防火墻技術的研究精選(九篇)

前言：一篇好文章的誕生，需要你不斷地搜集資料、整理思路，本站小編為你收集了豐富的防火墻技術的研究主題范文，僅供參考，歡迎閱讀并收藏。

第1篇：防火墻技術的研究范文

關鍵詞：網絡隔離；防火墻技術；比較

中圖分類號：TP393 文獻標識碼：A文章編號：1007-9599 (2011) 09-0000-01

Comparative Study of Network Isolation and Firewall Technology

Wang Lei

(Hunan Women's University,Changsha410004,China)

Abstract:Based on the network and firewall technology,isolation technology and the principles described in terms of security from both analysis and comparison of network isolation to draw users to solve network security problems is the best choice.

Keywords:Network isolation;Firewall technology;Comparison

一、前言

隨著Internet的飛速發展以及我國政府信息化為代表的電子政務的蓬勃發展，寬帶網已經得到普及。業界電子商務的開展，海量的網絡信息，日趨豐富的網絡功能使得“網上辦公”條件已經成熟。辦公信息化帶來了辦公效率質的飛躍，但辦公信息化的安全，也極大地引起人們的關注和思考，相應的網絡隔離技術與防火墻技術的應用研究引起了人們的高度重視。

二、網絡隔離技術簡介

（一）網絡隔離技術的發展歷程

網絡隔離，英文名為Network Isolation，主要是指把兩個或兩個以上可路由的網絡（如：TCP/IP）通過不可路由的協議（如：IPX/SPX、NetBEUI等）進行數據交換而達到隔離目的。由于其原理主要是采用了不同的協議，所以通常也叫協議隔離（Protocol Isolation）。

（二）網絡隔離技術原理

網絡隔離產品采用了網絡隔離技術，是使用帶有多種控制功能的固態開關讀寫介質連接兩個獨立主機系統的信息安全設備。由于兩個獨立主機系統之間，不存在通信的物理連接、邏輯連接、信息傳輸命令、信息傳輸協議，不存在依據協議的信息包轉發，只有數據文件的無協議“擺渡”，且對固態存儲介質只有“讀”和“寫”兩個命令。所以，網絡隔離產品從物理上隔離、阻斷了具有潛在攻擊可能的一切連接，使“黑客”無法入侵、無法攻擊、無法破壞，實現了真正的安全。

（三）網絡隔離設備的實現機制

網絡隔離設備由內網處理單元、外網處理單元和專用隔離硬件組成。網絡隔離硬件包括一個獨立的固態存儲單元和一個獨立的調度和控制單元，內網處理單元和外網處理單元在同一時刻最多只有一個同固態存儲單元建立非TCP/IP協議的數據連接，并通過私有協議進行數據的交換。

三、防火墻的體系架構介紹

目前的防火墻大都依靠于對數據包的信息進行檢查，檢查的重點是網絡協議的信息。防火墻主要查看IP包中的IP包頭、TCP包頭、應用層包頭以及數據加載的包頭，要了解防火墻的具體架構，就需要分析檢查它是哪一層協議的信息。根據OSI模型，防火墻架構包含以下幾種：包過濾防火墻，電路網關防火墻，應用網關防火墻，狀態檢測包過濾防火墻和切換防火墻。防火墻是建立在內外網邊界上的過濾封鎖機制，內部網絡被認為是安全和可信賴的，而外部網絡被認為是不安全和不可信賴的。防火墻的作用是防止不希望的、未經授權的通信進出被保護的內部網絡。防火墻對網絡安全的保護程度，很大程度上取決于防火墻的體系架構。隨著網絡應用的增加，對網絡帶寬提出了更高的要求。這意味著防火墻要能夠以非常高的速率處理數據。一些防火墻制造商開發了基于ASIC的防火墻和基于網絡處理器的防火墻。從執行速度的角度看來，基于網絡處理器的防火墻也是基于軟件的解決方案，它需要在很大程度上依賴于軟件的性能，但是由于這類防火墻中有一些專門用于處理數據層面任務的引擎，從而減輕了CPU的負擔，該類防火墻的性能要比傳統防火墻的性能好許多。

四、防火墻存在的安全漏洞

防火墻設備側重于網絡層到應用層的策略隔離，操作系統、內部系統的漏洞、通用協議的缺陷等都成為不安全的潛在因素。首先由防火墻的體系架構可知，防火墻可能會產生網絡層短路，從而導致偽造合法數據包帶來的危害；防火墻還難以抵御數據驅動式攻擊，即大量合法的數據包將導致網絡阻塞而使正常通信癱瘓。其次，防火墻很難阻止由通用協議本身漏洞發起的入侵。第三，防火墻系統本身的缺陷也是影響內部網絡安全的重要因素，當防火墻主機被控制后，內部受保護網絡就會暴露無疑。第四，要使防火墻發揮有效的安全性，需要正確、合理地配置防火墻相關的安全策略，而配置的復雜程度不僅帶來繁瑣的工作量，同時也增加了配置不當帶來的安全隱患。

五、安全性分析比較

（一）指導思想不同

1.防火墻的思路是在保障互聯互通的前提下，盡可能安全；

2.網絡隔離技術的思路是在保證必須安全的前提下，盡可能互聯互通。

（二）體系架構不同

網絡隔離產品一般為雙機或三機系統，而防火墻由一臺處理機組成，為單機系統。而網絡隔離設備實現了OSI模型七層的斷開和應用層內容的檢查機制，因而不會產生網絡層短路，消除了基于網絡協議的攻擊。

（三）安全規則配置的復雜程度不同

防火墻主要依據網絡治理工程師配置的規則進行安全檢查，其安全性的高低與規則配置情況密切相關。規則配置十分復雜，規則最終所起的作用不僅與每條規則有關，而且與每條規則的先后順序、規則之間的相關性都有很大關系。網絡治理工程師必須仔細檢查每條規則，以保證其結果是其預期的結果。從另一個方面講，防火墻的配置要求網絡治理工程師有較高的網絡知識和技術水平。防火墻只是一個被動的安全策略執行設備，防火墻不能防止策略配置不當或錯誤配置引起的安全威脅，規則配置錯誤將造成不安全通道打開。而網絡隔離設備無需進行復雜的規則配置，只需設定一些內外網訪問政策。網絡隔離設備僅答應定制的信息進行交換，即使出現錯誤，也至多是數據不再答應傳輸，而不會造成重大安全事故。

參考文獻：

第2篇：防火墻技術的研究范文

【關鍵詞】防火墻技術；防火墻體系結構

1.引言

網絡安全是一個不容忽視的問題，當人們在享受網絡帶來的方便與快捷的同時，也要時時面對網絡開放帶來的數據安全方面的新挑戰和新危險。為了保障網絡安全，當園區網與外部網連接時，可以在中間加入一個或多個中介系統，防止非法入侵者通過網絡進行攻擊，非法訪問，并提供數據可靠性、完整性以及保密性等方面的安全和審查控制，這些中間系統就是防火墻（Firewall）技術。它通過監測、限制、修改跨越防火墻的數據流，盡可能地對外屏蔽網絡內部的結構、信息和運行情況、阻止外部網絡中非法用戶的攻擊、訪問以及阻擋病毒的入侵，以此來實現內部網絡的安全運行。

2.防火墻的定義

Internet防火墻是一個或一組系統，它能增強機構內部網絡的安全性，用于加強網絡間的訪問控制，防止外部用戶非法使用內部網的資源，保護內部網絡的設備不被破壞，防止內部網絡的敏感數據被竊取，防火墻系統還決定了哪些內部服務可以被外界訪問，外界的哪些人可以訪問內部的服務，以及哪些外部服務何時可以被內部人員訪問。

防火墻作為內部網與外部網之間的一種訪問控制設備，常常安裝在內部網和外部網連接的點上。Internet防火墻是由路由器、堡壘主機、或任何提供網絡安全的設備的組合，是安全策略的一個部分。安全策略建立了全方位的防御體系來保護機構的信息資源。安全策略應告訴用戶應有對的責任，公司規定的網絡訪問、服務訪問、本地和遠地的用戶認證、撥入和撥出、磁盤和數據加密、病毒防護措施，以及雇員培訓等。所有可能受到網絡攻擊的地方都必須以同樣安全級別加以保護。僅設立防火墻系統，而沒有全面的安全策略，那么防火墻就形同虛設。

防火墻系統可以是路由器，也可以是個人主機、主系統和一批主系統，用于把網絡或子網同那些可能被子網外的主系統濫用的協議和服務隔絕。防火墻系統通常位于等級較高的網關或網點與Internet的連接處，但是防火墻系統也可以位于等級較低的網關，以便為某些數量較少的主系統或子網提供保護。

防火墻的局限性：

1）不能防范惡意的知情者；

2）不能防范不通過它的連接；

3）不能防范全部的威脅；

4）不能防范病毒。

由此可見，要想建立一個真正行之有效的安全的計算機網絡，僅使用防火墻還是不夠，在實際的應用中，防火墻常與其它安全措施，比如加密技術、防病毒技術等綜合應用。

3.防火墻的技術原理

3.1　包過濾技術

包過濾技術是一種基于網絡層的防火墻技術。根據設置好的過濾規則，通過檢查IP數據包來確定是否該數據包通過。而那些不符合規定的IP地址會被防火墻過濾掉，由此保證網絡系統的安全。該技術通常可以過濾基于某些或所有下列信息組的IP包：源IP地址；目的IP地址；TCP/UDP源端口；TCP/UDP目的端口。包過濾技術實際上是一種基于路由器的技術，其最大優點就是價格便宜，實現邏輯簡單便于安裝和使用。

缺點：

1）過濾規則難以配置和測試；

2）包過濾只訪問網絡層和傳輸層的信息，訪問信息有限，對網絡更高協議層的信息無理解能力；

3）對一些協議，如UDP和RPC難以有效的過濾。

3.2　技術

技術是與包過濾技術完全不同的另一種防火墻技術。其主要思想就是在兩個網絡之間設置一個“中間檢查站”，兩邊的網絡應用可以通過這個檢查站相互通信，但是它們之間不能越過它直接通信。這個“中間檢查站”就是服務器，它運行在兩個網絡之間，對網絡之間的每一個請求進行檢查。當服務器接收到用戶請求后，會檢查用戶請求合法性。若合法，則把請求轉發到真實的服務器上，并將答復再轉發給用戶。服務器是針對某種應用服務而寫的，工作在應用層。

優點：它將內部用戶和外界隔離開來，使得從外面只能看到服務器而看不到任何內部資源。與包過濾技術相比，技術是一種更安全的技術。

缺點：在應用支持方面存在不足，執行速度較慢。

3.3　狀態監視技術

這是第三代防火墻技術，集成了前兩者的優點。能對網絡通信的各層實行檢測。同包過濾技術一樣，它能夠檢測通過IP地址、端口號以及TCP標記，過濾進出的數據包。它允許受信任的客戶機和不受信任的主機建立直接連接，不依靠與應用層有關的，而是依靠某種算法來識別進出的應用層數據，這些算法通過己知合法數據包的模式來比較進出數據包，這樣從理論上就能比應用級在過濾數據包上更有效。

狀態監視器的監視模塊支持多種協議和應用程序，可方便地實現應用和服務的擴充。此外，它還可監測RPC和UDP端口信息，而包過濾和都不支持此類端口。這樣，通過對各層進行監測，狀態監視器實現網絡安全的目的。目前，多使用狀態監測防火墻，它對用戶透明，在OSI最高層上加密數據，而無需修改客戶端程序，也無需對每個需在防火墻上運行的服務額外增加一個。

4.防火墻的體系結構

4.1　包過濾防火墻

包過濾防火墻也稱作過濾過濾路由器，它是最基本、最簡單的一種防火墻，可以在一般的路由器上實現，也可以在基于主機的路由器上實現。配置圖如圖1所示。

內部網絡的所有出入都必須通過過濾路由器，路由器審查每個數據包，根據過濾規則決定允許或拒絕數據包。

優點：

1）易實現；

2）不要求運行的應用程序做任何改動或安裝特定的軟件，也無需對用戶進行特定的培訓。

缺點：

1）依賴一個單一的設備來保護系統，一旦該設備（過濾路由器）發生故障，則網絡門戶開放；

2）很少或沒有日志記錄能力，當網絡被入侵時，無法保留攻擊者的蹤跡。包防火墻適于小型簡單的網絡。

4.2　雙宿主主機防火墻

這種防火墻系統由一種特殊的主機來實現。這臺主機擁有兩個不同的網絡接口，一端接外部網絡，一端接需要保護的內部網絡，并運行服務器，故被稱為雙宿主主機防火墻。它不使用包過濾規則，而是在外部網絡和被保護的內部網絡之間設置一個網關，隔斷IP層之間的直接傳輸。兩個網絡中的主機不能直接通信，兩個網絡之間的通信通過應用層數據共享或應用層服務來實現。如圖2所示。

優點：

1）網關將被保護的網絡與外界完全隔離開；

2）提供日志，有助于發現入侵；

3）內部網絡的名字和IP地址對外界來說是不可見的。

缺點：服務，服務器必須為每種應用專門設計，所有的服務依賴于網關提供的在某些要求靈活的場合不太適用。

4.3　屏蔽主機網關防火墻

它由一臺過濾路由器和一臺堡壘主機組成。在這種配置下，堡壘主機配置在內部網絡上，過濾路由器則放置在內部網路和外部網絡之間。外部網絡的主機只能訪問該堡壘主機，而不能直接訪問內部網絡的其它主機。內部網絡在向外通信時，必須先到堡壘主機，由該堡壘主機決定是否允許訪問外部網絡。這樣堡壘主機成為內部網絡與外部網絡通信的唯一通道。如圖3所示。

優點：

1）配置更為靈活，它可以通過配置過濾路由器將某些通信直接傳到內部網絡的其它站點而不是堡壘主機；

2）包過濾路由器的規則較簡單。

缺點：一旦堡壘主機被攻破，內部網絡將完全暴露。

4.4　屏蔽子網防火墻

屏蔽子網防火墻在屏蔽主機網關防火墻的配置上加上另一個包過濾路由器，如圖4所示。

在屏蔽主機網關防火墻中，堡壘主機最易受到攻擊。而且內部網對堡壘主機是完全公開的，入侵者只要破壞了這一層的保護，那么入侵也就成功了。屏蔽子網防火墻被憑就是在被屏蔽主機結構中再增加一臺路由器的安全機制，這臺路由器的意義就在于它能夠在內部網和外部網之間構筑出一個安全子網，從而使得內部網與外部網之間有兩層隔斷。用子網來隔離堡壘主機與內部網，就能減輕入侵者沖開堡壘主機后而給內部網帶來的沖擊力。

優點：提供多層保護，一個入侵者必須通過兩個路由器和一個應用網關，是目前最為安全的防火墻系統。

缺點：

1）價格較貴；

2）整個系統的配置較為困難。

該防火墻適合大、中型企業，以及對安全性要求高的單位。

參考文獻

[1]陳莉.計算機網絡安全與防火墻技術研究[J].中國科技信息，2005（23）：25.

[2]張景田.計算機網絡安全技淺析[J].統計與查詢，2005（4）：31.

[3]史忠植.高級計算機網絡[M].北京：電子工業出版社，2002.

[4]張漢文.計算機網絡安全與防范問題初探[J].信息安全與通信保密，2005（10）：40.

[5]Eric　Maiwald，Wi1liEducation，Security　Planning&Disaster　Recovery，2003，Posts&Telecommunications　Press.

第3篇：防火墻技術的研究范文

關鍵詞：防火墻；IDS；聯動；網絡安全

中圖分類號：TP393文獻標識碼：A文章編號：1009-3044(2012)13-3050-02

Firewall and IDS linkage of Network Security Technology Application Research

ZHANG Yan

(Modern Educational Technology Center, Hunan Communication Polytechnic, Changsha 410004,China)

Abstract: Today the Internet technology rapid development, The problem of network security is more and more attention by people, base on the previous network security technology, put forward the Network security technology on Firewall and intrusion detection combination, The way that can effectively control network management cost, .And can effectively improve the network system of safety level.

Key words: firewall; IDS; linkage; network security

在互聯網技術飛速發展的今天，Internet網絡的應用也隨之得到了廣泛的應用。網絡已經成為了人們工作、學習以及生活等方面必不可少的一部分，在各個行業都發揮著非常重要的作用。計算機網絡通過信息的傳輸，從而為數據資源共享、信息交流與服務等提供了一個良好的平臺，從而使得遠在世界不同地區的人們足不出戶就能了解到最新信息。雖然互聯網技術給人們帶來了很多好處，但網絡信息的安全問題變得相當嚴重。網絡安全事件不斷發生，給網絡用戶帶來了巨大的損失，因此，建立一套有效的網絡安全防范措施已經成為了當前網絡管理者們的重要課題。

1防火墻與IDS

網絡安全技術從總體來看，可以分為動態安全技術和靜態安全技術。目前主要采用靜態網絡安全技術，主要實現的方法有：防火墻技術、身份認證技術、訪問控制技術、數據加密技術、防病毒軟件等。而動態安全技術主要有入侵檢測技術以及陷阱網絡（蜜罐技術）等，其中入侵檢測技術是動態安全技術中一種比較成熟的技術，下面來簡要分析防火墻與入侵檢測技術。

1)防火墻技術

防火墻（Firewall）是一種有效的安全技術，通過部署一個或一組網絡安全設備，將內部網絡與外部網絡有效的隔離開來，用來限制非法用戶訪問內部網絡資源，它主要用來運行訪問控制軟件，而很少有其他的服務，系統安全漏洞也相對較少。因此，都整個內部網絡的管理主要就是針對防火墻的安全管理，這樣就使得網絡安全管理更加便于控制，內部網絡也相對安全，但防火墻技術不能防止來自網絡內部的攻擊，這是其存在的最大弊端。防火墻的功能主要有：訪問控制功能、內容控制功能、集中管理功能、自身的安全和可用性、全面的日志功能以及其他的附屬功能。防火墻的種類主要有：包過濾防火墻、應用層網關防火墻、內容過濾防火墻等。

2)入侵檢測技術

入侵檢測技術（IDS）是一種比較新型的網絡安全技術，它是一種動態的網絡安全技術。它是一種主動的防御手段，能夠主動檢測到網絡中被攻擊的安全漏洞，并能及時的探測到網絡危險行為，實時分析網絡內部的交互信息，檢測入侵者的攻擊行為和攻擊目的，隨后發出報警信息，在網絡遭受侵犯之前進行有效的處理措施。入侵檢測系統的結構如圖1。

圖1入侵檢測系統結構圖

入侵檢測系統的作用可以通過圖2來體現。

圖2入侵檢測系統的作用

2網絡安全問題分析

在某些單位的局域網中，都存在著一些網絡安全問題，其中主要面臨的網絡安全威脅是網絡中數據信息的危害和網絡設備的危害。主要體現在以下幾個方面：操作系統的安全問題；病毒的破壞，病毒的形式主要有蠕蟲、木馬程序以及惡意腳本等；遭受非法入侵及惡意破壞；不良信息的傳播；技術之外的問題。針對這些問題，應當從以下幾個方面來應對：首先是對網絡病毒的防范；其次是網路安全的隔離；還有要采取相應的網絡安全監控措施；修補網絡安全漏洞；數據備份和恢復；對有害信息的過濾；網絡安全方面的服務等。

3防火墻與IDS的聯動實現

防火墻是在兩個不同信任程度的網絡之間部署的硬件或軟件設備的組合，它最大的缺點是不能防止來自網絡內部的攻擊，所以單靠防火墻很難實現良好的安全防護性能。IDS是一種基于主動的防御手段，它可以通過對數據通信信息的分析，檢測出入侵行為和企圖，并發出報警，及時對網絡系統采取相應的防御措施，能夠有效的避免網絡攻擊。所以，如果能將防火墻與IDS相互結合起來運行，入侵檢測能夠及時發現防火墻之外的入侵行為，這樣就能有效的提高網絡系統的防御性能。防火墻與IDS聯動實現原理圖如圖3。

圖3防火墻與IDS聯動原理圖

防火墻與IDS聯動實現主要有以下幾個模塊：IDS控制信息生成模塊，IDS和防火墻通訊模塊，防火墻動態規則處理模塊，防火墻規則的審計分析模塊。IDS控制信息生成模塊主要是整理探測器發來的危險報警信號，從中提取相關信息，生成相應的控制信息，并對其進行加密處理后進行發送。IDS和防火墻通訊模塊通過對網絡安全策略的配置，并指定防火墻的地址及認證密碼，并向防火墻發起連接，進行信息的傳遞。防火墻動態規則處理模塊用來制定一些安全策略，對信息進行身份驗證，確認后再進行處理，否則丟棄。防火墻規則的審計分析模塊用來記錄防火墻中的動態規則，便于管理員以后的日志分析。

防火墻技術并不能防范來自內部的黑客攻擊，入侵檢測可以有效的彌補這一不足，IDS作為一種積極主動的網絡安全防范技術，可以對內部操作和外部操作以及誤操作的實時保護，在網絡受到入侵之前進行有效的攔截，可以說，防火墻是網絡安全的第一道屏障，而IDS則是網絡安全的第二道屏障，在對網絡監測的同時并不影響網絡性能。如果說防火墻是房屋的一道安全鎖，則IDS則是在房屋內的一個監控裝置。

4小結

隨著人們對網絡安全問題的認識不斷加深，網絡安全技術并不只是簡單的防火墻就能完成的，動態防范的網絡安全技術應用已經變得越來越廣泛，目前防火墻被認為是一種靜態的網絡安全防范產品，IDS則是一種動態的網絡安全防范產品。將其有效的結合起來，通過兩者的聯動能夠更好的確保網絡的安全性。當然，我們也必須看到，防火墻與IDS的互動技術只是初步實現了防護、檢測與響應三者之間的一種簡單協作，并不能說有此兩種技術的結合就能確保網絡安全性能的萬無一失，因為IDS正如防火墻一樣，自身也不具備百分之百的可靠性，但可信的是，在這樣一種互助互補的網絡安全性能之下，網絡的安全性將一定會有很大程度的提升。

參考文獻：

第4篇：防火墻技術的研究范文

關鍵詞：下一代防火墻；網上技術交易市場；網絡安全

1 網上技術交易市場簡介

網上技術交易市場是傳統技術市場在現代網絡經濟和網絡技術飛速發展的背景下出現的一種新的發展趨勢，有著傳統技術市場不可比擬的優勢。它不僅能加快、改善技術交易的流程，縮短技術轉移周期，而且能為技術交易提供更為便利的增值服務，從而大大提高技術交易的效率。

徐州市也開展了網上技術交易市場的建設，以提供科技成果轉化過程中的各類信息為主要服務內容，為高等院校、科研院所、企業、各類中介服務機構以及相關管理部門等創新主體提供全方位、全公益性的信息服務。網上技術交易市場的基本運行機制為會員制，包括2類會員：一類是供給類會員，是擁有技術研發能力和技術成果并愿意在網上技術交易市場和交易的單位，主要包括高等院校、科研院所等。另一類是需求類會員，是指對技術成果有需求的從事生產活動的單位，主要是企業。

網上技術交易市場定位為“科技成果轉化一站式信息服務平臺”，是建立在互聯網上的在線服務平臺。平臺主要包括技術成果信息模塊、技術需求信息模塊、技術合同管理模塊、技術合作洽談模塊和技術與金融對接模塊等。

在線服務平臺的信息功能與門戶網站類似，但系統結構與業務流程卻不盡相同。一般網站的信息由網站工作人員來操作，業務流程簡單，工作人員通常從內網登錄系統信息，對網絡安全性要求不高。而網上技術交易市場需要會員的參與，無論是供給類會員還是需求類會員，都須從外網訪問在線服務平臺并信息，這就對系統的安全性提出了更高的要求。平臺系統本身從安全方面考慮，采用了基于角色的權限管理，針對供給方會員用戶、需求方會員用戶、工作人員用戶以及管理員用戶不同的業務需求，將用戶定義為不同的角色，通過為不同的角色賦予不同的權限，使用戶只能訪問自己被授權的資源，從而保障平臺系統的安全。

隨著互聯網的發展，來自網絡的安全威脅越來越嚴重，特別是在網絡上運行關鍵業務時，網絡安全是首先要解決的問題。網上技術交易市場在線服務平臺在互聯網上對公眾開放，因此除了平臺系統本身的安全外，還需要考慮到網絡安全問題。

2 網上技術交易市場面臨的主要網絡威脅

以往的網絡攻擊方式有ARP欺騙、路由欺騙、拒絕服務式攻擊、洪水攻擊、會話劫持、DNS欺騙等，這些攻擊大多位于網絡底層，而現在越來越多的攻擊發生在應用層，針對應用層的攻擊已經成為現階段網絡安全最大的威脅。其中，Web應用安全問題、APT攻擊以及敏感信息的泄漏是業務系統面臨的主要威脅。

2.1 Web應用安全問題

互聯網技術的高速發展，大量Web應用快速上線，包括網上技術交易市場在內的大多數在線業務系統都是基于Web的應用，web業務成為當前互聯網應用最為廣泛的業務。大多數Web系統都十分脆弱，易受攻擊。根據著名咨詢機構Gartner的調查，安全攻擊有75%都是發生在Web應用層。而且針對Web的攻擊往往隱藏在正常訪問業務行為中，導致傳統防火墻、入侵防御系統無法發現和阻止這些攻擊。

Web業務系統面臨的安全問題主要有幾個方面：一是系統開發時遺留的問題，由于Web應用程序的編寫人員在編程的過程中沒有考慮到安全的因素，使得黑客能夠利用這些漏洞發起對網站的攻擊，比如SQL注入、跨站腳本攻擊等；二是系統底層漏洞問題，Web系統包括底層的操作系統和Web業務常用的系統（如IIS，Apache），這些系統本身存在諸多的安全漏洞，這些漏洞可以給入侵者可乘之機；三是網絡運維管理中的問題，業務系統中在管理方面存在許多安全隱患，如弱口令、內網安全缺陷等，導致被黑客利用對網站進行攻擊。

2.2 APT攻擊

APT攻擊，即高級持續性威脅（Advanced PersistentThreat，APT）攻擊，是近幾年來出現的一種利用先進的攻擊手段對特定目標進行長期持續性的網絡攻擊，具有難檢測、持續時間長和攻擊目標明確等特點。APT在發動攻擊之前對攻擊對象的業務流程和目標系統進行精確的收集，這種行為往往經過長期的策劃，具備高度的隱蔽性。在收集的過程中，會主動挖掘信息系統和應用程序的漏洞，并針對特定對象有計劃性和組織性地竊取數據。

APT攻擊的過程通常包括的步驟是：首先，攻擊者通過各種途徑收集用戶相關信息，包括從外部掃描了解信息以及從內部利用社會工程學了解相關用戶信息；其次，攻擊者通過包括漏洞攻擊、Web攻擊等各種攻擊手段入侵目標系統，采用低烈度的攻擊模式避免目標發現以及防御；再次，攻擊者通過突破內部某一臺服務器或終端電腦滲透進內部網絡，進而對目標全網造成危害；最后，攻擊者逐步了解全網結構及獲取更高權限后鎖定目標資產，進而開始對數據進行竊取或者造成其他重大侵害。

2.3 數據泄漏問題

近幾年，數據泄漏事件愈來愈頻繁的發生，公民信息數據在網上大規模泄露事件時有發生，給網絡安全構成了嚴重危害，產生了重大的社會影響。2013年，2000萬開房信息數據被泄露下載，通過被泄露的數據庫文件，可以輕易查到個人姓名、身份證號、地址、手機、住宿時間等隱私信息。2014年，12306的用戶數據泄漏，導致大量用戶數據在網絡上傳播，涉及用戶賬號、明文密碼、身份證件、郵箱等信息。2015年，30多個省市衛生和社保系統出現大量高危漏洞，數千萬用戶的社保信息因此被泄露。10月，網易郵箱過億用戶敏感信息遭泄露，泄露信息包括用戶名、密碼、密碼密保信息等，部分郵箱所關聯的其他服務賬號也受到影響。

網上技術交易市場的后臺數據庫中，保存有會員的數據信息，包括企業用戶信息和個人用戶信息，如果涉及交易信息、價格信息等敏感的數據遭到泄露，可能使用戶遭受經濟損失，甚至對社會秩序、公眾利益造成危害。

3 基于下一代防火墻的網絡安全防護方案設計

針對網上技術交易市場的安全防護，必須有效應對這些網絡威脅。而且，由于網上技術交易市場規模不大，還需要考慮到控制成本并易于管理。

典型的網絡安全方案通常配置防火墻、防病毒設備、入侵檢測設備、漏洞掃描設備以及Web應用層防火墻。這些設備功能專一，能夠防護不同類別的網絡攻擊，但如果不全部部署，則會在相應的保護功能上出現安全短板。但全部部署又存在成本高、管理難、效率低的問題。首先是成本問題，對于中小規模的網絡系統來說，將這些設備全部配齊，價格昂貴；其次，安全設備種類繁多也增加了管理上的成本，網管人員需要在每臺設備上逐一部署安全策略、安全防護規則等，讓不同類型的設備能夠協同工作，勢必會在日常運維中耗費大量的時間和精力；在防護效果方面，各種設備之間無法對安全信息進行統一分杯不能達到良好的整體防護效果。

因此，針對網上技術交易市場的實際應用需求，設計了一種基于下一代防火墻的網絡安全防護的方案。

下一代防火墻是一種可以全面應對應用層威脅的高性能防火墻，通過分析網絡流量中的使用者、應用和內容，能夠為用戶提供有效的應用層一體化安全防護，幫助用戶安全地開展業務并簡化用戶的網絡安全架構。下一代防火墻具有應用層洞察與控制、威脅防護、應用層數據防泄漏、全網設備集中管理等功能特性，這些功能能夠有效地、有針對性地應對網上技術交易市場業務系統面臨的主要網絡威脅。

在網絡拓撲結構設計方面，將下一代防火墻部署在網絡邊界、服務器交換機的前端，實現業務系統所在服務器與互聯網的邏輯隔離，從攻擊源頭上防止來自網絡層面、系統層面、應用層面以及數據層面對網上技術市場業務系統的安全威脅（見圖1）。

在解決Web應用安全的問題上，下一代防火墻能夠提供全方位、高性能、深層次的應用安全防護。下一代防火墻采用高度集成的一體化智能過濾引擎技術，能夠在一次數據拆包過程中，對數據進行并行深度檢測，完成2～7層的安全處理。同時，下一代防火墻內置有高精度應用識別引擎，可以采用多種識別方式進行細粒度、深層次的應用和協議識別，具有極高的應用協議識別率與精確度，對于主流應用、加密業務應用、移動應用、企業內網業務應用都可以實現全方位識別。

在應對APT攻擊方面，下一代防火墻的安全監測引擎和威脅檢測特征庫，對基于已知漏洞、惡意代碼發起的APT攻擊能進行有效的防護。在針對零日漏洞和未知惡意代碼的威脅時，下一代防火墻通過沙箱技術構建虛擬運行環境，隔離運行未知或可疑代碼，分析威脅相關信息，識別各種未知的惡意代碼，并自動生成阻斷規則，實時、主動地防范APT攻擊。

下一代防火墻實現數據防泄漏主要是利用應用識別技術和文件過濾技術。高精度應用識別引擎能夠對具有數據傳輸能力的應用進行數據掃描，文件過濾技術可以基于文件特征進行掃描，敏感信息檢測功能可以自定義“身份證號碼”“銀行卡號”“密碼”等多種內容并進行監測，通過這些技術的綜合運用，可以有效地識別、報警并阻斷敏感信息被非法泄漏。

第5篇：防火墻技術的研究范文

1.1 網絡環境以及硬件系統故障

計算機硬件系統一旦出現故障, 例如電源斷電、報警故障等, 都會對計算歸網絡安全造成影響。目前, 計算機網絡的設置大多屬于資源共享型, 所以開放性的網絡運行環境給黑客、病毒等可趁之機, 同時, 計算機網絡自身的隱秘性使用戶驗證變得模糊, 同樣給黑客入侵的機會。

1.2 通信協議缺陷

網絡通信協議主要是使不同的計算機網絡系統以及操作系統連接在一起, 通信協議為網絡通信提供一定的系統支持。但是通信協議大多為開放式的協議, 所以許多不法分子會以通信的名義進入到系統中, 盜取系統內部重要信息及數據, 對計算機網絡的安全性造成嚴重破壞, 致使計算機網絡無法正常運行。

1.3 IP源路徑不穩

如果出現IP源路徑不穩定的現象, 用戶在發送信息及重要數據時, 黑客可以進入到網絡系統中對IP源路徑進行更改, 用戶所發送的信息會被不法分子截收, 從中獲取非法利益。

2 防火墻技術概述

防火墻主要由硬件設備與軟件系統共同組成, 在內部網與外部網之間所構造起來的保護屏障, 從而保護內部網絡免受非法用戶的入侵。在互聯網中, 防火墻主要是指一種隔離技術, 在兩個網絡進行通訊時對訪問尺度進行控制, 最大限度的阻止網絡黑客對網絡進行訪問。

3 防火墻技術在計算機網絡安全中的應用

當前的計算機網絡面臨著許多安全方面的威脅, 在網絡安全防護技術中包括防火墻技術、防病毒技術、漏洞掃描技術等。防火墻技術在現實中應用比較多, 防火墻就好比古代的城門, 在內網與外網之間構建一道屏障, 通過此屏障必須有合法的身份。防火墻是在不同區域之所設置的一個軟件或一臺設備, 是網絡的唯一出入口。下面簡單對防火墻技術在計算機網絡安全中的具體應用進行簡單概述。

3.1 在網絡安全配置中的應用

在防火墻技術中, 網絡安全配置屬于重點內容, 安全配置主要是將計算機網絡劃分為多個模塊, 將需要進行安全防護的重要模塊轉化為隔離區, 對該模塊實施重點保護。在防火墻技術下的隔離區是單獨的局域網, 是計算機內部網絡構成的重要組成部分, 有效的保護網絡內部服務器的信息安全, 確保計算機在穩定的網絡環境中運行。防火墻對安全防護的要求非常高, 防火墻安全防護技術的主要工作方式為:自動監控計算機網絡隔離區的信息, 通過地址轉換, 將由內向外流向的信息IP轉化為公共IP, 防止攻擊者對IP進行解析。防火墻的安全配置主要是對IP進行隱藏, 通過隱藏IP的流通來體現地址轉化的價值。在入侵用戶對IP進行解析時, 無法追蹤真實信息, 只能獲取到虛假的IP地址, 所以無法對內部網絡進行訪問, 從而提升網絡運行的安全。

3.2 在訪問策略中的應用

在防火墻技術中, 訪問策略是該應用的核心, 在網絡安全控制中占主要地位。訪問策略主要是通過對網絡配置的縝密安排, 對計算機網絡信息的統計過程進行優化, 構建成科學的防護系統。防火墻技術能夠針對計算機網絡的實際運行狀況, 對訪問策略進行規劃, 從而為計算機網絡的運行提供安全環境。主要保護流程為:防火墻技術會將計算機的相關運行信息劃分為不同的單位, 針對各個單位進行訪問保護。然后對計算機網絡運行的各項地址進行了解, 包括目的地址、端口地址等。掌握計算機網絡運行的特點, 對安全保護方式進行規劃。最后, 訪問策略在計算機網絡安全保護中會對應不同的保護方式, 根據實際需求, 對訪問策略進行調整, 在進行安全技術訪問時會形成策略表, 對策略表信息進行主動調節, 通過策略表來約束防火墻技術的保護行為, 在一定程度上提高網絡運行安全的保護效率。

3.3 日志監控中的應用

許多計算機用戶都會對防火墻技術的保護日志進行分析, 獲得有價值信息。日志監控在計算機網絡安全維護中同樣比重較大, 是防火墻技術的重點保護對象。用戶對防火墻日志進行分析過程為:打開防火墻技術在網絡安全保護過程中所生成的日志, 由于防火墻技術的工作量非常大, 所以需要對某一類別的信息進行采集, 從而實現監控。用戶在類別信息中對關鍵信息進行提取, 作為日志監控的有力依據。另外, 用戶可以實時對防火墻技術中的報警信息進行記錄, 在這類信息中提取優化價值, 在日志監控的作用下, 防火墻技術的安全保護能力會逐漸加強, 從而優化網絡流量。

4 新型防火墻技術的應用

4.1 深層檢測防火墻

深層防火墻檢測技術是防火墻技術的未來發展趨勢, 深層檢測能夠對網絡信息檢測之后, 對內部的流量進行定向, 按照基本的檢測方式進行檢測。對傳統的防火墻技術是一種補充與完善, 充實了惡意信息監測功能。這種防火墻技術不僅局限在網絡層上的數據, 而且更加側重于對應用層的網絡攻擊進行研究, 進一步擴大檢測范圍。

4.2 流量過濾防火墻技術

傳統的防火墻技術對流量的過濾僅僅是對數據包進行過濾, 通過事先設定的邏輯語句對流經防火墻的數據流量進行截獲, 對目的地址以及源地址進行匹配。新型的流量過濾技術是對傳統技術的更新, 通過內部嵌入專有協議, 來對應用層數據包進行過濾, 該項技術能夠對數據進行滯留重組, 將重組的流量交到應用層進行認證, 實現對數據的完整性檢測。

4.3 嵌入式防火墻

嵌入式防火墻主要是將防火墻軟件嵌入到硬件設施或者相關的網關上, 主要針對網絡層數據進行防護, 不能夠對應用層數據防護。但是無論內部網絡如何變化, 嵌入式防火墻始終是網絡邊緣的忠實衛士。

5 結束語

在現代社會的發展過程中, 計算機網絡已經遍布到人們生產生活的多個領域, 人們對計算機網絡已經產生了一定的依賴性, 計算機網絡安全是一項綜合問題, 涉及到防火墻架設、防火墻管理等。人們在日常計算機網絡使用過程中, 要加強網絡安全防范意識, 為計算機網絡的運行營造良好的網絡環境。通過防火墻技術來進一步維護網絡運行的安全, 體現出防火墻技術的高效安全價值。

參考文獻

[1]董毅.計算機網絡安全中防火墻技術的運用探析[J].福建質量管理, 2016-01-15.

[2]曾袁虎.計算機網絡安全中的防火墻技術應用分析[J].信息與電腦 (理論版) , 2016-05-23.

第6篇：防火墻技術的研究范文

網絡科技的迅猛發展，給人們的生產、生活帶來了一定的便捷。但同時隨著網絡技術的不斷成熟，網絡安全問題日益凸顯，部分網絡黑客將計算機系統漏洞作為侵襲條件，對相關計算機用戶的網絡資源進行惡意攻擊，篡改數據，引發了不同程度的網絡安全問題。目前已成為了人們日益關注的話題。基于此，本文以在計算機防護中起到了顯著的作用的防火墻技術作為切入點，首先扼要分析了計算機網絡安全技術的研究進展，然后介紹了防火墻的不同功能及其分類，最后提出了防火墻的構建步驟及其防護措施。

【關鍵詞】計算機 防火墻 網絡安全 入侵 技術

網絡技術的發展，促進了計算機的普及，在一定程度上改變了人們的生產、生活與工作方式，將網絡作為途徑，人們能夠實現足不出戶而知曉天下事的功能，同時通過網絡亦能夠實現資源共享、信息分享及人與人之間的溝通與交流。網絡在給人們帶來便利的同時也凸顯了一些問題。部分黑客將計算機作為主要侵襲對象，竊取商業機密、進行惡意攻擊、盜取相關資源，無一不給網絡安全造成了嚴重的威脅，甚至少部分黑客程序，無需用戶操作，便可自動化地破壞整個系統網絡，嚴重阻礙了網絡環境的正常運作。目前，計算機網絡安全問題已成為了全球范圍內人們所關注的重點話題。以下則主要從計算機網絡安全技術發展的軌跡出發，研究了防火墻網絡安全體系的構建。

1 計算機網絡安全技術的發展概述

計算機網路技術主要是基于網絡數據存儲與傳輸的安全性考慮而衍生的安全防護技術。由于在開發初期，研究人員僅將開發重點放置于推廣與操作的方便性方面，進而導致了安全防護體系相對來說比較脆弱，并不具備較優的防護處理水平。因此，為解決計算機網絡安全防護的問題，國內外諸多相關的研究機構展開了大量的探索與分析，在網絡身份認證、數據資源加密、網絡防火墻及安全管理等方面展開了深入的研究，推動了入侵檢測技術的誕生。入侵技術推廣早期，檢測方法相對來說比較簡單，功能并不完善，同時并不具備較強的適用性。并隨著開發研究的不斷深入與普及，入侵檢測方法也處于不斷完善的過程中，許多新型的攻擊特征已被總結與歸納，入侵反應措施也趨向完善。

在計算機網絡安全技術中占據核心地位的安全防護技術便為密碼技術，研發至今發展已有20余年，部分高強度的網絡密鑰管理技術與密碼算法也在迅速涌現。開發重點同樣也由傳統的保密性轉移至兼顧保密、可控與真實等方面。并配合用戶的身份認證形成了數字化的網絡簽名技術。當前在保障計算機網絡信息傳遞的安全性方面，密碼技術有其重要的影響作用，而加密算法則是密碼技術中的關鍵與核心。不同性質的網絡密鑰同樣有其不同的密鑰體制。其主要決定因素在于網絡協議的安全性。此外，網絡漏洞掃描同樣也是計算機網絡安全技術發展的產物，由于任何計算機均有其不同的安全漏洞，而選取人工測試的方法耗時較長，且效率較低、準確度不高，而網絡漏洞掃描技術則能夠實現漏洞掃描的全自動操作，同時預控安全危險，保護整個計算機系統網絡，是安全防護系統中不可或缺的重要部分。

2 防火墻技術與其系統構建措施分析

2.1 防火墻技術的功能及其分類

防火墻主要是計算機防范措施的總括，它能夠隔離內外部網絡，采取限制網絡互訪的方式達到保護內部網路的目的，是十分高效的網絡安全防護措施。它能夠隔絕計算機安全與風險區域的網絡連接，同時能夠對適時網絡通信量進行監測，有效制止惡意網絡資源的入侵與進攻，能夠自動過濾非法用戶與不安全的網絡信息，隔離入侵者與防御設施，限制訪問點權限，防止資源濫用。防火墻同樣有其不同的類別，按照軟件形式可將其劃分為硬件防火墻與軟件防火墻，而按照技術類型則可將其分為包過濾型防火墻與應用型防火墻。此外，按照結構類型、部署部位、使用性能同樣也將其分為不同類型的防火墻。

2.2 防火墻的構建及其防護措施的制定

網絡防火墻的構建僅需遵守簡單的六個步驟，即規劃與制定安全計劃與協議、建立網絡安全體系、制作網絡規則程序、落實網絡規則集、調整控制準備、完善審計處理。當前較為成熟的防火墻體系架構為X86架構，將PCI與CPU總線作為通用接口，具備較優的可拓展性與靈活性，是大型企業防火墻開發的主要體系架構之一。而對于中小型企業來說，NP型架構的防火墻則為防護網絡侵襲的最優選擇。采取與之相匹配的軟件開發系統，有其強大的網絡編程能力。而對于對網絡防護要求十分高的企業、單位或個人，則可采用ASIC架構的防火墻手段，它不僅具備強大的數據處理能力，同時有其獨具優勢的防火墻性能。

網絡防火墻安全措施則主要是由檢測、防護及響應三個部分構成。在整個防火墻系統中，防御屬于一級防護措施，而檢測則是確立入侵的主要手段，響應則是做出系統反饋的控制要素。當前實現網絡入侵檢測與防火墻系統之間的互動一般有兩種方案。第一，將網絡入侵檢測系統嵌入防火墻中。第二，則是通過開發網絡接口的方式實現兩者之間的互動。同樣按照原始固定網絡協議來進行信息互通，并實現網絡安全事件的傳輸處理。一般第二種方式應用較為廣泛，它具備較強的靈活性，同時不會影響兩者的防護性能。在網絡安全防護體系中，通過將入侵檢測與防火墻技術相結合，能夠有效提高檢測速度，提高系統的適應能力與靈活性，為網絡的有效防護奠定了良好的基礎，大大提升了計算機系統的防御能力，保障了系統的安全性。

3 結束語

綜上所述，在網絡技術迅猛發展的背景下，要保障信息數據的安全性，保障網絡傳輸的穩定性，充分發揮其正面作用，必須以構建網絡防火墻為重點，并配合數據加密、身份認證等安全措施，提高網絡系統的抵御能力，防止惡意入侵，并提升網絡系統的安全性，全面保障信息數據存儲的穩定性。

參考文獻

[1]蘇孝青，盛志華.計算機網絡安全技術發展與防火墻技術探討[J].科技創新導報，2009，25：24.

[2]張鳴，高楊.計算機網絡安全與防火墻技術研究[J].黃河水利職業技術學院學報，2011，02：48-50.

[3]程博.我國目前計算機網絡安全與防火墻技術探討[J].改革與開放，2011，20：192.

第7篇：防火墻技術的研究范文

關鍵詞：計算機 網絡安全 防火墻 應用

中圖分類號：TP393.08 文獻標識碼：A 文章編號：1007-9416（2016）04-0000-00

隨著網絡技術的快速發展，網絡安全已經越來越受到人們的重視。在網絡安全當中黑客的侵入是影響安全的最大因素，這種安全威脅的存在不僅使使用者不能正常的進行辦公，更重要的是直接的影響到計算機當中的信息安全性。防火墻技術作為當前應用最為廣泛，同時最有效的方式當前受到了人們的重視。下面將對計算機網絡安全中的防火墻技術應用進行詳細的討論。

1防火墻種類

防火墻是現代網絡安全技術保障中的重要組成部分，不僅能夠對外部的侵擾進行防護，同時在科學技術的發展下還形成了其他的防護功能，能對信息進行過濾，保證安全的信息進入。因此，可以說防火墻是網絡內部和外部之間的一道有效防御系統。為了達到安全防護的作用，需要讓內部和外部的所有資源都從防火墻進行流通，這樣才能保證數據資料的安全性[1]。同時，防火墻本身具有一定的抗攻擊能力，面對外部的攻擊能產生自我保護作用。下面將對常見的兩種防火墻進行介紹：

1.1過濾型防火墻

過濾型防火墻主要工作的層面在于網絡層和傳輸層當中，能根據數據的源頭地質和協議類型等標志確定是否允許通過。只有達到了防火墻的規定標準，在類型上和安全性上全部滿足要求才能將數據信息傳遞到相應的目的地，其余的一些不安全因素則會被防火墻阻擋或者丟棄。

1.2應用型

這種防火墻主要的工作范圍在OIS最高層，也就是應用層面上。應用型的主要特點在體育完全的阻隔了網絡通信流，通過相應的程序來實現對應用層進行控制和監視的作用。

除了以上兩種防火墻之外，還有幾種不同的類型，例如邊界防火墻和混合防火墻等等，在實際應用的過程中需要根據應用者的個人需求來進行選擇，以便于避免外部侵擾。

2防火墻的作用

2.1控制不安全服務

防火墻具有控制不安全服務的功能，在內外網絡進行數據之間的交換過程種，或者其他的信息傳遞過程中，由于防火墻本身的存在，就可以保證只有在授權以內的信息和服務才能進入到內部網絡當中，而一些不被授權的內容則會被阻擋在外。這種對不安全服務的控制，有效降低了網絡內部受到危害的可能性，同時也提升了網絡使用安全性。

2.2集中安全保護

防火墻的最重要功能就體現在集中安全保護方面。對于規模比較大的內部網絡來說，如果需要其需要對某一些軟件進行改動，并放置在防火墻當中，就能實現全面化的集中式保護管理。這種方式的優勢在于不用對主機當中的各個部分進行分別防護，而是從整體的角度上來進行數據安全保護。尤其是內部網絡當中的一些涉及到重要內容的部分，當中都需要通過密鑰或者口令等方式來進行確認，進一步的提升了系統的安全性[2]。

2.3對特殊站點進行控制

防火墻具備對特殊的網站站點進行控制訪問的租用。例如一些需要進行保護的主機，在進行數據傳輸或者訪問的過程中，就一定要采取必要的措施進行保護，而其他的主機則能夠進行訪問或者數據的交換。這種方式能夠有效地避免主機進行不必要訪問，減少資源受到損害的情況，同時也對一些不良的網站進行主動的屏蔽。防火墻就像是一道安全防護門，對于一些不經常使用的或者帶有干擾因素的信息能主動進行防御，是一種較為直接同時有效的網絡安全防護方式。

3計算機網絡安全中的防火墻技術應用

3.1應用復合技術

復合技術的應用主要在于提升計算機網絡而對綜合性防護，防護方式較為穩定化，能避免防火墻當中一些漏洞問題出現[3]。復合技術的應用是一種較為系統化的保護方式，在應用上也更加的靈活方便，同時也具備了過濾式防護和技術的整體優勢。通過復合技術的應用能快速的了解到網絡應用中的安全情況，并能及時的對一些不安全問題進行阻止，使非法侵入難以實現。此外，在復合技術應用下防火墻能實現自動報警，一旦遭受到攻擊便立刻發出警報，最大限度上提升保護的可能性。

3.2應用包過濾技術

包過濾技術主要是在信息傳遞中對信息進行快速的判斷，并組織不良信息的傳遞。同時，包過濾技術將計算機內網和外網劃分成為兩個不同的部分，從內部到外部進行全面性的信息傳遞控制，這不僅能充分地發揮出包過濾技術的優勢，同時也能對一些帶有攻擊性的內容進行過濾。

3.3應用的服務器

的服務器是防火墻技術當中重要的技術之一，服務器給忘了提供必要的服務保障，并代替網絡來進行信息流動[4]。這樣一來一旦所傳遞的信息中帶有不安全因素，那么服務器就能將真實的IP進行隱藏，并創造一個虛擬的IP，這樣以來干擾因素就只能對虛擬的IP進行攻擊而不至于攻擊真實IP，起到保證信息安全的作用。此外，的服務器具有中轉的作用，能夠有效進行安全信息之間的交互。但由于這種方式應用起來比較復雜，在使用過程中對網絡的穩定性要求也比較高，需要創造良好的環境，當前應用中只有少部分人選擇。

4結語

隨著我國的經濟發展和網絡技術的進步，計算機網絡在人們的生活中所扮演的角色也越來越重要。計算機防火墻技術的發展一方面為計算機網絡安全運行提供了保障，另一方面也有效的阻止了不法分子的不良企圖，對網絡發展具有重要的意義。我國的防火墻技術發展比較晚，當前仍然存在著一定不足，因此仍然需要不斷進行完善，以便于能更好的為人們進行服務。

參考文獻

[1]豐丹.計算機網絡安全問題及對策分析[J].才智，2016，（02）：55-60.

[2]吳尚.我國計算機網絡安全的發展與趨勢分析[J].電子技術與軟件工程，2015，（24）：81-86.

[3]初征.計算機網絡安全與防范對策[J].數字技術與應用，2015，（12）：44-45.

[4]楊曉偉.計算機網絡安全的主要隱患及應對措施[J].數字技術與應用，2015，（12）：62-66.

第8篇：防火墻技術的研究范文

關鍵詞：網絡；防火墻

中圖分類號：TP393文獻標識碼：A文章編號：1007-9599 (2011) 03-0000-01

Network Firewall Technology Development

Chen Xi

(Baoding Branch of China Tietong,Baoding71000,China)

Abstract:The rapid development of the network to bring convenience,but also a lot of inconvenience to the 3G users,intrusion,virus infection and other serious threats to the user's normal use of 3G network,so firewall,played a crucial role in the development of This article on the status of 3G network development and existing threats,analysis of network firewall technology to help ensure the normal use of the user better.

Keywords:Network;Firewall

網址對于網絡安全來說防火墻是主要的一個防御機制，在整個網絡系統中起到至關重要的作用。防火墻的技術、自身的功能、保護能力、網絡結構、安全策略等因素，是網絡安全性的決定性因素，而在網絡迅猛發展的今天，對網絡安全和防護的要求就越來越迫切，網絡防火墻被用作為加強控制網絡之間的互訪，嚴防外部網絡用戶惡意通過外網入侵內部網絡，并對網絡之間的數據包的傳輸進行實時監控，判斷網絡之間通信的合法性，以及網絡運行的狀態。

一、防火墻的類型

網絡在人們的平常生活中越來越普及化，網絡的安全就越來越受到了人們的重視，防火墻成為網絡安全的一個重要保障。防火墻的種類多樣化，根據應用技術的不同，可分為一下幾類：

（一）防火墻的初級產品：包過濾型防火墻它的核心為傳輸技術，通過讀取數據包中的地址信息來辨別數據包的合法性，辨別其來自的網站是否安全，如果是危險的數據包，防火墻最自動將其抑制，包過濾技術具有簡單實用的優點，而且成本低，經常是以較小的代價實現對系統的保障，但是其常常無法識別應用層的惡意攻擊。

（二）網絡地址轉化（network address translation）NATNAT的主要技術是將IP地址轉化為臨時的、注冊的外部IP地址，同時允許私有IP地址用戶訪問因特網，系統將源端口和源地址映射為一個偽裝的地址和端口，用偽裝的地址與端口與外網建立連接，從而以達到隱藏真實的IP地址。

（三）型防火墻型防火墻亦可稱作為服務器，它是一種安全性相對較高的產品，其位于服務器與用戶級之間，對于兩者之間的數據交流可以起到很好的監控和阻攔危險數據的作用，避免了外部的一些惡意攻擊，為網絡與用戶之間建立了一條有效安全的綠色通道，其優點是安全性較高，對應用層可以做到有效的掃描和偵測，對于抑制應用層的病毒侵入和感染十分有效，劣勢就是管理起來相對復雜。

（四）監測型防火墻監測型防火墻是一種新的產品，它對網絡各層的數據予以主動的、實時的監控，對于各層中的惡意入侵和非法操作的監控、判斷更為行之有效，而且防范能力也得到了大幅度的提升，其優點它的防御能力已完全超越了前幾種類型防火墻，但劣勢也比較明顯，成本高，管理困難。

二、在網絡安全的五個體系中防火墻處于五層中的最低層，負責網絡數據的安全傳輸與認證

由于網絡的全球化和重要性，網絡安全的重要性也隨之深入人心。從發展的角度看，防火墻技術正在向其它各層的網絡安全延伸。由于網絡病毒的不斷升級，隨之其防火墻的技術與職能也在迅速的拓展。

（一）向著多級過濾技術發展網絡會向著多級過濾技術發展，多級過濾技術的定義是：采用多級過濾措施，在分組過濾（網絡層）一級，對所有的源路由分組和假冒的IP源地址進行過濾；應遵循過濾規則，過濾掉所有（傳輸層）一級，違反規則的的協議和有害數據包；在應用網關（應用層）一級，能利用不同的網關，操控和監測到Internet提供的所有服務。我們可以通過這個技術的理解上開發出更多的擴展技術。

（二）動態封包過濾技術動態封包過濾技術與傳統的數據包過濾技術相比較：傳統的數據包技術職能檢測到單個的數據包的包頭和單一的判斷信息是否轉發或丟棄，動態數據包過濾技術則是著重于連續封閉包包間的關聯性以及其出入的檢測；過濾；加密解密或者傳輸，并作進一步的用戶身份認證，他能夠深入檢查出數據包，查出內部存在的惡意行為，識別惡意數據流量，阻斷惡意攻擊的出現，并且具備識別黑客的非法掃描，有效阻斷非法的欺騙信息。

三、網絡防火墻產品發展趨勢

網絡信息技術的飛速發展，硬件設施的不斷更新，隨之帶來防火墻產品的不斷換代以及產品技術的迅速進展，數據的安全、身份的認證以及病毒阻控和入侵檢測等成為了防火墻的發展方向，其發展趨勢主要有：

（一）模式轉變。傳統的防火墻主要是用來把數據流，形成分隔開來，從而劃分出安全的管理區。普遍位于網絡的邊緣。而傳統的防火墻設計缺乏對內網惡意攻擊者的防范，而新的防火墻產品以網絡節點為保護對象，最大限度的保護對象，提高網絡安全級別，增強保護作用。

（二）技術整合。通過對防火墻技術的了解。可以更加清楚的認識各類技術的優缺點。這對于今后防火墻的技術整起到了促進的作用。

（三）性能提高。隨著網絡的飛速發展，千兆網絡也逐漸在普及，在未來防火墻產品的發展上將會有更強處理功能的防火墻問市。在硬件上，千兆防火墻的主要選擇將會為網絡處理器（Network Processor）和專用集成電路（ASIC）技術。可以通過優化存儲器等資源，使防火墻達到線速千兆。在軟件上為了能夠達到防火墻在性能上的要求，未來將會融入更多的先進技術理念并應用到實踐中去，從而做到與性能相匹配。

四、結束語

在網絡已成為人們普遍使用工具的當下，網絡安全性已成為人們探討的焦點。而作為保護網絡安全性手段之一的防火墻技術已成為人們普遍使用的手段。不僅針對于個人，也保護著企業內部的網絡安全。隨著網絡的安全性不斷的受到侵害，安全性也在不斷的更新。未來多級過濾技術、動態封包過濾技術將會運用到實戰中來。防火墻技術也將更加多元化，更加方便、快捷、安全。能夠使防火墻技術的不斷完善這不僅關系到某個領域，更會涉及到信息安全的未來。

參考文獻：

[1]馮登國.計算機通信網絡安全[M].北京:清華大學出版社,2001:104

第9篇：防火墻技術的研究范文

【關鍵詞】防火墻；網絡；安全技術

如何更好地促進網絡的有效運行，保障網絡的安全環境，在很大程度上取決于防火墻的設置。網絡安全問題成為了人們關注的焦點，防火墻可以說是解決網絡安全問題最有效方式。

1.防火墻的概念

防火墻指的是在外界網絡與本地網絡之間的一道隔離防御系統。應用防火墻最重要的目的就是通過對網絡入、出環節的控制，促使各項環節都需要經過防火墻檢查，進而有效預防網絡遭到外來因素的破壞與干擾，進一步達到保護內部網絡不受非法訪問的目的。在本質上來講，防火墻就是一種控制、隔離技術，在不安全的網絡環境中積極構建相對安全的網絡內部環境。站在邏輯層面來分析，防火墻不僅是一個限制器，還是一個分析器，防火墻要求所有網絡數據流必須經過安全計劃或策略確定，與此同時，在邏輯上對內外網絡進行分離。目前來說，有的防火墻通過軟件的方式在計算機上運行，有的防火墻以硬件形式固定在路由器中。從整體上來說，常用的防火墻分為三種：①包過濾防火墻。②服務器。③狀態監視技術。

防火墻功能具有如下功能：①提高網絡安全性能，防火墻的應用，能大幅度提升內部網絡的安全性能，降低安全風險。防火墻還能夠保護網絡避免來自路由的攻擊。防火墻能夠拒絕各種不安全因素，并通知管理員。②強化網絡安全，相對于傳統的將安全問題分散到不同主機上的方式相比較，這種集中安全管理的防火墻更加經濟、安全。③監控網絡訪問與存取，防火墻的應用，能夠有效記錄各種網絡活動的開展，并且，對于可疑性的網絡活動進行報警。能夠為網絡管理員提供全面的信息。一旦防火墻監控到可疑動作，就會自動報警，并提供攻擊與監測的具體信息。④保護內部信息不被泄露。通過防火墻對內部網絡的保護與劃分，能夠實現對內部重點網絡的保護與隔離，進一步降低重點局部網絡安全問題對于整個局域網內部的影響，有效保護內部信息不被泄露。

2.基于防火墻技術的網絡安全架構

2.1選擇防火墻

作為一種網絡完全的有效防護方式，防火墻有多種類型的實現方式。在合理選擇防火墻之前，需要全面的進行風險分析、需求分析，并進一步制定安全防范策略，針對性的選擇防護方式，盡可能保持安全政策與防護方式的統一性。

2.2全面考慮防火墻失效并進行動態維護

在評價防火墻安全性以及性能過程中，一方面需要看防火墻工作是否正常，一方面需要看起能否阻擋非法訪問或惡意攻擊。如果防火墻被攻破，其狀態是怎樣的。按照一定的級別來劃分，失效有四種情況：①在沒有受到攻破時能進行正常工作。②在受到傷害時可以重新啟動，并恢復到之前的工作界面。③禁止與關閉所有通行的數據。④關閉且允許數據繼續通行。第一種與第二種狀態比較理想化，第四種狀態最不安全。在選擇防火墻過程中，需要驗證其失效狀態，并進行準確評估。在安裝防火墻以及防火墻投入以后，需要對其運行狀態進行動態性維護，對其發展動態進行維護與跟蹤，時刻保持商家動態并與之保持聯系。一旦商家發現安全漏洞，就會積極推出補救措施，及時更新防火墻。

2.3全面指定防火墻可靠規則集

可靠規則集的制定是實現安全、成功防火墻的關鍵性步驟。如果防火墻的歸集不正確，再強大的防火墻也起不到任何作用。第一，制定安全性策略，上級管理人員制定安全防范策略，防火墻是實施這一安全防范策略的工具。在制定規則集之前，必須全面掌握安全策略。建設其包含以下內容：①內部員工訪問網絡不受限制。②外部用戶能夠使用email服務器與web服務器。③管理員能遠程訪問其系統。在實際上來說，大部分部門的安全策略要遠遠超過上述內容。第二，積極構建安全體系，要想將一項安全策略積極轉化成技術。第一個內容比較容易實現，內部網絡中的所有數據信息都允許在網絡上傳輸。對于第二項的安全策略來說比較麻煩，需要建立email服務器與web服務器，因為所有的人都能訪問email服務器與web服務器，因此，不能信任他們。鑒于此，可以將email服務器與web服務器放到DMZ中去實現。DMZ作為一個孤立的網絡，經常存放不被信任的系統，該網絡中的系統無法連接、啟動內部網絡。第三項是必須讓管理員遠程控制他人的訪問系統，要想實現這一功能，可以通過加密服務的方式進行。筆者建議在這一過程中需要加入DNS。在上述安全策略中雖然未陳述此項內容，但是，在實際運營過程中需要積極提供該服務。第三，規則次序的制定，規則次序的制定非常重要。不同的規則次序排列相同的規則，可能會深刻改變防火墻的運行情況。比如說，大部分防火墻按照順序對數據包進行檢查，收到第一個數據包與第一條規則相對應，收到第二個數據包與第二條規則相對應，一直進行對應。如果檢查到匹配選項，就會停止檢查。如果沒有找到相匹配的規則，就會拒絕這個數據包。一般來說，比較特殊的規則應該放在前面，比較普通的放在后面。通過這樣的方式，能有效避免防火墻的錯誤配置。第四，落實規則集，一旦確認了規則次數與安全防范策略，就要對規則集中的每條規則進行落實。在實際落實過程中，需要注意以下幾個關鍵點。①將不必要的防火墻默認服務切斷。②內部網絡的所有人都能出網，任何服務都被允許，與安全策略規定相吻合。③增添鎖定規則，除了管理員之外，其他人員都不能訪問防火墻。④將不匹配的數據包丟棄，且不記錄。⑤可以允許網絡用戶訪問DNS。允許內部用戶以及網絡用戶通過郵件傳遞協議訪問郵件服務器。不允許內部用戶對DMZ進行公開訪問。允許內部進行POP訪問。⑥拒絕、警告同時記錄DMZ到內部用戶之間的通話。⑦管理員能夠通過加密方式進行內部網絡的訪問。⑧將最常用規則盡可能放到規則集上部，進一步提升防火墻安全性能。

3.結語

新形勢下，加強給予防火墻墻技術的網絡安全架構探析，對于提高網絡安全具有重要意義，為此，還需要對防火墻技術進行深入探究，提高防火墻關鍵技術，保障網絡環境安全。[科]

【參考文獻】

［1］黃登璽，卿斯漢，蒙楊.防火墻核心技術的研究和高安全等級防火墻的設計[J].計算機科學，2011(02).