应用状态信息，根据其源和目的IP地址，传输层协议和源及目的端口来区分每一连接，并建立动态连接表为所有连接存储其状态和上下文信息；同时为检查后续通讯。应及时更新这些信息，当连接结束时，也应及时从连接表中删除其相应信息。

4.5 一种改进的防火墙技术(或称复合型防火墙技术) 由于过滤型防火墙安全性不高，服务器型防火墙速度较慢，因而出现了一种综合上述两种技术优点的改进型防火墙技术，它保证了一定的安全性，又使通过它的信息传输速度不至于受到太大的影响。对于那些从内部网向外部网发出的请求，由于对内部网的安全威胁不大，因此可直接下载外部网建立连接，对于那些从外部网向内部网提出的请求，先要通过包过滤型防火墙，在此经过初步安全检查，两次检查确定无疑后可接受其请求，否则，就需要丢弃或作其他处理。

5 防火墙的应用

5.1 硬件防火墙的设置

下面以思科PIX 501型防火墙为例，设置如下:要设置内部接口的IP地址，使用如下命令:

PIX1(config)# ip address inside 10. 1. 1. 1 255. 0. 0. 0

PIX1(config)#

现在，设置外部接口的IP地址:

PIX1(config)#ip address outside 1.1.1.1 255.255.255.0

PIX1(config)#

下一步，启动内部和外部接口。确认每一个接口的以太网电缆线连接到一台交换机。注意，ethernet0接口是外部接口，它在PIX 501防火墙中只是一个10base-T接口。ether-net1接口是内部接口，是一个100Base-T接口。下面是启动这些接口的方法:

PIX1(config)# interface ethernet0 10baset

PIX1(config)# interface ethernet1 100full

PIX1(config)#

最后设置一个默认的路由，这样，发送到PIX防火墙的所有的通讯都会流向下一个上行路由器(我们被分配的IP地址是10. 76. 12. 254):

PIX1(config)#route outside 0 0 10. 76. 12. 254

PIX1(config)#

当然， PIX防火墙也支持动态路由协议(如RIP和OSPF协议)。

现在，我们接着介绍一些更高级的设置。网络地址解析

由于我们有IP地址连接，我们需要使用网络地址解析让内部用户连接到外部网络。我们将使用一种称作“PAT”或者“NATOverload”的网络地址解析。这样，所有内部设备都可以共享一个公共的IP地址(PIX防火墙的外部IP地址)。要做到这一点，请输入这些命令:

PIX1(config)#nat ( inside) 1 10. 0. 0. 0 255. 0. 0. 0

PIX1(config)#global (outside) 1 10. 1. 1. 2

Global10. 1. 1. 2 will be PortAddressTranslated

PIX1(config)#

使用这些命令之后，全部内部客户机都可以连接到公共网络的设备和共享IP地址10. 1. 1. 2。然而，客户机到目前为止还没有任何规则允许他们这样做。

5.2 软件防火墙的设置以天网、诺顿防火墙为例:

5.2.1 天网防火墙(2.60版) 在天网防火墙的主面板上点击“系统设置”按钮，在弹出的“系统设置”窗口中，点击“规则设定”中的“向导”，就会弹出设置向导。

在“安全级别设置”对话框中选择好安全级别(局域网内的用户可以选择“低”)后再点击“下一步”按钮，进入“局域网信息设置”窗口。勾选“我的电脑在局域网中使用”，软件便会自动探测本机的IP地址并显示在下方。接下来，一路点击“下一步”按钮即可完成设置了。

5.2.2 诺顿个人防火墙 在软件的主界面左侧点击“Internet区域控制”选项，在右侧窗口进入“信任区域”选项卡，点击“添加”按钮，打开“指定计算机”对话框。在该对话框中选择“使用范围”，然后在下面输入允许访问的起始地址和结束地址即可。

防火墙在网络中的作用范文第5篇

关键词：　防火墙技术；网络；技术；安全；体系架构

1　防火墙的概念

防火墙实际上是一种隔离技术，它可以将内部网和公众访问网分开，是一种最重要的网络防护设备。从专业角度讲，防火墙是位于两个网络间，实施网络之间访问控制的一组组件集合，它可以在两个网络通讯时执行的一种访问控制尺度，它允许安全的数据进入内部网，同时将有威胁的数据拒之门外。最大限度地减少恶意用户访问给网络信息带来的威胁。防火墙的目的是在网络连接之间建立一个安全控制点，通过允许、拒绝或重新定向经过防火墙的数据流，实现对进、出内部网络的服务和访问进行审计和控制。

2　防火墙的分类

防火墙有很多种形式，有的以软件形式运行在普通计算机之上，也有的以固件形式设计在路由器之中。防火墙的分类也有很多种分法，从软、硬件形式上可分为软件防火墙和硬件防火墙以及芯片级防火墙；从防火墙结构可分为单一主机防火墙、路由器集成式防火墙和分布式防火墙三种；按防火墙的应用部署位置可分为边界防火墙、个人防火墙和混合防火墙三大类；按防火墙性能可分为百兆级防火墙和千兆级防火墙；按防火墙技术可分为包过滤防火墙和应用级两大类。

3　防火墙的功能

在没有防火墙的环境中，局域网内部上的每个节点都暴露给Internet上的其它主机，局域网的安全性要由其中每个节点的坚固程度来决定，并且安全性等同于其中最弱的节点，从而使得局域网规模越大，把所有主机保持在相同安全水平上的可管理能力就越小。

引入防火墙后，局域网的安全性在防火墙上得到了统一的加固，主要体现在：1）强化了安全访问策略。防火墙可以提供实施和执行网络访问策略的工具，实现对用户和服务的访问控制。2）记录与Internet之间的通信活动。作为内外网之间唯一的放完通道，防火墙能够记录内部网和外部网络之间发生的多有事件。3）实现了网段之间的隔离或控制。防火墙的隔离作用，可控制一个有问题网段中的问题在整个网络中的传播。4）提供一个安全策略的检查站。所有进出网络的信息都必须通过防火墙，这样的防火墙便成为一个安全检查点，把所有可疑的访问拒之门外。

4　防火墙技术分析

4.1　包过滤防火墙

数据包过滤是一种在内部网络与外部主机之间进行有选择的数据包转发记住，它按照一种被称为访问控制列表（access　control　list，ACL）的安全策略来决定是允许还是阻止某些类型的数据包通过。ACL可以被配置为根据数据包报头的任何部分进行接收或拒绝数据包，目前，这种过滤主要是针对数据包的协议地址（包括源地址和目的地址）、协议类型和TCP/IP端口（包括源端口和目的端口）来进行的。因此，数据包过滤服务被人为是工作在网络层与传输层的边界安全机制。

4.2　状态检测防火墙

状态检测防火墙采用了状态检测包过滤的技术，是传统包过滤上的功能扩展。采用这种技术的防火墙对通过其建立的每一个连接都进行跟踪，并且根据需要动态地在过滤规则中增加或更新条目。状态检测防火墙在网络层有一个检查引擎，它截获数据包从中抽取出与应用层状态有关的信息，并以此为依据决定对该连接是接受还是拒绝。

4.3　服务型防火墙

（proxy）服务是运行在防火墙主机上的专门程序。防火墙主机可以是一个同时拥有内部网络接口和外部网络接口的双重宿主主机，也可以是一些内部网络中唯一可以与Internet通信的堡垒主机。服务程序接受内部网用户对Internet服务的请求，按照相应的安全策略转发它们的请求，并返回Internet网上主机的响应。实际上，就是一个在应用层提供替代连接并充当服务的网关。具有应用相关性，要按照应用服务类型的不同，选择相应的服务。

4.4　网络地址翻译

网络地址翻译（network　address　translation，NAT），是一种通过将私有地址转换为可以在公网上被路由的公有IP地址，实现私有地址结点与外部公网结点之间相互通信的技术。它一般运行在内部网络与外部网络的边界上，当内部网络的一台主机想要向外部网络中的主机进行数据传输时，它先将数据包发到NAT设备；NAT设备上的NAT进程将首先查看IP包报头的内容，如果该包是被允许通过的，就用自己所拥有的一个全球唯一的IP地址替换掉包头内源地址字段中的私有IP地址，然后将数据包转发到外部网络的目标主机上；当外部主机回应包被发送回来时，NAT进程将接收它，并通过查看当前的网络地址转换表，用原来的内部主机私有地址替换回应包中的公有目标地址，然后将该回应包送到内部网的相应源主机上。

4.5　个人防火墙

个人防火墙，也就是通常的单机版防火墙，个人防火墙是保护个人计算机接入公共网络（如因特网）的安全有效措施。个人防火墙以软件防火墙为主，很少见到有个人用硬件防火墙设备。个人防火墙不但可以抵挡外来攻击还可以抵挡内部的攻击。

4.6　防火墙分析综述

通过对防火墙技术性的分析，我们对防火墙有了更加深刻的了解和认识。首先，防火墙只是整个网络安全防护的一部分，其他防护手段如病毒防治、密码技术、鉴别技术等对网络安全也相当重要；其次，防火墙不是绝对安全，只能防护经过防火墙的访问和攻击，而对绕过防火墙进入网络的访问无能为力；再次，防火墙的架构需要风险分析和需求分析，并要进行动态维护，在测试和验证等方面还会受到限制，所以防火墙的防护能力不一定能够满足安全政策的需要。

5　防火墙体系结构

5.1　防火墙硬件架构

在网络信息安全的平台上，多采用的x86、NP、ASIC三种架构的防火墙。

在低端千兆市场上，x86架构的防火墙是主流产品。x86系列架构的防火墙又被称为工控机防火墙，具有开发、设计门槛低、技术成熟等优点，但它对数据包的转发性能相对较弱。

在高端千兆市场上，基于NP的防火墙将占有较大的市场分额。网络处理器（NP）是可编程处理器，是专门用来处理数据包的，它内含的数据处理引擎可以并发进行数据处理工作，能够直接完成网络数据的处理。

ASIC架构的防火墙是采用专用集成电路ASIC技术设计的专门的数据包处理流水线，它可以优化存储器等资源利用，是公认的能满足千兆环境应用的技术方案。但集成电路ASIC技术的开发成本高、开发周期长、开发难度大，一直没能得到广泛的应用。

5.2　防火墙软件架构

根据产品的需要构建完善的产品框架，以软件质量标准实现产品的框架，才是完善的软件架构实现模式。完善的软件架构可以使用户和软件之间、系统与软件之间找到很好的结合点。通过对软件产品和活动的评审和审计可以验证软件的质量，检验软件质量是否符合相应的规程和标准。产品框架的设计师关系到产品稳定性、实用性、安全性等的问题的关键，合理的软件架构可以使得操作系统得到优化，网络容易集成，还能确保应用互操作性。

6　安全体系架构

安全体系结构是面向资源的结构模块化设计，对文件、节点对象、协议类型、应用行为、管理端口协议等资源直接进行控制，极大的提高了网络的安全性，并保证了配置的方便性。系统采用可纵向结构层次化设计和横向功能模块化设计，使得安全系统的层次分明，系统结构清晰合理。对象型设计模式在配置过程中需要先定义配置的对象，后续的配置都按配置进行设置策略。一体化硬件设计要使用高速芯片加速处理网络的数据报文。数据流区块化导引比较则是结合网络连接和当前会话状态进行分析和监控。

防火墙作为最早出现的网络安全产品在网络安全中起着非常重要的作用。近年来，随着防火墙发展人们对防火墙的要求越来越高，防火墙已不再是一个简单的安全产品，而是网络安全的代名词。一般情况下，内外网交界的位置对于网络安全来说非常关键，为了降低网络传输延迟，只有在这个位置放置防火墙、病毒检测设备等。在实际使用中，如果能将防火墙、病毒检测等相关安全产品联合起来协同配合使用，充分发挥它们各自的长处，建立一个有效的安全防范体系，网络安全性就可以有明显的提升。

总之，随着网络信息化的发展，互联网的安全威胁也越来越大，防火墙作为内部网和外部网之间的一种访问控制技术，己经成为保护网络安全的一个重要措施。尽管防火墙的作用非常重要，但在网络安全中不能把防火墙作为唯一的防御手段，还应当结合其他安全措施，建立全面的安全防御体系。

参考文献：

[1]张蓉、贾义，浅析防火墙的系统架构及技术实现，2010年，01期.

[2]刘立博，基于中间层驱动的分布式防火墙技术的研究，2007年，06期.