防火墙的核心技术范文第1篇

关键词：防火墙绕过技术；过滤驱动；Hook；HIPS；入侵检测；零日攻击；信息战；Rootkit；XSS；网页木马；ARP欺骗；中间人攻击；木马

中图分类号：TP393文献标识码：A文章编号：1009-3044(2008)29-0347-03

The Developments and Defence Trojan-horse Technology

ZHANG Qiu-na

(Minxi Vacational and Technical College,the Computer Department, Longyan 364000, China)

Abstract: For the hacker attack technology advances day by day, these present security products has not been able to resist each kind of network security threats completely. This article firstly in detail narrated each current senior Trojan technology which breakthroughs in various software firewall, the technology and realization of software firewall. Then, narrated the technical method which adapt to the new type of hacker attacks, and defend various security threats from network.Finally, introduced function on firewall, the method used to defend rootkit, new backdoor Trojan, the buffer overflow attack contains0day attack,ARP deception,U-disk infects,unknown password steals procedure and so on.

Key words: firewall-bypassing; filtering-driver; Hook; HIPS; IDS; 0day-attack; information war; rootkit; XSS; web-trojan; ARP cheating; middle-man-attack;trojan-horse

1 前言

木马，这个词来源于《荷马史诗》的《伊里亚特》，在特洛伊战争中，希腊人利用一只体内藏有军队的巨大木马从内部攻陷了特洛伊城，自此，特洛伊木马即被用来形容隐藏在系统内的，有重大危害的漏洞。而在计算机安全领域，木马则指的是通过种种手段，植入目标主机系统内实现盗取主机信息，甚至远程控制目标主机的程序。随着计算机网络技术的发展，网络的攻防的不断升级，而作为网络攻击的主要手段的木马技术也早已不再仅仅包括木马程序功能本身，其广义的概念已经扩展到网络攻击的各个方面。鉴于目前各种主流木马程序实现的功能大同小异，木马程序的种植和木马程序的隐藏方面的技术手段以及相应的防御手段，将是本文主要讨论的范畴。

随着网络攻击技术的发展，目前已有的安全产品并不能完全抵抗各种网络安全威胁。国内杀毒软件和防火墙厂商没有随着黑客技术的进步而改进软件防火墙以及杀毒软件的架构，防火墙以及杀毒软件这些单一的安全产品很难应对各种新的安全威胁，比如Rootkit、密码盗窃程序、流氓软件、已知和未知的缓冲区溢出漏洞攻击、U盘感染、基于ARP欺骗的中间人攻击、网页木马、XSS攻击、钓鱼攻击等。

本文详细讲述了各种突破防火墙的高级技术、各种新式黑客攻击手段、软件防火墙的实现原理及技术，网络数据包拦截应用程序网络访问控制技术；然后从纵深防御的高度进行新式安全系统的设计，给出了能适应新型黑客攻击以及能应对目前各种网络安全威胁的新型软件防火墙设计方案。此系统能够防范目前已存在的各种攻击，而这些新式攻击中的大多数是目前国内防火墙以及杀毒软件防御不了的。

2 木马技术的最新发展

2.1 软件防火墙绕过技术

随着人们安全意识的提高，木马程序的主要对手，软件防火墙已经广泛地普及了。如何绕过基于各种技能的软件防火墙的保护，已经成为木马技术的首要问题。

2.2.1 代码注入技术，将访问网络的恶意代码注入至防火墙已信任的系统进程中

为了保证信息安全中的可用性原则，所有的软件防火墙默认控管规则中都默认允许需要访问网络的系统进程访问网络，比如允许iexplore.exe（IE浏览器，用于浏览WEB页面） 以及svchost.exe进程（Windows系统进程，共享服务宿主进程，包含需要访问网络的DNS等服务）访问网络。

在Windows操作系统中，每个进程都有4G的私有进程空间，理论上一个进程不能访问或改写另外进程的数据。但是采取相应的系统机制以及微软提供的有关接口能够实现代码注入，即将我们的工作代码注入到其他指定进程，并在目标进程地址空间里执行。

代码注入的方法，有Windwos消息钩子SetWindowsHookEx，远程线CreateRemoteThread，使用WriteProcessMemory挂钩API，修改线程上下文SetThreadContext，异步过程调用APC，修改注册表AppInit_DLLs、Winlogon Notify等键值以及Explorer插件扩展，核心态下使用KeAttachProcess代码注入等方法。

2.2.2 破坏软件防火墙实体

此方法从信息安全的角度，破坏了防火墙的动态完整性实现攻击目的。

终止防火墙进程：由于目前主流防火墙做了自我保护措施，在用户态下调用API函数TerminateProcess不能终止指定进程。因为驱动程序挂了了SSDT中的NtOpenProcess函数，所以只许编写驱动程序恢复SSDT表即可实现终止目标。当然终止进程的不止这一种，用户态上可以使用SendMessage给目标窗口发送退出消息，在核心态可以使用硬编码调用系统内核中没公开没导出的但是存在的PspTerminateProcess函数例程。

IOCTL中间人攻击：阻断防火墙应用层界面程序(Ring3)与防火墙驱动程序(Ring0)通信，或者假冒其身份发送关闭执行的IOCTL。

APC技术使防火墙陷入死循环或者无穷等待，虽然进程不退出，但不能正常工作。

2.2.3 破坏防火墙工作机制

针对软件墙的原理，从系统内核着手，破坏防火墙封包拦截机制，使防火墙失效。

文章第一部分已讲述了Windows平台下软件防火墙实现原理，防火墙关键核心是挂钩。对于SPI技术的防火墙，可以改写注册表相应键值，恢复SPI流向；对于TDI过滤驱动，可以根据驱动对象以及设备驱动对象内部数据结构的联系，从系统设备栈中摘除过滤驱动，使过滤驱动截获不到IRP失效 ；对于挂钩TDI驱动分派例程，可以从磁盘读取原生Tcpip.sys文件，解析文件取得真实函数例程分派表原始地址后覆盖内存Tcpip.sys映像中已被防火墙驱动修改了的部分；对于NDIS HOOK技术，可以从磁盘读取原生态NDIS.sys文件，解析文件取得真实导出函数地址并直接调用或恢复，以及恢复NDIS_OPEN_BLOCK结构，实现脱钩，解除防火墙截包钩子。但是由于NDIS 脱钩技术在系统内核中比较底层，许多数据结构微软未公开，所以实现难度较高，但是效果很好。

2.2.4 比防火墙更底层地实现网络通信

从系统内核着手，在防火墙工作的层面的下层实现网络通信，从而绕过防火墙。比如对于采取SPI技术的防火墙，我们可以从TDI层面进行通信；对于TDI技术的防火墙，我们可以从NDIS层面进行通信。NDIS层面可分三个层次，由上到下依次为NDIS Protocol, NDIS IMD,NDIS Miniport。因为NDIS层面已经脱离了Windows系统本身的TCP/IP协议栈，得自己实现TCPIP协议，加上内核中编写程序可用函数少，许多内核数据微软未文档化，所以工作量非常大，但是效果也很好，尤其是从NDIS Miniport层面上实现，可以突破目前所有防火墙，并且各种抓包工具无法抓到数据包，从而还可以突破网络审计分析。

2.3 目前比较流行的各种绕过防火墙和杀毒软件的技术手段

新型的木马程序采用了反弹端口，代码注入、Http隧道、API Hook技术、非常规自启动，另外还结合上文笔者所讲的高级防火绕过技术以及下文介绍的Rootkit技术。这些新型的恶意软件能绕过防火墙和杀毒软件，因而黑客仍能随心所欲的控制受害者机器，获取机密文件以及密码，造成受害者信息资产流失。值得一提的是，目前许多密码盗窃程序发送密码信息时均采取http隧道留言技术，从而使只是简单的审查邮件发送的瑞星等防火墙望马兴叹。

2.3.1 Rootkit 技术

Rootkit是近年来新型的恶意软件技术，采取Modify Execution Path 挂钩技术（通常称之为hook）、Direct Kernel Object Manipulation（内核数据修改）技术，实现通信隐蔽、自启动项隐藏、文件隐藏、进程/模块隐藏、注册表隐藏、服务隐藏、端口隐藏等效果。Hook技术里细分为挂钩API、挂钩SSDT、挂钩IDT、挂钩Driver Dispatch、Filter Driver以及Inline hook。

对于采用Rootkit技术的恶意程序，用户使用进程文件注册表查看工具是查看不到的，无法清楚，并且可以躲过审计工具以及杀毒软件。目前国内的防火墙以及杀毒软件由于工作模块没有深入系统底层，从而无法对抗rootkit技术的新型恶意软件以及流氓软件。

2.3.2 网页木马、邮件网页木马、XSS攻击

网页木马，即网页采用浏览器或者操作系统漏洞，用户访问网页时触发漏洞，从而在用户不知情的情况下下载指定的恶意程序并执行。如果采取的漏洞是未公开漏洞的话（俗称0day），用户即使打全各种补丁，以及安装了国内现行的各种杀毒软件防火墙都无济于事。

邮件网页木马区别于网页木马，邮件网页木马即采用XSS技术，将含有网页木马技术的网页通过各大邮件系统的XSS漏洞引入到邮件正文里，从而只要用户点击邮件标题就中了指定的木马程序，木马程序可以是实现远程控制功能或者密码窃取功能等。邮件网页木马技术的意义在于将网页木马的被动攻击上升为主动攻击的层次，只要知道攻击目标的电子邮箱地址，结合未打补丁的漏洞，就能99%地使目标的电脑完全受攻击者控制。

2.3.3 基于缓冲区溢出漏洞的0day攻击

所谓0day，现在安全领域里泛指未公开。0day攻击目前普遍使用于情报获取，敏感部门以及大型公司深受其害。因为漏洞是未公开的，因为成功率极高，可以绕过现有杀毒软件以及软件防火墙等。其主要运用于木马程序的植入。

2.3.4 其他攻击手段

除了以上几种新型但以常见新型网络安全威胁，其他还有很多，比如U盘感染类蠕虫传播技术以及社会工程学攻击等，由于篇幅原因，此处不再详述。

3 木马技术的主要防护手段

系统安全是一个统一的整体，根据木桶理论，最终安全的强度取决于最短的那块木板。作为木马程序主要对手，防火墙技术仍然是目前防御木马技术的重要手段。

面对日益先进的各种木马技术，仅靠传统单一的软件防火墙或者杀毒软件是无能为力的，而是必须建立一个结合软件防火墙、HIPS（基于主机的入侵保护系统）、HIDS（基于主机的入侵检测系统）等技术的Windwos平台下的基于主机的新型防御安全系统。这个安全系统不仅必须包括传统的封包拦截技术，对外界发送的非法数据报文过滤，拦截相应端口等，针对目前新的安全威胁还应重点加强内对外的（防内）防护。具体地说，为了有效防御各种木马的植入及隐藏，系统安全必须实现包括网络防火墙、系统监控主动防御、漏洞攻击防御、Rootkit检测、入侵检测审计、自我保护等功能

3.1 传统软件防火墙原理及实现方法

3.1.1 封包过滤技术

封包过滤是传统软件防火墙的核心技术。因为只有实现截取数据包是进行IP、端口过滤，以及判断各种报文是否合法以及判断是否丢弃从而实现阻止黑客入侵的目的的前提。封包过滤可以在用户态或者核心态层面实现，从安全的角度层面越底层越好。

3.1.2 用户态上实现截包

在用户态上，应用程序都是通过调用Windows Socket函数进行网络通信的。用户态上的截包关键是改变 Socket函数流向，使其先经过我们的中间函数处理，进行端口连接以及内容过滤等操作。对应的有SPI、包过滤接口、特洛伊DLL 以及挂接Socket API函数的方法。接下来是对这几种方法进行介绍：

SPI是微软提供的在用户态截包的接口，即Winsock服务提供者。SPI处于Windows Socket与TDI中间。开发者可以通过修改注册表相关项以及编写相应中间过滤处理函数即可实现在Socket的层面上进行封包截取，对端口连接一句数据进行过滤。但由于SPI实现在用户态，所以很容易被攻击者从更底层（即TDI层面）轻松突破。

特洛伊DLL，即替换系统WINSOCK动态连接库。由于Windows NT平台有系统文件保护机制，替换系统DLL之前应先从未公开的sfc_os.dll中导出顺序函数对系统文件停止系统文件保护，或者采用代码注入技术，远程线程至Winlogon的进程空间，终止Windows系统文件保护的工作线程。

挂接Socket API函数，该方法运用了API HOOK技术，实现的方法有两种：修改IAT（PE文件引入表）以及Iine hook（比如将目标函数前5个字节修改为 jmp指令，先跳转到防火墙的处理函数，处理完毕后再恢复钩子，把控制权返还给系统）的方法。因为Windows系统的Copy-On-Write机制，用户态下不能实现全局挂钩，为了实现全局挂钩，可以编写辅额地驱动进入核心态，修改CR0的寄存器的DP位，暂时屏蔽Copy-On-Write机制机制实现全局挂钩。

另外用户态下可以应用的RAW Winsock技术只能抓包不能截包，只能获得收发的数据包拷贝，而不能对数据包进行过滤后实现转发，从而不能应用于防火墙开发上。

从上述可知，在用户态上实现封包过滤很脆弱，很容易被后门从底层核心态绕过，所以大多防火墙一般都是编写驱动程序在核心态(Ring 0)实现封包过滤。

3.1.3 核心态上用户态上实现截包

首先是在TDI层面上实现封包过滤，TDI层面上实现封包过滤实质是改变IRP（输入输出请求包）的处流向，先由防火墙处理程序接管对端口连接以及封包内容进行处理，根据控管规则决定是否丢弃该包。在具体实现上又有TDI过滤驱动（TDI Filter Driver）以及Hook .TCPIP.sys驱动的分派函数地址以及内联挂钩分派函数（Inline hook）三种方法 。

其次是NDIS中间层驱动程序（NDIS Intermediate Driver）。编写IM DRIVER在NDIS中间层，对MINIPORT（网卡驱动程序）和协议驱动程序之间的数据包进行拦截。这是微软提倡的技术。

另外，还有Filter-Hook Firewall Driver，这是微软提供的现成的包过滤接口，功能较弱，所以很少采用；NDIS Hook，挂钩NDIS技术又分为注册假协议以及 修改NDIS.SYS的EAT（导出地址表）的两种方法。

注册假协议的原理：在Windows内核中所有已注册的协议是通过一个单向的协议链表来维护的。这个单向链表保存了所有已注册协议的NDIS_PROTOCOL_BLOCK结构的地址，此结构中保存了协议驱动所指定的相应的派发函数的地址如RECEIVE_HANDLER等。NDIS总是会把新注册的协议放在协议链表的表头并返回这张表，所以只要我们注册一个新的协议通过新协议注册返回的链表头就可以轻而易举的遍历系统中所有协议表。但是，如果要成功地挂接派发函数，还需要再挂接协议所对应的NDIS_OPEN_BLOCK结构里的派发函数，这样就可以在Windows内核下OSI的网络层次实现截包了。

3.1.4 应用程序访问网络控制

最是软件防火墙的功能只是武断的全局性封包过滤，比如禁止所有出站访问远程80端口的数据包。控制粒度太大。运用应用程序访问技术，强化ACL控制粒度，将访问控制策略逐步细化至协议和端口，另外还增加了下面介绍的主动防御系统监控模块，与此配合，形成纵深防御体系，阻断采用DLL注入、远程线程、消息钩子等防火墙绕过技术的新式恶意程序。可以将审计粒度细化至每个进程，比如允许IE浏览器出站访问80端口，禁止其他陌生程序出站，对每个陌生进程询问客户是否允许访问网络，从而强化了操作系统的安全性，一定程度上防范未知木马和病毒。

在用户态使用SPI技术或者核心态使用TDI Hook都可以实现应用程序访问网络控制 。因为用户态上实现很容易被黑客绕过，所以绝大部分防火墙都在TDI层面上实现。使用TDI过滤驱动或者挂接TCPIP.SYS的Dispatch例程，截取所有IRP，在TDI_CONNECT，TDI_LISTEN，TDI_RECEIVE，TDI_SET_EVENT_HANDLER等被调用时使用PsGetCurrentProcessId就可以获得进程关联，取得执行相应网络动作的进程号，继而获得进程其他详细信息。NDIS比TDI底层，如果从NDIS实现进程关联查询安全性更高，但是由于NDIS中的收发例程运行的上下文是内核状态，而不是对应的进程，所以由于NDIS比较底层，查询不到进程关联。

3.2 系统监控主动防御功能

该功能可以防范各种新式未知或已知的后门木马、Rootkit、密码盗窃程序、网页木马等。

采用Hook SSDT、Inline Hook、Hook Driver Dispatch等内核级技术，对新式恶意程序所需要的各类函数进行挂接，实行函数行为挂接，监控其行为。并且对代码注入、修改注册表自启动项、修改系统文件、恶意加载驱动进Ring0、安装全局钩子等行为进行立体监控，发现新式攻击相关的函数被调用时提示用户作相应选择。尤其要注意能够进入Ring0的ZwSetSystemInfomation函数等（卡巴斯基6.0忽略了此函数，造成木马程序的利用空间）。

简单介绍用于系统监控的SSDT(System Service Dispatch Table)Hook技术，又称之为系统服务调度hook。SSDT的工作原理如下图1。

需要挂接的系统服务包括NtAllocateVirtualMemory、NtCreateProcess、NtCreateProcessEx、NtCreateThread、NtDebugActiveProcess、NtLoadDriver、NtMapViewOfSection、NtOpenSection、NtOpenThread、NtProtectVirtualMemory、NtReadVirtualMemory、NtSetSystemInfomation、NtShutdownSystem、NtTerminateProcess、NtWriteVirtualMemory、NtSetSystemInfomation、NtCreateKey、NtReplaceKey、NtQueryValueKey、NtCreateFile、win32k.sys中的SetWindowHookEx等。

3.3 漏洞攻击防御功能

采用内存块随机化技术、SEH链防覆盖技术、堆栈检查等防范已知以及未知的缓冲区溢出等漏洞技术。

3.4 全面的自我保护模块

再好的安全系统如果自身保护不强劲也是如同虚设。所以此新式防火墙采用各种系统内核技术以及DES/RSA加密技术，防止被终止进程、APC自杀技术、SSDT恢复、Inline Hook、过滤驱动摘除、Ring0与Ring3之间通信劫持等攻击。另外编码时做好安全检验，防止程序自身出现缓冲区溢出漏洞等。

木马技术和防火墙技术，这对信息安全领域的矛与盾，其发展也是相辅相成的。木马技术从最早的简单的帐号密码的窃取和发送，到利用内核插入式嵌入技术，实现远程嵌入DLL线程，再到现在的NDIS层通信及rookit技术；防火墙技术也从原来简单的特征码技术，到端口检测技术，再到现在的主动防御技术，都获得了长足的发展。而其二者的发展，都是向着涵盖技术层面越来越广泛，技术细节越来越接近计算机系统的底层通信、协议、驱动的方向。

随着0day攻击在隐形信息战以及商业情报的广泛应用，融入社会工程学的基于邮件木马网页木马的广义钓鱼攻击，基于邮件以及Word、PPT、WinRar、IE的溢出漏洞等入侵手段都使得传统的硬件防火墙、软件防火墙、入侵检测系统和杀毒软件都无能为力。所以在黑客成功入侵进入目标机器后怎样阻止黑客向外传送数据，以及怎样阻断其对外通信的信道，阻断木马后门防止信息泄密敏感资料被盗就成了基于主机的安全系统的优势和关键。因而研究能对付这类新型攻击以及其他各种日益流行的新式安全威胁的信息安全产品，对国家整个信息安全体系以及信息战都有着很积极重要的意义。

参考文献：

防火墙的核心技术范文第2篇

关键词：内部网络；外部网络；安全

一、防火墙功能概述

防火墙是一个保护装置，它是一个或一组网络设备装置。通常是指运行特别编写或更改过操作系统的计算机，它的目的就是保护内部网的访问安全。防火墙可以安装在两个组织结构的内部网与外部的Internet之间，同时在多个组织结构的内部网和Internet之间也会起到同样的保护作用。它主要的保护就是加强外部Internet对内部网的访问控制，它主要任务是允许特别的连接通过，也可以阻止其他不允许的连接。防火墙只是网络安全策略的一部分，它通过少数几个良好的监控位置来进行内部网与Internet的连接。防火墙的核心功能主要是包过滤。其中入侵检测，控管规则过滤，实时监控及电子邮件过滤这些功能都是基于封包过滤技术的。防火墙的主体功能归纳为以下几点：根据应用程序访问规则可对应用程序连网动作进行过滤；对应用程序访问规则具有自学习功能；可实时监控，监视网络活动；具有日志，以记录网络访问动作的详细信息；被拦阻时能通过声音或闪烁图标给用户报警提示。

防火墙仅靠这些核心技术功能是远远不够的。核心技术是基础，必须在这个基础之上加入辅助功能才能流畅的工作。而实现防火墙的核心功能是封包过滤。在逻辑上，防火墙是一个分离器，一个限制器，也是一个分析器，有效地监控了内部网和Internet之间的任何活动，保证了内部网络的安全（见图1）。

二、防火墙主要技术特点

应用层采用Winsock 2 SPI进行网络数据控制、过滤；核心层采用NDIS HOOK进行控制，尤其是在Windows 2000 下，此技术属微软未公开技术。

此防火墙还采用两种封包过滤技术：一是应用层封包过滤，采用Winsock 2 SPI；二是核心层封包过滤，采用NDIS_HOOK。Winsock 2 SPI 工作在API之下、Driver之上，属于应用层的范畴。利用这项技术可以截获所有的基于Socket的网络通信。采用Winsock 2 SPI的优点是非常明显的：其工作在应用层以DLL的形式存在，编程、测试方便；跨Windows平台，可以直接在Windows98/ME/NT/2000/XP 上通用，Windows95只需安装上Winsock 2 for 95，也可以正常运行；效率高，由于工作在应用层，CPU占用率低；封包还没有按照低层协议进行切片，所以比较完整。而防火墙正是在TCP/IP协议在windows的基础上才得以实现。在构筑防火墙保护网络之前，需要制定一套完整有效的安全策略，这种安全策略一般分为两层：网络服务访问策略和防火墙设计策略。

三、网络服务访问策略

网络服务访问策略是一种高层次的、具体到事件的策略，主要用于定义在网络中允许的或禁止的网络服务，还包括对拨号访问以及SLIP/PPP连接的限制。这是因为对一种网络服务的限制可能会促使用户使用其他的方法，所以其他的途径也应受到保护。网络服务访问策略不但应该是一个站点安全策略的延伸，而且对于机构内部资源的保护也起全局的作用。这种策略可能包括许多事情，从文件切碎条例到病毒扫描程序，从远程访问到移动介质的管理。

四、防火墙的设计策略

防火墙的设计策略是具体地针对防火墙，负责制定相应的规章制度来实施网络服务访问策略。在制定这种策略之前，必须了解这种防火墙的性能以及缺陷、TCP/IP自身所具有的易攻击性和危险。防火墙一般执行以下两种基本策略中的一种：除非明确不允许，否则允许某种服务；除非明确允许，否则将禁止某项服务。

执行第一种策略的防火墙在默认情况下允许所有的服务，除非管理员对某种服务明确表示禁止。执行第二种策略的防火墙在默认情况下禁止所有的服务，除非管理员对某种服务明确表示允许。防火墙可以实施一种宽松的策略（第一种），也可以实施一种限制性策略（第二种），这就是制定防火墙策略的入手点。一个站点可以把一些必须的而又不能通过防火墙的服务放在屏蔽子网上，和其他的系统隔离。

五、设计时需要考虑的问题

为了确定防火墙设计策略，进而构建实现策略的防火墙，应从最安全的防火墙设计策略开始，即除非明确允许，否则禁止某种服务。策略应该解决以下的问题：需要什么服务；在哪里使用这些服务；是否应当支持拨号入网和加密等服务；提供这些服务的风险是什么；若提供这种保护，可能会导致网络使用上的不方便等负面影响，这些影响会有多大，是否值付出这种代价；和可用性相比，站点的安全性放在什么位置。

六、防火墙的不足

防火墙不能防止内部的攻击，因为它只提供了对网络边缘的防卫。内部人员可能滥用被给予的访问权，从而导致事故。防火墙也不能防止像社会工程攻击——一种很常用的入侵手段，就是靠欺骗获得一些可以破坏安全的信息。另外，一些用来传送数据的电话线很有可能被用来入侵内部网络。虽然现在有些防火墙可以检查病毒和特洛伊木马，但这些防火墙只能阻挡已知的恶意程序，这就可能让新的病毒和木马溜进来。而且，这些恶意程序不仅仅来自网络，也可能来自软盘。

参考文献：

1、朱燕辉.WINDOWS防火墙与网络封包截获技术[M].电子工业出版社，2002.

防火墙的核心技术范文第3篇

1． 引言

防火墙技术是建立在现代通信网络技术和信息安全技术基础上的应用性安全技术，越来越多地应用于专用网络与公用网络的互连环境之中，尤以Internet网络为最甚。Internet的迅猛发展，使得防火墙产品在短短的几年内异军突起，很快形成了一个产业：1995年，刚刚面市的防火墙技术产品市场量还不到1万套；到1996年底，就猛增到10万套；据国际权威商业调查机构的预测，防火墙市场将以173%的复合增长率增长，今年底将达到150万套，市场营业额将从1995年的1.6亿美元上升到今年的9.8亿美元。

为了更加全面地了解Internet防火墙及其发展过程，特别是第四代防火墙的技术特色，我们非常有必要从产品和技术角度对防火墙技术的发展演变做一个详细的考察。

2. Internet防火墙技术简介

防火墙原是指建筑物大厦用来防止火灾蔓延的隔断墙。从理论上讲，Internet防火墙服务也属于类似的用来防止外界侵入的。它可以防止Internet上的各种危险(病毒、资源盗用等)传播到你的网络内部。而事实上，防火墙并不像现实生活中的防火墙，它有点像古代守护城池用的护城河，服务于以下多个目的：

1)限定人们从一个特定的控制点进入；

2)限定人们从一个特定的点离开；

3)防止侵入者接近你的其他防御设施；

4)有效地阻止破坏者对你的计算机系统进行破坏。

在现实生活中，Internet防火墙常常被安装在受保护的内部网络上并接入Internet，如图1所示。

图1 防火墙在Internet中的位置

从上图不难看出，所有来自Internet的传输信息或你发出的信息都必须经过防火墙。这样，防火墙就起到了保护诸如电子邮件、文件传输、远程登录、在特定的系统间进行信息交换等安全的作用。从逻辑上讲，防火墙是起分隔、限制、分析的作用，这一点同样可以从图1中体会出来。那么，防火墙究竟是什么呢?实际上，防火墙是加强Internet(内部网)之间安全防御的一个或一组系统，它由一组硬件设备(包括路由器、服务器)及相应软件构成。3. 防火墙技术与产品发展的回顾

防火墙是网络安全策略的有机组成部分，它通过控制和监测网络之间的信息交换和访问行为来实现对网络安全的有效管理。从总体上看，防火墙应该具有以下五大基本功能：

过滤进、出网络的数据；

管理进、出网络的访问行为；

封堵某些禁止行为；

记录通过防火墙的信息内容和活动；

对网络攻击进行检测和告警。

为实现以上功能，在防火墙产品的开发中，人们广泛地应用了网络拓扑、计算机操作系统、路由、加密、访问控制、安全审计等成熟或先进的技术和手段。纵观防火墙近年来的发展，可以将其划分为如下四个阶段(即四代)。

3.1 基于路由器的防火墙

由于多数路由器本身就包含有分组过滤功能，故网络访问控制可能通过路控制来实现，从而使具有分组过滤功能的路由器成为第一代防火墙产品。第一代防火墙产品的特点是：

1)利用路由器本身对分组的解析，以访问控制表(Access List)方式实现对分组的过滤；

2)过滤判断的依据可以是：地址、端口号、IP旗标及其他网络特征；

3)只有分组过滤的功能，且防火墙与路由器是一体的。这样，对安全要求低的网络可以采用路由器附带防火墙功能的方法，而对安全性要求高的网络则需要单独利用一台路由器作为防火墙。

第一代防火墙产品的不足之处十分明显，具体表现为：

路由协议十分灵活，本身具有安全漏洞，外部网络要探寻内部网络十分容易。例如，在使用FTP协议时，外部服务器容易从20号端口上与内部网相连，即使在路由器上设置了过滤规则，内部网络的20号端口仍可以由外部探寻。

路由器上分组过滤规则的设置和配置存在安全隐患。对路由器中过滤规则的设置和配置十分复杂，它涉及到规则的逻辑一致性。作用端口的有效性和规则集的正确性，一般的网络系统管理员难于胜任，加之一旦出现新的协议，管理员就得加上更多的规则去限制，这往往会带来很多错误。

路由器防火墙的最大隐患是：攻击者可以“假冒”地址。由于信息在网络上是以明文方式传送的，黑客(Hacker)可以在网络上伪造假的路由信息欺骗防火墙。

路由器防火墙的本质缺陷是：由于路由器的主要功能是为网络访问提供动态的、灵活的路由，而防火墙则要对访问行为实施静态的、固定的控制，这是一对难以调和的矛盾，防火墙的规则设置会大大降低路由器的性能。

可以说基于路由器的防火墙技术只是网络安全的一种应急措施，用这种权宜之计去对付黑客的攻击是十分危险的。

3.2 用户化的防火墙工具套

为了弥补路由器防火墙的不足，很多大型用户纷纷要求以专门开发的防火墙系统来保护自己的网络，从而推动了用户防火墙工具套的出现。

作为第二代防火墙产品，用户化的防火墙工具套具有以下特征：

1)将过滤功能从路由器中独立出来，并加上审计和告警功能；

2)针对用户需求，提供模块化的软件包；

3)软件可以通过网络发送，用户可以自己动手构造防火墙；

4)与第一代防火墙相比，安全性提高了，价格也降低了。

由于是纯软件产品，第二代防火墙产品无论在实现上还是在维护上都对系统管理员提出了相当复杂的要求，并带来以下问题：

配置和维护过程复杂、费时；

对用户的技术要求高；

全软件实现，使用中出现差错的情况很多。

3.3 建立在通用操作系统上的防火墙

基于软件的防火墙在销售、使用和维护上的问题迫使防火墙开发商很快推出了建立在通用操

作系统上的商用防火墙产品。近年来市场上广泛使用的就是这一代产品，它们具有如下一些

特点：

1)是批量上市的专用防火墙产品；

2)包括分组过滤或者借用路由器的分组过滤功能；

3)装有专用的系统，监控所有协议的数据和指令；

4)保护用户编程空间和用户可配置内核参数的设置；

5)安全性和速度大大提高。

第三代防火墙有以纯软件实现的，也有以硬件方式实现的，它们已经得到了广大用户的认同

。但随着安全需求的变化和使用时间的推延，仍表现出不少问题，比如：

1)作为基础的操作系统及其内核往往不为防火墙管理者所知，由于源码的保密，其安全性

无从保证；

2)由于大多数防火墙厂商并非通用操作系统的厂商，通用操作系统厂商不会对操作系统的

安全性负责；

3)从本质上看，第三代防火墙既要防止来自外部网络的攻击，还要防止来自操作系统厂商

的攻击；

4)在功能上包括了分组过滤、应用网关、电路级网关且具有加密鉴别功能；

5)透明性好，易于使用。

4. 第四代防火墙的主要技术及功能

第四代防火墙产品将网关与安全系统合二为一，具有以下技术功能。

4.1 双端口或三端口的结构

新一代防火墙产品具有两个或三个独立的网卡，内外两个网卡可不做IP转化而串接于内部与外部之间，另一个网卡可专用于对服务器的安全保护。

4.2 透明的访问方式

以前的防火墙在访问方式上要么要求用户做系统登录，要么需要通过SOCKS等库路径修改客户机的应用。第四代防火墙利用了透明的系统技术，从而降低了系统登录固有的安全风险和出错概率。

4.3 灵活的系统

系统是一种将信息从防火墙的一侧传送到另一侧的软件模块，第四代防火墙采用了两种机制：一种用于从内部网络到外部网络的连接；另一种用于从外部网络到内部网络的连接。前者采用网络地址转接(NIT)技术来解决，后者采用非保密的用户定制或保密的系统技术来解决。

4.4 多级过滤技术

为保证系统的安全性和防护水平，第四代防火墙采用了三级过滤措施，并辅以鉴别手段。在分组过滤一级，能过滤掉所有的源路由分组和假冒IP地址；在应用级网关一级，能利用FTP、SMTP等各种网关，控制和监测Internet提供的所有通用服务；在电路网关一级，实现内部主机与外部站点的透明连接，并对服务的通行实行严格控制。

4.5 网络地址转换技术

第四代防火墙利用NAT技术能透明地对所有内部地址做转换，使得外部网络无法了解内部网络的内部结构，同时允许内部网络使用自己编的IP源地址和专用网络，防火墙能详尽记录每一个主机的通信，确保每个分组送往正确的地址。

4.6 Internet网关技术

由于是直接串联在网络之中，第四代防火墙必须支持用户在Internet互联的所有服务，同时还要防止与Internet服务有关的安全漏洞，故它要能够以多种安全的应用服务器(包括FTP、Finger、mail、Ident、News、WWW等)来实现网关功能。为确保服务器的安全性，对所有的文件和命令均要利用“改变根系统调用(chroot)”做物理上的隔离。

在域名服务方面，第四代防火墙采用两种独立的域名服务器：一种是内部DNS服务器，主要处理内部网络和DNS信息；另一种是外部DNS服务器，专门用于处理机构内部向Internet提供的部分DNS信息。

在匿名FTP方面，服务器只提供对有限的受保护的部分目录的只读访问。在WWW服务器中，只支持静态的网页，而不允许图形或CGI代码等在防火墙内运行。在Finger服务器中，对外部访问，防火墙只提供可由内部用户配置的基本的文本信息，而不提供任何与攻击有关的系统信息。SMTP与POP邮件服务器要对所有进、出防火墙的邮件做处理，并利用邮件映射与标头剥除的方法隐除内部的邮件环境。Ident服务器对用户连接的识别做专门处理，网络新闻服务则为接收来自ISP的新闻开设了专门的磁盘空间。

4.7 安全服务器网络(SSN)

为了适应越来越多的用户向Internet上提供服务时对服务器的需要，第四代防火墙采用分别保护的策略对用户上网的对外服务器实施保护，它利用一张网卡将对外服务器作为一个独立网络处理，对外服务器既是内部网络的一部分，又与内部网关完全隔离，这就是安全服务器网络(SSN)技术。而对SSN上的主机既可单独管理，也可设置成通过FTP、Tnlnet等方式从内部网上管理。

SSN方法提供的安全性要比传统的“隔离区(DMZ)”方法好得多，因为SSN与外部网之间有防火墙保护，SSN与风部网之间也有防火墙的保护，而DMZ只是一种在内、外部网络网关之间存在的一种防火墙方式。换言之，一旦SSN受破坏，内部网络仍会处于防火墙的保护之下，而一旦DMZ受到破坏，内部网络便暴露于攻击之下。

4.8 用户鉴别与加密

为了减低防火墙产品在Tnlnet、FTP等服务和远程管理上的安全风险，鉴别功能必不可少。第四代防火墙采用一次性使用的口令系统来作为用户的鉴别手段，并实现了对邮件的加密。

4.9 用户定制服务

为了满足特定用户的特定需求，第四代防火墙在提供众多服务的同时，还为用户定制提供支持，这类选项有：通用TCP、出站UDP、FTP、SMTP等，如果某一用户需要建立一个数据库的，便可以利用这些支持，方便设置。

4.10 审计和告警

第四代防火墙产品采用的审计和告警功能十分健全，日志文件包括：一般信息、内核信息、核心信息、接收邮件、邮件路径、发送邮件、已收消息、已发消息、连接需求、已鉴别的访问、告警条件、管理日志、进站、FTP、出站、邮件服务器、名服务器等。告警功能会守住每一个TCP或UDP探寻，并能以发出邮件、声响等多种方式报警。

此外，第四代防火墙还在网络诊断、数据备份保全等方面具有特色。

5． 第四代防火墙技术的实现方法

在第四代防火墙产品的设计与开发中，安全内核、系统、多级过滤、安全服务器、鉴别与加密是关键所在。

5.1 安全内核的实现

第四代防火墙是建立在安全操作系统之上的，安全操作系统来自对专用操作系统的安全加固和改造，从现在的诸多产品看，对安全操作系统内核的固化与改造主要从以下几个方面进行：

1)取消危险的系统调用；

2)限制命令的执行权限；

3)取消IP的转发功能；

4)检查每个分组的接口；

5)采用随机连接序号；

6)驻留分组过滤模块；

7)取消动态路由功能；

8)采用多个安全内核。

5.2 系统的建立

防火墙不允许任何信息直接穿过它，对所有的内外连接均要通过系统来实现，为保证整个防火墙的安全，所有的都应该采用改变根目录方式存在一个相对独立的区域以安全隔离。

在所有的连接通过防火墙前，所有的要检查已定义的访问规则，这些规则控制的服务根据以下内容处理分组：

1)源地址；

2)目的地址；

3)时间；

4)同类服务器的最大数量。

所有外部网络到防火墙内部或SSN的连接由进站处理，进站要保证内部主机能够了解外部主机的所有信息，而外部主机只能看到防火墙之外或SSN的地址。

所有从内部网络SSN通过防火墙与外部网络建立的连接由出站处理，出站必须确保完全由它代表内部网络与外部地址相连，防止内部网址与外部网址的直接连接，同时还要处理内部网络SSN的连接。

5.3 分组过滤器的设计

作为防火墙的核心部件之一，过滤器的设计要尽量做到减少对防火墙的访问，过滤器在调用时将被下载到内核中执行，服务终止时，过滤规则会从内核中消除，所有的分组过滤功能都在内核中IP堆栈的深层运行，极为安全。分组过滤器包括以下参数。

1)进站接口；

2)出站接口；

3)允许的连接；

4)源端口范围；

5)源地址；

6)目的端口的范围等。

对每一种参数的处理都充分体现设计原则和安全政策。

5.4 安全服务器的设计

安全服务器的设计有两个要点：第一，所有SSN的流量都要隔离处理，即从内部网和外部网而来的路由信息流在机制上是分离的；第二，SSN的作用类似于两个网络，它看上去像是内部网，因为它对外透明，同时又像是外部网络，因为它从内部网络对外访问的方式十分有限。

SSN上的每一个服务器都隐蔽于Internet，SSN提供的服务对外部网络而言好像防火墙功能，由于地址已经是透明的，对各种网络应用没有限制。实现SSN的关键在于：

1)解决分组过滤器与SSN的连接；

2)支持通过防火墙对SSN的访问；

3)支持服务。

5.5 鉴别与加密的考虑

鉴别与加密是防火墙识别用户、验证访问和保护信息的有效手段，鉴别机制除了提供安全保护之外，还有安全管理功能，目前国外防火墙产品中广泛使用令牌鉴别方式，具体方法有两种一种是加密卡(Crypto Card)；另一种是Secure ID，这两种都是一次性口令的生成工具。



对信息内容的加密与鉴别则涉及加密算法和数字签名技术，除PEM、PGP和Kerberos外，目前国外防火墙产品中尚没有更好的机制出现，由于加密算法涉及国家信息安全和主权，各国有不同的要求。

6． 第四代防火墙的抗攻击能力

作为一种安全防护设备，防火墙在网络中自然是众多攻击者的目标，故抗攻击能力也是防火墙的必备功能。在Internet环境中针对防火墙的攻击很多，下面从几种主要的攻击方法来评估第四代防火墙的抗攻击能力。

6.1 抗IP假冒攻击

IP假冒是指一个非法的主机假冒内部的主机地址，骗取服务器的“信任”，从而达到对网络的攻击目的。由于第四代防火墙已经将网内的实际地址隐蔽起来，外部用户很难知道内部的IP地址，因而难以攻击。

6.2 抗特洛伊木马攻击

特洛伊木马能将病毒或破坏性程序传入计算机网络，且通常是将这些恶意程序隐蔽在正常的程序之中，尤其是热门程序或游戏，一些用户下载并执行这一程序，其中的病毒便会发作。第四代防火墙是建立在安全的操作系统之上的，其内核中不能执行下载的程序，故而可以防止特洛伊木马的发生。必须指出的是，防火墙能抗特洛伊木马的攻击并不表明其保护的某个主机也能防止这类攻击。事实上，内部用户可以通过防火墙下载程序，并执行下载的程序。



6.3 抗口令字探寻攻击

在网络中探寻口令的方法很多，最常见的是口令嗅探和口令解密。嗅探是通过监测网络通信，截获用户传给服务器的口令字，记录下来，以便使用；解密是指采用强力攻击、猜测或截获含有加密口令的文件，并设法解密。此外，攻击者还常常利用一些常用口令字直接登录。

 第四代防火墙采用了一次性口令字和禁止直接登录防火墙措施，能够有效防止对口令字的攻击。

6.4 抗网络安全性分析

网络安全性分析工具是提供管理人员分析网络安全性之用的，一旦这类工具用作攻击网络的手段，则能够比较方便地探测到内部网络的安全缺陷和弱点所在。目前，SATA软件可以从网上免费获得，Internet Scanner可以从市面上购买，这些分析工具给网络安全构成了直接的威胁。第四代防火墙采用了地址转换技术，将内部网络隐蔽起来，使网络安全分析工具无法从外部对内部网络做分析。

6.5 抗邮件诈骗攻击

邮件诈骗也是越来越突出的攻击方式，第四代防火墙不接收任何邮件，故难以采用这种方式对它攻击，同样值得一提的是，防火墙不接收邮件，并不表示它不让邮件通过，实际上用户仍可收发邮件，内部用户要防邮件诈骗，最终的解决办法是对邮件加密。

7． 防火墙技术展望

伴随着Internet的飞速发展，防火墙技术与产品的更新步伐必然会加强，而要全面展望防火墙技术的发展几乎是不可能的。但是，从产品及功能上，却又可以看出一些动向和趋势。下面诸点可能是下一步的走向和选择：

1)防火墙将从目前对子网或内部网管理的方式向远程上网集中管理的方式发展。

2)过滤深度会不断加强，从目前的地址、服务过滤，发展到URL(页面)过滤、关键字过滤和对ActiveX、Java等的过滤，并逐渐有病毒扫描功能。

3)利用防火墙建立专用网是较长一段时间用户使用的主流，IP的加密需求越来越强，安全协议的开发是一大热点。

4)单向防火墙(又叫做网络二极管)将作为一种产品门类而出现。

5)对网络攻击的检测和各种告警将成为防火墙的重要功能。

防火墙的核心技术范文第4篇

关键词：计算机；网络；安全

一、信息加密技术

信息加密技术是保证网络安全的核心技术，其原理就是利用一定的加密算法，将明文转化为密文，防止非法用户读取数据，从而使得数据的保密性得到了保证。信息加密技术包括对称加密技术、非对称加密技术、基于DES和RSA的混合加密机制、多部加密算法等等，本文只对对称加密技术和非对称加密技术进行分析。

（一）对称加密技术

对称加密技术就是指加密密钥能够从解密密钥中推算出来，反之也成立。目前广泛采用的对称加密技术之一就是DES（数据加密标准）。DES算法要求主要包括以下几点：（1）防止数据未经授权而被修改；（2）复杂性较高；（3）DES安全性仅以加密密钥的保密为基础；（4）运行要经济有效。然而DES算法不能保证密钥在传输中的安全，而且不能鉴别数据的完整性。

（二）非对称加密技术

非对称加密技术与对称加密技术不同之处就是在于不能从加密密钥中推算出解密密钥。非对称加密技术常用的算法有RSA算法。用一个质数与密文相乘可以解密得到还原的明文。要用一个质数来求出另一个质数，则是十分困难的，因此，可以获得较高的保密程度。

二、防火墙技术

防火墙就是指在内部局域网和公众网之间设置的一道屏障，防火墙通常是由软件系统和硬件设备组合而成，防火墙一般结构所示。

防火墙技术应用较广，但是目前防火墙技术还是存在一定的局限性，主要表现在以下几个方面：（1）对于网络内部的攻击防火墙不能进行防范；（2）不是用户身份而主要是基于IP控制；（3）对于已经感染病毒的文件，防火墙不能阻止其继续传送；（4）在管理和配置方面容易造成安全漏洞。基于上述局限性，新一代防火墙技术问世了，新一代防火墙技术具有以下功能：（1）利用透明的系统技术，使得系统登录固有的安全风险降低；（2）系统是一种将信息从防火墙的一侧传送到另一侧的软件模块；（3）防火墙采用三级过滤措施来保证系统的安全性；（4）防火墙利用NAT技术能透明地对所有内部地址做转换，使得外部网络无法了解内部网络的内部结构，同时允许内部网络使用自己编的IP源地址和专用网络，防火墙能详尽记录每一个主机的通信，确保每个分组送往正确的地址；(5)安全服务器网络；（6）用户鉴别与加密；（7）用户定制服务。

混合型防火墙是一种组合结构，所示。在混合型防火墙中，内外两个防火墙可以进行不同级别的过滤，屏蔽子网只允许经认证的Internet主机和内部子网接入到基站主机中，试图绕过它的流量都将被阻塞掉。整个防火墙系统的控制协调工作主要由应用过滤管理程序和智能认证程序来执行。

三、身份认证技术

系统对用户身份证明的核查的过程就是身份认证，就是对用户是否具有它所请求资源的存储使用权进行查明。身份认证技术可以用于解决用户的物理身份和数字身份的一致性问题，给其他安全技术提供权限管理的依据。对于生物识别技术而言，其核心就是如何获取这些生物特征，并将之转换为数字信息、存储于计算机中，并且完成验证与识别个人身份是需要利用可靠的匹配算法来进行的。

防火墙的核心技术范文第5篇

关键词 计算机网络；防火墙技术；入侵检测技术

中图分类号：TP393 文献标识码：A 文章编号：1671-7597（2014）13-0100-01

随着信息技术与互联网技术的不断发展，在社会各领域中均应用了计算机网络技术，为信息收集、处理以及资源共享构建了良好平台。计算机网络具有分布广域性、体系结构开放性、资源共享性、信道共用性等特点，在实际应用的时候存在着一些不足。所以，怎样更好的保证信息传输安全性与可靠性，成为了构建网络安全防线的重要内容。

1 防火墙技术概述

事实上，防火墙是一个建筑术语，网络技术中防火墙主要指的就是阻断与控制相关危害的扩散。在计算机网络中，防火墙主要就是通过综合网络技术，在内部网络与外部网络之间设置的一道“墙”，其主要作用就是阻隔内部网络与外部网络，避免一些不确定、潜在的破坏入侵网络，影响网络的正常运行。在计算机网络结构中，较之其他结构而言，防火墙是一个独立的结构，其能够根据不同网络特征采取不同安全对策，对信息传输进行有效的控制，对一些“特殊”访问予以限制，避免了特定端口的侵入与通信，对木马进行封锁。在一些条件下，防火墙功能相对单一，在安全性与可用性上需要均衡，在硬件方面具有远程记录、磁盘空间储存等功能，在很大程度上，确保了计算机网络的安全可靠运行。

1.1 应用网关防火墙技术

此防火墙技术主要就是基于网络应用层，实现协议过滤与转发功能的系统，对应用层上的所有数据包进行检查，并且对这些数据包展开分析、统计与记录，同时将检查过的数据包融入决策过程，进而促进计算机网络运行安全性与可靠性的提高。在实际工作中，此防火墙技术主要应用于专用工作系统上，每一个均需要使用不一样的应用进程，也就是说，每一个新应用都要添加新的服务程序，因此，此防火墙技术的可伸缩性较差。

1.2 状态检测防火墙技术

此防火墙技术是一种新型的防火墙技术，其具有良好的工作性能，在感知应用信息的时候，可以发挥很大的作用，并且在此基础上，对提高系统安全性与可靠性也有着重要作用。此防火墙技术的核心内容就是构建链接状态表，对每一个有效连接状态进行相应的监控，并且将出入网络的相关数据，当做是单独事件予以处理。在开展具体工作的时候，其主要就是在网络层与数据链路层之间进行，在很大程度上，保证了所有网络出入数据包的截取与检查，进而从中获取一些有用信息，极大的提高计算机网络运行的安全性与可靠性。但是，因为此防火墙技术的运行成本比较高，在开展具体管理工作的时候，也存在着相应的难度，因此，在实际应用中，缺乏实用性，大部分情况下还是使用应用网关防火墙技术。

1.3 复合型防火墙技术

此防火墙技术主要就是基于网络信息安全新思路，在网络界面中构建的一种结构，对应用层展开相应的扫描，进而将内容与病毒过滤到防火墙当中，其发挥的功能主要包括IDS、VPN等，由多个单元共同构成一个整体。其在对所有数据包内容进行检查的时候，结合建立的链接状态表，对网络边界展开实时的防毒，并且对数据包内容进行过滤，保证计算机网络的安全、可靠。所以，此防火墙技术就是一种透明和状态检测有效结合的新型防火墙技术，并且其具有网络层保护强、会话控制薄弱、应用层控制细致等特点。

2 入侵检测技术概述

入侵检测技术指的就是对入侵内容展开相应的检测与发现，是一种提高网络安全性与可靠性的重要手段之一，能够检测出不符合网络安全规律的各种行为。入侵检测技术的主要作用就是对系统关键点与计算机网络信息展开对比分析，检测其信息是否符合网络安全策略，以及明确受攻击对象。在构建入侵检测系统的时候，主要包括硬件系统与软件系统。入侵检测技术的作用主要包括：对用户网络状态进行检测与分析，对入侵行为进行判断；自动相应识别的入侵行为；对入侵行为展开跟踪与控制，为网络运行提供可靠管理信息，避免入侵事件的出现与扩大，进一步确保网络的安全可靠运行。

2.1 异常检测技术

异常检测技术主要就是在统计方法的基础上，构建的一种正常行为模型。在计算机网络不断运行的过程中，将目前的主体行为情况和正常的行为进行比较：如果两者之间存在着不相符的情况，那么就可以认为此行为是入侵行为。此种检测技术的核心内容就是正常行为模型的建设。在构建模型的时候，不同的模型可以反映不同的检测形式，通过对人工智能知识的观察与统计，其检测形式主要包括神经网络技术、模式识别、数据挖掘分析等。此种检测技术的优势就是占用资源比较少、计算过程相对简单，并且可以对未知入侵展开预测与检测。然而，此项检测技术也具有一些劣势，其检测准确性主要取决于正常行为模型的构建，所以，无法有效保证其检测准确性。

2.2 误用检测技术

误用检测技术主要就是在规则推理方式的基础上，根据不符合安全策略的事件特点、关系、条件等构建的一种入侵模式，同时也是针对已知系统漏洞构建的知识库，在网络运行过程中，主要就是对收集的信息进行判断，明确其是否和知识库中构建的入侵模式一致。此项技术的核心内容就是知识库设计，不仅要保证其包括所有入侵模式，还要保证包括正常行为模型。同样，入侵模式有很多中，相应的误用检测形式也有很多种，主要包括基于专家系统检测形式、模式匹配检测形式、条件概率分析检测形式等，此项技术的主要优势就是具有较高的检测准确性。

3 结束语

总而言之，随着计算机网络的广泛应用，对社会各行业的发展有着促进作用，但是也带来了一些的风险，在传输数据信息的时候，经常发生丢失、泄露、损坏等问题，致使无法全面发挥计算机网络的作用。为此，必须加强对安全防护技术的分析，而防火墙技术与入侵检测技术就是两种比较有效的手段，在计算机网络中得到了广泛的应用。所以，在计算机网络技术不断发展的形势下，必须加强对防火墙技术与入侵检测技术的分析与研究。