摘要：网络平安已成为人日益关怀的问题。网络防火墙技术作为内部网络与外部网络之间的第一道平安屏障，其中要作用是在网络入口外检查网络通讯，更具用户设定的平安规则，在维护内部网络平安的前提下，保证内外网络通讯，提供内部网络的平安。

关键词：内部网络；外部网络；平安

一、防火墙功用概述

防火墙是一个维护安装，它是一个或一组网络设备安装。通常是指运转特别编写或更改正操作系统的计算机，它的目的就是维护内部网的访问平安。防火墙能够装置在两个组织构造的内部网与外部的Internet之间，同时在多个组织构造的内部网和Internet之间也会起到同样的维护作用。它主要的维护就是增强外部Internet对内部网的访问控制，它主要任务是允许特别的衔接经过，也能够阻止其他不允许的衔接。防火墙只是网络平安战略的一局部，它经过少数几个良好的监控位置来停止内部网与Internet的衔接。防火墙的中心功用主要是包过滤。其中入侵检测，控管规则过滤，实时监控及电子邮件过滤这些功用都是基于封包过滤技术的。防火墙的主体功用归结为以下几点：依据应用程序访问规则可对应用程序连网动作停止过滤；对应用程序访问规则具有自学习功用；可实时监控，监视网络活动；具有日志，以记载网络访问动作的细致信息；被拦阻时能经过声音或闪烁图标给用户报警提示。

防火墙仅靠这些中心技术功用是远远不够的。中心技术是根底，必需在这个根底之上参加辅助功用才干流利的工作。而完成防火墙的中心功用是封包过滤。在逻辑上，防火墙是一个别离器，一个限制器，也是一个剖析器，有效地监控了内部网和Internet之间的任何活动，保证了内部网络的平安（见图1）。

二、防火墙主要技术特性

应用层采用Winsock2SPI停止网络数据控制、过滤；中心层采用NDISHOOK停止控制，特别是在Windows2000下，此技术属微软未公开技术。

此防火墙还采用两种封包过滤技术：

一是应用层封包过滤，采用Winsock2SPI；

二是中心层封包过滤，采用NDIS_HOOK。Winsock2SPI工作在API之下、Driver之上，属于应用层的范畴。应用这项技术能够截获一切的基于Socket的网络通讯。采用Winsock2SPI的优点是十分明显的：其工作在应用层以DLL的方式存在，编程、测试便当；跨Windows平台，能够直接在Windows98/ME/NT/2000/XP上通用，Windows95只需装置上Winsock2for95，也能够正常运转；效率高，由于工作在应用层，CPU占用率低；封包还没有依照低层协议停止切片，所以比拟完好。而防火墙正是在TCP/IP协议在windows的根底上才得以完成。在构筑防火墙维护网络之前，需求制定一套完好有效的平安战略，这种平安战略普通分为两层：网络效劳访问战略和防火墙设计谋略。

三、网络效劳访问战略

网络效劳访问战略是一种高层次的、详细到事情的战略，主要用于定义在网络中允许的或制止的网络效劳，还包括对拨号访问以及SLIP/PPP衔接的限制。这是由于对一种网络效劳的限制可能会促运用户运用其他的办法，所以其他的途径也应遭到维护。网络效劳访问战略不但应该是一个站点平安战略的延伸，而且关于机构内部资源的维护也起全局的作用。这种战略可能包括许多事情，从文件切碎条例到病毒扫描程序，从远程访问到挪动介质的管理。

四、防火墙的设计谋略

防火墙的设计谋略是详细地针对防火墙，担任制定相应的规章制度来施行网络效劳访问战略。在制定这种战略之前，必需理解这种防火墙的性能以及缺陷、TCP/IP本身所具有的易攻击性和风险。防火墙普通执行以下两种根本战略中的一种：除非明白不允许，否则允许某种效劳；除非明白允许，否则将制止某项效劳。

执行第一种战略的防火墙在默许状况下允许一切的效劳，除非管理员对某种效劳明白表示制止。执行第二种战略的防火墙在默许状况下制止一切的效劳，除非管理员对某种效劳明白表示允许。防火墙能够施行一种宽松的战略（第一种），也能够施行一种限制性战略（第二种），这就是制定防火墙战略的动手点。一个站点能够把一些必需的而又不能经过防火墙的效劳放在屏蔽子网上，和其他的系统隔离。

五、设计时需求思索的问题

为了肯定防火墙设计谋略，进而构建完成战略的防火墙，应从最平安的防火墙设计谋略开端，即除非明白允许，否则制止某种效劳。战略应该处理以下的问题：需求什么效劳；在哪里运用这些效劳；能否应当支持拨号入网和加密等效劳；提供这些效劳的风险是什么；若提供这种维护，可能会招致网络运用上的不便当等负面影响，这些影响会有多大，能否值付出这种代价；和可用性相比，站点的平安性放在什么位置。

六、防火墙的缺乏

防火墙不能避免内部的攻击，由于它只提供了对网络边缘的防卫。内部人员可能滥用被给予的访问权，从而招致事故。防火墙也不能避免像社会工程攻击一种很常用的入侵手腕，就是靠诈骗取得一些能够毁坏平安的信息。另外，一些用来传送数据的电话线很有可能被用来入侵内部网络。固然如今有些防火墙能够检查病毒和特洛伊木马，但这些防火墙只能阻挠已知的歹意程序，这就可能让新的病毒和木马溜进来。而且，这些歹意程序不只仅来自网络，也可能来自软盘。