第一篇：信息安全學(xué)習(xí)總結(jié)6-防火墻概述

（六）防火墻概述

作者：山石

1.防火墻的概念

防火墻（Firewall）是一種用來(lái)加強(qiáng)網(wǎng)絡(luò)之間訪問(wèn)控制的特殊的網(wǎng)絡(luò)互連設(shè)備，是一種非常有效的網(wǎng)絡(luò)安全模型。核心思想是在不安全的網(wǎng)際網(wǎng)環(huán)境中構(gòu)造一個(gè)相對(duì)安全的子網(wǎng)環(huán)境。目的是為了在被保護(hù)的內(nèi)部網(wǎng)與不安全的非信任網(wǎng)絡(luò)之間設(shè)立唯一的通道，以按照事先制定的策略控制信息的流入和流出，監(jiān)督和控制使用者的操作。

防火墻可在鏈路層、網(wǎng)絡(luò)層和應(yīng)用層上實(shí)現(xiàn)，其功能的本質(zhì)特征是隔離內(nèi)外網(wǎng)絡(luò)和對(duì)進(jìn)出信息流實(shí)施訪問(wèn)控制。隔離方法可以是基于物理的，也可以是基于邏輯的。從網(wǎng)絡(luò)防御體系上看，防火墻屬于一種被動(dòng)防御的保護(hù)裝置。

2.防火墻的功能

? 網(wǎng)絡(luò)安全的屏障

? 過(guò)濾不安全的服務(wù)（內(nèi)部提供的和內(nèi)部訪問(wèn)外部的不安全服務(wù)）

? 阻斷特定的網(wǎng)絡(luò)攻擊（聯(lián)動(dòng)技術(shù)的產(chǎn)生）

? 部署NAT機(jī)制（Network Address Translation 網(wǎng)絡(luò)地址裝換）

? 提供了監(jiān)視局域網(wǎng)安全和預(yù)警的方便端點(diǎn)。提供包括安全和統(tǒng)計(jì)數(shù)據(jù)在內(nèi)的審計(jì)數(shù)據(jù)，好的防火墻還能靈活設(shè)置各種報(bào)警方式。

3.防火墻的分類

3.1.個(gè)人防火墻

個(gè)人防火墻是在操作系統(tǒng)上運(yùn)行的軟件，可為個(gè)人計(jì)算機(jī)提供簡(jiǎn)單的防火墻功能。位置是安裝在個(gè)人PC上，而不是放置在網(wǎng)絡(luò)邊界。因此，個(gè)人防火墻關(guān)心的不是一個(gè)網(wǎng)絡(luò)到另外一個(gè)網(wǎng)絡(luò)的安全，而是單個(gè)主機(jī)和與之相連接的主機(jī)或網(wǎng)絡(luò)之間的安全，考慮的并不是兩個(gè)網(wǎng)絡(luò)之間的安全問(wèn)題，與邊界防火墻不同。

3.2.軟件防火墻

作為網(wǎng)絡(luò)防火墻的軟件防火墻具有比個(gè)人防火墻更強(qiáng)的控制功能和更高的性能。不僅支持Windows系統(tǒng)，并且多數(shù)還支持Unix或Linux系統(tǒng)。個(gè)人防火墻也是一種純軟件的防火墻，但其應(yīng)用范圍較小，且只支持Windows系統(tǒng)，功能相對(duì)來(lái)說(shuō)要弱很多，并且安全性和并發(fā)連接處理能力較差。

3.3.一般硬件防火墻

這里說(shuō)的一般硬件防火墻，之所以加上“一般”二字是針對(duì)芯片級(jí)防火墻說(shuō)的了。它們最大的差別在于是否基于專用的硬件平臺(tái)。目前市場(chǎng)上大多數(shù)防火墻都是這種所謂的硬件防火墻，他們都基于PC架構(gòu)，就是說(shuō)，它們和普通的家庭用的PC沒(méi)有太大區(qū)別。在這些PC架構(gòu)計(jì)算機(jī)上運(yùn)行一些經(jīng)過(guò)裁剪和簡(jiǎn)化的操作系統(tǒng)，最常用的有老版本的Unix、Linux和FreeBSD系統(tǒng)。值得注意的是，由于此類防火墻采用的依然是別人的內(nèi)核，因此依然會(huì)受到OS（操作系統(tǒng)）本身的安全性影響。

一般硬件防火墻一般至少應(yīng)具備三個(gè)端口，分別接內(nèi)網(wǎng)，外網(wǎng)和DMZ區(qū)（非軍事化區(qū)），現(xiàn)在一些新的硬件防火墻往往擴(kuò)展了端口，常見(jiàn)四端口防火墻一般將第四個(gè)端口做為配置口、管理端口。很多防火墻還可以進(jìn)一步擴(kuò)展端口數(shù)目。

一般都采用PC架構(gòu)（就是一臺(tái)嵌入式主機(jī)），但使用的各個(gè)配件都量身定制。一般由小型的防火墻廠商開(kāi)發(fā)，或者是大型廠商開(kāi)發(fā)的中低端產(chǎn)品，應(yīng)用于中小型企業(yè)，功能比較全，但性能一般。

3.4.芯片級(jí)防火墻

采用專用芯片（非X86芯片）來(lái)處理防火墻核心策略的一種硬件防火墻，也稱為芯片級(jí)防火墻。一般采用專用集成電路（ASIC）芯片或者網(wǎng)絡(luò)處理器（NP）芯片，專有芯片促使它們比其他種類的防火墻速度更快，處理能力更強(qiáng)，性能更高。芯片級(jí)防火墻基于專門的硬件平臺(tái)，沒(méi)有操作系統(tǒng)。采用ASIC芯片的方法在國(guó)外比較流行,技術(shù)也比較成熟,做這類防火墻最出名的廠商有Net Screen、FortiNet、Cisco等。這類防火墻由于是專用OS（操作系統(tǒng)）,因此防火墻本身的漏洞比較少，不過(guò)價(jià)格相對(duì)比較高昂。

3.5.分布式防火墻

前面提到的幾種防火墻都屬于邊界防火墻（Perimeter Firewall），它無(wú)法對(duì)內(nèi)部網(wǎng)絡(luò)實(shí)現(xiàn)有效的保護(hù)。隨著人們對(duì)網(wǎng)絡(luò)安全防護(hù)要求的提高，產(chǎn)生了一種新型的防火墻體系結(jié)構(gòu)——分布式防火墻。

分布式防火墻由安全策略管理服務(wù)器[Server]以及客戶端防火

墻[Client]組成.客戶端防火墻工作在各個(gè)從服務(wù)器、工作站、個(gè)人計(jì)算機(jī)上，根據(jù)安全策略文件的內(nèi)容，依靠包過(guò)濾、特洛伊木馬過(guò)濾和腳本過(guò)濾的三層過(guò)濾檢查，保護(hù)計(jì)算機(jī)在正常使用網(wǎng)絡(luò)時(shí)不會(huì)受到惡意的攻擊，提高了網(wǎng)絡(luò)安全性。而安全策略管理服務(wù)器則負(fù)責(zé)安全策略、用戶、日志、審計(jì)等的管理。該服務(wù)器是集中管理控制中心，統(tǒng)一制定和分發(fā)安全策略，負(fù)責(zé)管理系統(tǒng)日志、多主機(jī)的統(tǒng)一管理，使終端用戶“零”負(fù)擔(dān)。

4.防火墻的局限性

（1）網(wǎng)絡(luò)的安全性通常是以網(wǎng)絡(luò)服務(wù)的開(kāi)放性和靈活性為代價(jià)的。防火墻的使用也會(huì)削弱網(wǎng)絡(luò)的功能：

? 由于防火墻的隔離作用，在保護(hù)內(nèi)部網(wǎng)絡(luò)的同時(shí)使它與外部網(wǎng)絡(luò)的信息交流受到阻礙。

? 由于在防火墻上附加各種信息服務(wù)的代理軟件，增大了網(wǎng)絡(luò)管理開(kāi)銷，還減慢了信息傳輸速率，在大量使用分布式應(yīng)用的情況下，使用防火墻是不切實(shí)際的。

（2）防火墻只是整個(gè)網(wǎng)絡(luò)安全防護(hù)體系的一部分，而且防火墻并非萬(wàn)無(wú)一失：

? 只能防范經(jīng)過(guò)其本身的非法訪問(wèn)和攻擊，對(duì)繞過(guò)防火墻的訪問(wèn)和攻擊無(wú)能為力

? 不能解決來(lái)自內(nèi)部網(wǎng)絡(luò)的攻擊和安全問(wèn)題

? 不能防止受病毒感染的文件的傳輸

? 不能防止策略配置不當(dāng)或錯(cuò)誤配置引起的安全威脅

? 不能防止自然或人為的故意破壞 ? 不能防止本身的安全漏洞的威脅

多多交流，歡迎批評(píng)指正！作者QQ：49228864

第二篇：網(wǎng)絡(luò)信息安全與防火墻技術(shù)

網(wǎng)絡(luò)信息安全與防火墻技術(shù)

鐘琛

（2012級(jí)軟件開(kāi)發(fā)（3）20150609）

摘 要：隨著計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的迅速發(fā)展，特別是互聯(lián)網(wǎng)應(yīng)用得越來(lái)越廣泛，網(wǎng)絡(luò)安全成為了社會(huì)關(guān)注的焦點(diǎn)問(wèn)題。由于網(wǎng)絡(luò)開(kāi)放的、無(wú)控制機(jī)構(gòu)的特點(diǎn)，使其安全得不到保障。社會(huì)針對(duì)計(jì)算機(jī)網(wǎng)絡(luò)安全，提出了許多保護(hù)措施，其中防火墻技術(shù)的應(yīng)用相對(duì)較為明顯，不僅顯示了高水平的安全保護(hù)，于此同時(shí)營(yíng)造了安全、可靠的運(yùn)行環(huán)境。大部分的黑客入侵事件都是因?yàn)闆](méi)有正確安裝防火墻而引起的，所以我們應(yīng)該高度重視和注意防火墻技術(shù)。因此，該文對(duì)計(jì)算機(jī)網(wǎng)絡(luò)安全進(jìn)行研究，并且分析防火墻技術(shù)的應(yīng)用。關(guān)鍵字：計(jì)算機(jī)；網(wǎng)絡(luò)技術(shù)；網(wǎng)絡(luò)安全；防火墻技術(shù)

Abstract:With the rapid development of computer network technology, particularly the Internet, network security has become focused by more and more people.As the network open, uncontrolled body characteristics, its security cannot be guaranteed.Social people put forward a number of safeguards to protect computer network security,the application of firewall technology is relatively obvious, not only shows a high level of security, atthe same time,it also create a safe and secure operating environment.Most of the hacking incident is due to they did not properly install a firewall and cause, so we should attach great importance and attention to firewall technology.Therefore this article aimed to show some study of computer network security research, and analysis the application of firewall technology.Key words: computer;network technology;network security;firework technology

隨著計(jì)算機(jī)網(wǎng)絡(luò)的飛速發(fā)展，人們的工作，學(xué)習(xí)和生活正在不斷地被計(jì)算機(jī)信息技術(shù)改變，人們的工作效率有了很大的提高，但由于計(jì)算機(jī)網(wǎng)絡(luò)的多樣性、分布不均的終端、互聯(lián)性和開(kāi)放性的特點(diǎn)，這種形式在網(wǎng)絡(luò)和網(wǎng)絡(luò)中極容易受到黑客，病毒，惡意軟件和其他意圖不明的行為攻擊，因此網(wǎng)絡(luò)信息的安全性和保密性是一個(gè)關(guān)鍵的問(wèn)題。因此，網(wǎng)絡(luò)的安全措施應(yīng)該是一個(gè)能夠面對(duì)全方位不同的威脅，只有這樣網(wǎng)絡(luò)信息的保密性、完整性和可用性才能得到保障。分析計(jì)算機(jī)網(wǎng)絡(luò)安全與防火墻技術(shù)

計(jì)算機(jī)網(wǎng)絡(luò)安全與防火墻技術(shù)之間存在密不可分的關(guān)系，防火墻技術(shù)隨著計(jì)算機(jī)網(wǎng)絡(luò)的需求發(fā)展，網(wǎng)絡(luò)安全反映計(jì)算機(jī)網(wǎng)絡(luò)安全和防火墻技術(shù)之間的技術(shù)優(yōu)勢(shì)。計(jì)算機(jī)網(wǎng)絡(luò)安全與防火墻技術(shù)的分析如下： 1.1計(jì)算機(jī)網(wǎng)絡(luò)安全

安全是計(jì)算機(jī)網(wǎng)絡(luò)運(yùn)行的主要原則，隨著現(xiàn)代社會(huì)的信息化發(fā)展，計(jì)算機(jī)網(wǎng)絡(luò)已經(jīng)得到了推進(jìn)，但是其在操作過(guò)程中依然出現(xiàn)安全威脅，影響計(jì)算機(jī)網(wǎng)絡(luò)的安全級(jí)別，計(jì)算機(jī)網(wǎng)絡(luò)安全威脅包括：

1.1.1 數(shù)據(jù)威脅

在計(jì)算機(jī)網(wǎng)絡(luò)中數(shù)據(jù)是主體，在運(yùn)行的過(guò)程中數(shù)據(jù)存在許多漏洞，從而導(dǎo)致計(jì)算機(jī)網(wǎng)絡(luò)的安全問(wèn)題。例如：一個(gè)計(jì)算機(jī)網(wǎng)絡(luò)節(jié)點(diǎn)的數(shù)據(jù)，比較容易篡改，破壞數(shù)據(jù)的完整性，攻擊者利用數(shù)據(jù)內(nèi)容的一部分，窺探內(nèi)網(wǎng)數(shù)據(jù)、泄漏數(shù)據(jù)，利用計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)漏洞，植入木馬、病毒，導(dǎo)致系統(tǒng)數(shù)據(jù)癱瘓，無(wú)法支持計(jì)算機(jī)網(wǎng)絡(luò)安全的運(yùn)行。1.1.2 外力破壞

外力破壞是計(jì)算機(jī)網(wǎng)絡(luò)安全運(yùn)行不可忽視的危險(xiǎn)部分，最主要的是人為破壞，如：病毒、木馬的攻擊等。目前，這種類型對(duì)計(jì)算機(jī)網(wǎng)絡(luò)的影響比較大，一些網(wǎng)站病毒、郵件病毒等方式的攻擊者，對(duì)用戶的計(jì)算機(jī)進(jìn)行攻擊、病毒植入時(shí)，大多是因?yàn)橛脩舨僮髁?xí)慣的不正確，從而使計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)出現(xiàn)漏洞。例如：用戶瀏覽外部網(wǎng)站很長(zhǎng)一段時(shí)間，但不能對(duì)病毒進(jìn)行定期處理，攻擊者可以很容易地找出用戶的瀏覽習(xí)慣，添加此類鏈接的特性攻擊網(wǎng)站，當(dāng)用戶點(diǎn)擊該網(wǎng)站時(shí)，病毒立即開(kāi)始攻擊客戶的計(jì)算機(jī)。1.1.3 環(huán)境威脅

在共享環(huán)境中的計(jì)算機(jī)網(wǎng)絡(luò)，資源受到威脅。環(huán)境是計(jì)算機(jī)網(wǎng)絡(luò)操作的基礎(chǔ)，用戶在訪問(wèn)外部網(wǎng)絡(luò)時(shí)必須經(jīng)過(guò)網(wǎng)絡(luò)環(huán)境，所以是有顯著的環(huán)境威脅的，當(dāng)用戶訪問(wèn)網(wǎng)絡(luò)時(shí)，該攻擊在網(wǎng)絡(luò)環(huán)境中非常強(qiáng)，攻擊者通過(guò)網(wǎng)絡(luò)環(huán)境設(shè)置主要攻擊范圍，特別是對(duì)網(wǎng)絡(luò)環(huán)境內(nèi)交互的數(shù)據(jù)包進(jìn)行攻擊，保護(hù)內(nèi)部網(wǎng)絡(luò)的結(jié)構(gòu)受到損壞，對(duì)環(huán)境的威脅，必須發(fā)揮防火墻技術(shù)的全部功能。

2防火墻的基本原理 2.1防火墻的概念

防火墻指的是一個(gè)由軟件和硬件設(shè)備組合而成、在內(nèi)部網(wǎng)和外部網(wǎng)之間、專用網(wǎng)與公共網(wǎng)之間的界面上構(gòu)造的保護(hù)屏障。它按照規(guī)定的安全策略對(duì)網(wǎng)絡(luò)之間進(jìn)行傳輸?shù)臄?shù)據(jù)包進(jìn)行檢查，然后決定是否允許該通信，將內(nèi)部網(wǎng)對(duì)外部網(wǎng)屏蔽信息、運(yùn)行狀況和結(jié)構(gòu)，從而使內(nèi)部網(wǎng)絡(luò)達(dá)到保護(hù)內(nèi)部網(wǎng)絡(luò)的信息不被外部非授權(quán)用戶訪問(wèn)和過(guò)濾不良信息目的。

防火墻本質(zhì)上是一種隔離控制技術(shù)，其核心思想是在網(wǎng)絡(luò)中不安全的環(huán)境，構(gòu)建一個(gè)相對(duì)安全的內(nèi)部網(wǎng)絡(luò)環(huán)境。從邏輯上講它既是一個(gè)解析器又是一個(gè)限制器，它要求所有傳入和傳出的網(wǎng)絡(luò)數(shù)據(jù)流必須驗(yàn)證和授權(quán)并且將外部網(wǎng)絡(luò)和內(nèi)部網(wǎng)絡(luò)在邏輯上分離出來(lái)。

防火墻可以全部是硬件，也可以全部是軟件，它也可以是硬件和軟件兩者。防火墻與內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)（互聯(lián)網(wǎng)）之間的關(guān)系如圖1。

圖1 2.2 防火墻的作用

2.2.1 “木桶”理論在網(wǎng)絡(luò)安全的應(yīng)用

網(wǎng)絡(luò)安全概念有一個(gè)“木桶”理論：一只水桶能裝水并不取決于桶有多高，而是取決于高度和最短的那塊木板的桶組成。防火墻理論的應(yīng)用是“木桶”。在一個(gè)環(huán)境中沒(méi)有防火墻，網(wǎng)絡(luò)安全只能體現(xiàn)在許多主機(jī)的功能，所有主機(jī)都必須共同努力，以實(shí)現(xiàn)更高程度的安全性。防火墻可以簡(jiǎn)化安全管理，網(wǎng)絡(luò)安全是加強(qiáng)防火墻系統(tǒng)，而不是分布在內(nèi)部網(wǎng)絡(luò)中的所有主機(jī)上。

2.2.2 內(nèi)部網(wǎng)絡(luò)安全性的強(qiáng)化

防火墻可以限制未授權(quán)的用戶，如防止黑客或者破壞網(wǎng)絡(luò)的人進(jìn)入內(nèi)部網(wǎng)絡(luò)，不讓不安全的脆弱性的服務(wù)（如NFS）和沒(méi)有進(jìn)行授權(quán)的信息或通信進(jìn)出網(wǎng)絡(luò)，并抵抗從各個(gè)地方和路線來(lái)的攻擊。

2.2.3 將網(wǎng)絡(luò)存取和訪問(wèn)進(jìn)行記錄、監(jiān)控

作為一個(gè)單一的網(wǎng)絡(luò)接入點(diǎn)，所有傳入和傳出的信息必須通過(guò)防火墻，防火墻是非常適合收集系統(tǒng)和網(wǎng)絡(luò)的使用和誤用，并且將記錄信息。在防火墻上可以很容易地監(jiān)控網(wǎng)絡(luò)安全，并且報(bào)警。

2.2.4 限制內(nèi)部用戶訪問(wèn)特殊站點(diǎn)

防火墻來(lái)確定合法用戶的用戶認(rèn)證。通過(guò)事先確定的檢查策略，以決定哪些內(nèi)部用戶可以使用該服務(wù)，可以訪問(wèn)某些網(wǎng)站。2.2.5 限制暴露用戶點(diǎn)，阻止內(nèi)部攻擊

用防火墻將內(nèi)部網(wǎng)絡(luò)進(jìn)行劃分，它使網(wǎng)段隔離，以防止網(wǎng)絡(luò)問(wèn)題通過(guò)整個(gè)網(wǎng)絡(luò)，這限制了本地焦點(diǎn)或敏感網(wǎng)絡(luò)安全問(wèn)題的全球網(wǎng)絡(luò)上傳播的影響，同時(shí)保護(hù)網(wǎng)絡(luò)從該網(wǎng)絡(luò)中的其他網(wǎng)絡(luò)攻擊

2.2.6 網(wǎng)絡(luò)地址轉(zhuǎn)換

防火墻部署為一個(gè)NAT邏輯地址，因此防火墻可以使地址空間短缺的問(wèn)題得到緩解，并當(dāng)一個(gè)組織變革帶來(lái)的ISP重新編號(hào)時(shí)消除麻煩。作為一個(gè)單一的網(wǎng)絡(luò)接入點(diǎn)，所有傳入和傳出的信息必須經(jīng)過(guò)防火 2.2.7 虛擬私人網(wǎng)絡(luò)

防火墻還支持互聯(lián)網(wǎng)服務(wù)功能的企業(yè)網(wǎng)絡(luò)技術(shù)體系VPN。VPN將企業(yè)在局域網(wǎng)還是在世界各地的專用子網(wǎng)的地理分布，有機(jī)地聯(lián)系起來(lái)，形成一個(gè)整體。不僅省去了專用通信線路，而且還提供技術(shù)支持，信息共享。3防火墻的類型

在設(shè)計(jì)中的防火墻，除了安全策略，還要確定防火墻類型和拓?fù)浣Y(jié)構(gòu)。根據(jù)所用不同的防火墻技術(shù)，我們可以分為四個(gè)基本類型：包過(guò)濾型、網(wǎng)絡(luò)地址轉(zhuǎn)換--NAT，代理服務(wù)器型和監(jiān)視器類型。3.1包過(guò)濾型

包過(guò)濾防火墻產(chǎn)品是基于其技術(shù)網(wǎng)絡(luò)中的子傳輸技術(shù)在初始產(chǎn)品。網(wǎng)絡(luò)上的數(shù)據(jù)傳輸是以“包”為單位的，數(shù)據(jù)被劃分成大小相當(dāng)?shù)陌?，每個(gè)包將包含特定信息，如地址數(shù)據(jù)源，目的地址，TCP / UDP源端口和目的端口等。防火墻通過(guò)讀取地址信息來(lái)確定“包”是否從受信任的安全站點(diǎn)，如果發(fā)現(xiàn)來(lái)自不安全站點(diǎn)的數(shù)據(jù)包，防火墻將這些數(shù)據(jù)阻擋在外部。3.2網(wǎng)絡(luò)地址轉(zhuǎn)化--NAT 網(wǎng)絡(luò)地址轉(zhuǎn)換是把IP地址轉(zhuǎn)換成臨時(shí)的、外部的，注冊(cè)的D類地址的標(biāo)準(zhǔn)方法。它允許擁有私有IP地址的內(nèi)網(wǎng)訪問(wèn)互聯(lián)網(wǎng)。這也意味著，用戶不能獲得每個(gè)設(shè)備的IP地址注冊(cè)為網(wǎng)絡(luò)。當(dāng)內(nèi)網(wǎng)通過(guò)安全的網(wǎng)卡訪問(wèn)外網(wǎng)時(shí)，會(huì)有一個(gè)映射記錄產(chǎn)生。系統(tǒng)將外出的源地址和源端口映射為一個(gè)偽裝的地址和端口，所以地址和端口通過(guò)不安全網(wǎng)絡(luò)卡和外部網(wǎng)絡(luò)連接的偽裝，所以它隱藏了真正的內(nèi)部網(wǎng)絡(luò)地址。3.2代理(Proxy)型

代理防火墻同樣也可以被稱為代理服務(wù)器，它比包過(guò)濾產(chǎn)品更加安全，并已開(kāi)始開(kāi)發(fā)應(yīng)用程序?qū)?。在客戶端和服?wù)器之間的代理服務(wù)器位于，完全阻斷兩者的數(shù)據(jù)交換。從客戶端的角度來(lái)看，代理服務(wù)器充當(dāng)真實(shí)服務(wù)器，從服務(wù)器運(yùn)行時(shí)，代理服務(wù)器是一個(gè)真正的客戶端。當(dāng)客戶端需要使用服務(wù)器上的數(shù)據(jù)，第一數(shù)據(jù)請(qǐng)求發(fā)送到代理服務(wù)器，然后代理服務(wù)器獲得數(shù)據(jù)到服務(wù)器響應(yīng)請(qǐng)求，然后由代理服務(wù)器將數(shù)據(jù)發(fā)送給客戶端。由于在外部系統(tǒng)與內(nèi)部服務(wù)器之間沒(méi)有直接的數(shù)據(jù)聯(lián)通，這對(duì)企業(yè)網(wǎng)絡(luò)系統(tǒng)來(lái)說(shuō)，外部的惡意破壞不足以傷害到。3.4監(jiān)測(cè)型

監(jiān)控防火墻是新一代的產(chǎn)品，最初的防火墻定義實(shí)際上已經(jīng)被這一技術(shù)超越了。防火墻可以監(jiān)視每一層活性，實(shí)時(shí)監(jiān)控?cái)?shù)據(jù)，在監(jiān)視器防火墻上的數(shù)據(jù)的分析的基礎(chǔ)上，可以有效地確定各層的非法侵入。與此同時(shí)，這種檢測(cè)防火墻產(chǎn)品一般還具有分布式探測(cè)器，這些探測(cè)器放置在節(jié)點(diǎn)、各種應(yīng)用服務(wù)器和其它網(wǎng)絡(luò)之間，不僅可以檢測(cè)來(lái)自網(wǎng)絡(luò)外部的攻擊，同時(shí)對(duì)從內(nèi)部惡意破壞也有很強(qiáng)的的預(yù)防效果。據(jù)權(quán)威部門計(jì)算，在攻擊的網(wǎng)絡(luò)系統(tǒng)中，從網(wǎng)絡(luò)中有相當(dāng)比例的是從內(nèi)部網(wǎng)絡(luò)開(kāi)始的。因此，監(jiān)測(cè)的防火墻不僅超越了防火墻的傳統(tǒng)定義，而且在安全性也超越了前兩代產(chǎn)品。雖然監(jiān)測(cè)防火墻的安全方面已經(jīng)超出包過(guò)濾和代理防火墻，但由于監(jiān)測(cè)防火墻昂貴的實(shí)施技術(shù)，而且不易于管理，所以現(xiàn)在在實(shí)際使用中的防火墻產(chǎn)品仍然在第二代代理型產(chǎn)品，但在某些方面已經(jīng)開(kāi)始使用監(jiān)控防火墻?；谌婵紤]了系統(tǒng)成本和安全技術(shù)的成本，用戶可以選擇性地使用某些技術(shù)進(jìn)行監(jiān)控。這不僅保證了網(wǎng)絡(luò)的安全性要求，而且還可以有效地控制總擁有成本的安全系統(tǒng)。4 結(jié)束語(yǔ)

防火墻是新型的重要的Internet安全措施，在當(dāng)前社會(huì)得到了充分的認(rèn)可和廣泛的應(yīng)用，并且由于防火墻不僅僅限于TCP / IP 協(xié)議的特點(diǎn)，也讓它漸漸地在除了Internet之外其他的領(lǐng)域也有了更好的發(fā)展。但是防火墻只是保護(hù)網(wǎng)絡(luò)安全和網(wǎng)絡(luò)政策和策略中的一部分，所以這并不能解決網(wǎng)絡(luò)安全中的所有問(wèn)題。防火墻如果要保護(hù)網(wǎng)絡(luò)安全，那么這和許多因素有關(guān)，要想得到一個(gè)既高效又通用、安全的防火墻，通常要將各種各樣的防火墻技術(shù)和其它網(wǎng)絡(luò)安全技術(shù)結(jié)合在一起，并且配合要有一個(gè)可行的組織和管理措施，形成深度有序的安全防御體系。

參考文獻(xiàn)

[1]宿潔，袁軍鵬.防火墻技術(shù)及其進(jìn)展，計(jì)算機(jī)工程與應(yīng)用（期刊論文），2004 [2]馬利，梁紅杰.計(jì)算機(jī)網(wǎng)絡(luò)安全中的防火墻技術(shù)應(yīng)用研究,電腦知識(shí)與技術(shù)，2014 [3]解靜靜.網(wǎng)絡(luò)信息安全與防火墻技術(shù)，計(jì)算機(jī)光盤軟件與應(yīng)用，2014 [4]陳倩.淺析網(wǎng)絡(luò)安全及防火墻技術(shù)在網(wǎng)絡(luò)安全中的應(yīng)用，網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2014 [5]趙子舉.淺談入侵檢測(cè)與防火墻技術(shù)，電子世界，2014

第三篇：防火墻總結(jié)

大石頭中心校

構(gòu)筑校園消防安全“防火墻”工作總結(jié)

學(xué)校消防安全工作是學(xué)校綜合治理的重要內(nèi)容,關(guān)系到學(xué)校財(cái)產(chǎn)安全和教師員工的生命安全。對(duì)于這項(xiàng)工作,我們從來(lái)不敢有絲毫懈怠與麻痹大意。為了深入貫徹實(shí)施《中華人民共和國(guó)消防法》，切實(shí)加強(qiáng)火災(zāi)防控工作，創(chuàng)新校園消防安全管理模式，提升學(xué)校消防安全管理水平，提高我校師生消防安全意識(shí)和自救自護(hù)能力，保證全校師生的人身、財(cái)產(chǎn)安全，根據(jù)市政府統(tǒng)一部署和《敦化市構(gòu)筑社會(huì)消防安全“防火墻”工程實(shí)施方案》，根據(jù)市教育局的要求，我校全面深入制定計(jì)劃，在實(shí)際工作中能堅(jiān)持做到不斷總結(jié)經(jīng)驗(yàn)教訓(xùn),不斷改進(jìn)和完善工作方法,提高安全防范能力,將事故隱患減少到最低指數(shù),最大可能的提供安全保障,確保學(xué)校發(fā)展不受影響。以下是構(gòu)筑校園消防安全“防火墻”三年工作總結(jié)：

一、宣傳發(fā)動(dòng)，統(tǒng)一思想，營(yíng)造創(chuàng)建學(xué)校消防安全工作氛圍

學(xué)校在學(xué)生安全方面所采取的一系列措施，充分利用學(xué)校的校園網(wǎng)、宣傳櫥窗、黑板報(bào)、學(xué)校廣播等宣傳陣地進(jìn)行大力宣傳。對(duì)師生進(jìn)行交通安全、防電、防火、預(yù)防食物中毒、預(yù)防手足口病等教育，學(xué)校建立了義務(wù)消防隊(duì)，對(duì)有關(guān)人員定期培訓(xùn)，熟悉消防防備，掌握火警處置及啟動(dòng)消防設(shè)施設(shè)備的程序和方法。我校加大“防火墻”工程主題的宣傳，普及消防知識(shí)，組織學(xué)生進(jìn)行了消防安全演練，教給學(xué)會(huì)正確使用滅火器以及掌握逃生的方法，使每一位學(xué)生普遍掌握火警電話，知道如何報(bào)警等基本常識(shí)。另外學(xué)校加強(qiáng)了值班管理制度，1

值班領(lǐng)導(dǎo)和教師要提前到崗，嚴(yán)禁校外人員進(jìn)入學(xué)校，從而保證學(xué)生的安全。

通過(guò)學(xué)習(xí)宣傳，大家統(tǒng)一了思想，提高了認(rèn)識(shí)。因此，把安全防范和教學(xué)質(zhì)量作為學(xué)校一切工作中最主要的兩件事來(lái)抓，做到“兩手都硬”。同時(shí)重視并抓好學(xué)校消防安全工作。近幾年，教學(xué)資源和教學(xué)設(shè)施還不能完全跟上變化的形勢(shì)，還不能滿足教學(xué)的需要。因此，校園不安全因素較以前增多，校園發(fā)生安全事故的可能性比以前大大增加。這就給學(xué)校的消防安全工作提出了更高的要求，決不能掉以輕心，麻痹大意。再者，創(chuàng)建平安學(xué)校是實(shí)踐“三個(gè)代表”重要思想的具體體現(xiàn)，這對(duì)于堅(jiān)持社會(huì)主義辦學(xué)方向，全面貫徹黨的教育方針，構(gòu)建社會(huì)主義和諧社會(huì)，培養(yǎng)合格的社會(huì)主義事業(yè)建設(shè)者和接班人同樣具有重要意義。

在教育活動(dòng)中，每學(xué)期學(xué)校做到了“六個(gè)一”即：一份計(jì)劃、一次國(guó)旗下講話、一次安全知識(shí)講座、一堂主題班會(huì)、一次圖片展覽、一期黑板報(bào)。同時(shí)，對(duì)創(chuàng)建中的典型事例和經(jīng)驗(yàn)做法及時(shí)利用校廣播加以宣傳報(bào)道，積極營(yíng)造創(chuàng)建學(xué)校消防安全工作的良好氛圍。

二、健全組織，落實(shí)責(zé)任，探索創(chuàng)建學(xué)校消防安全工作新機(jī)制

學(xué)校領(lǐng)導(dǎo)高度重視學(xué)校消防安全工作，成立了由張校長(zhǎng)總負(fù)責(zé)的消防安全工作領(lǐng)導(dǎo)小組。

組 長(zhǎng)：張 波（校長(zhǎng)）負(fù)責(zé)學(xué)校的全面安全防火工作

副組長(zhǎng)：趙永成（德育副校長(zhǎng)）協(xié)助校長(zhǎng)做好學(xué)校安全防火工作、各領(lǐng)導(dǎo)辦公室安全防火工作

胡學(xué)文（教學(xué)副校長(zhǎng)）協(xié)助校長(zhǎng)做好學(xué)校安全防火工作、各教師辦公室安全防火工作

劉書昌（工會(huì)主席）具體負(fù)責(zé)學(xué)校安全防火工作

組 員：陳 贊（支部副書記）負(fù)責(zé)宿舍、衛(wèi)生室、圖書室、檔案室、會(huì)議室安全防火工作

高永清(教導(dǎo)主任)負(fù)責(zé)實(shí)驗(yàn)室、微機(jī)室、多功能室安全防火工作

宋立剛（少先隊(duì)輔導(dǎo)員）負(fù)責(zé)各班級(jí)安全防火工作 李志強(qiáng)（總務(wù)主任）負(fù)責(zé)食堂、商店、庫(kù)房、村小學(xué)安全防火工作

朱 哲（保衛(wèi)干事）負(fù)責(zé)警務(wù)室、值班室安全防火工作 武吉富（保衛(wèi)科長(zhǎng)）負(fù)責(zé)學(xué)校安全防火檢

貫徹實(shí)施《消防法》和《吉林省消防條例》，認(rèn)真落實(shí)“政府統(tǒng)一領(lǐng)導(dǎo)、部門依法監(jiān)管、單位全面負(fù)責(zé)、公民積極參與”的消防工作原則，學(xué)校把消防安全工作具體任務(wù)落實(shí)到班級(jí)負(fù)責(zé)人，按照“誰(shuí)主管，誰(shuí)負(fù)責(zé)”的原則，各層次負(fù)責(zé)人分別和下屬各部門責(zé)任人簽訂消防安全責(zé)任書。這樣明確分工，責(zé)任到人，使全校創(chuàng)建最安全學(xué)校工作“事事有人做，人人有事做”，形成了“上下聯(lián)動(dòng)，齊抓共管” 的管理格局。學(xué)校消防安全工作領(lǐng)導(dǎo)小組具體統(tǒng)籌、組織、協(xié)調(diào)學(xué)校消防安全工作的日常督查、記載等工作。做到工作有計(jì)劃、有布置、有檢查。把此項(xiàng)工作落到實(shí)處，推進(jìn)學(xué)校消防安全管理創(chuàng)新，前移火災(zāi)預(yù)防關(guān)口，提升學(xué)校火災(zāi)防控水平

三、完善制度，獎(jiǎng)懲結(jié)合，落實(shí)創(chuàng)建各項(xiàng)措施

1、落實(shí)消防安全責(zé)任制：制定各崗位消防安全職責(zé)，學(xué)校逐級(jí)與消防安全責(zé)任人之間簽訂消防安全責(zé)任書。

2、建立、完善和落實(shí)消防安全規(guī)章制度：學(xué)校建立了《消防安 3

全宣傳教育制度》《防火巡查、檢查制度》《安全疏散設(shè)施管理制度》《消防器材、設(shè)施維護(hù)保養(yǎng)制度》、《滅火和應(yīng)急疏散預(yù)案演練制度》。按照“安全第一，預(yù)防為主”的原則，要求各責(zé)任部門、責(zé)任人對(duì)安全工作做到“每天必查，有查必記，有患必除”，保證安全工作一項(xiàng)不漏，一個(gè)盲點(diǎn)不留，一個(gè)隱患不存。

3、堅(jiān)持落實(shí)學(xué)校消防安全工作的考核機(jī)制。

4、完善消防基礎(chǔ)設(shè)施：按國(guó)家規(guī)范配置滅火器，電器產(chǎn)品的安裝、使用和線路敷設(shè)符合國(guó)家規(guī)范，無(wú)私拉亂接電氣線路，學(xué)生宿舍內(nèi)無(wú)違章用電的行為，疏散通道暢通，學(xué)生宿舍外窗無(wú)影響安全疏散和應(yīng)急救援的柵欄，圖書室、學(xué)校宿舍置火災(zāi)應(yīng)急照明。

5、加強(qiáng)防火巡查、檢查，及時(shí)消防火災(zāi)隱患：學(xué)校每月組織開(kāi)展一次防火檢查。防火巡查對(duì)查出的火災(zāi)隱患要及時(shí)整改。

6、制定應(yīng)急疏散預(yù)案，適時(shí)組織開(kāi)展演練：學(xué)校每年組織開(kāi)展1-2次應(yīng)急疏散預(yù)案演練。

四、以人為本，“三防”齊抓，構(gòu)建創(chuàng)建工作網(wǎng)絡(luò)、加強(qiáng)消防消安全宣傳教育工作，強(qiáng)化“四個(gè)能力”建設(shè)。

1、將消防安全教育納入學(xué)校的日常教學(xué)內(nèi)容，每個(gè)學(xué)期每個(gè)班級(jí)都安排2節(jié)消防安全知識(shí)課。

2、每個(gè)學(xué)期組織學(xué)生接受一次消防安全教育。

3、在校園內(nèi)或?qū)W生宿舍都有永久性消防安全宣傳標(biāo)語(yǔ)，在校園內(nèi)開(kāi)辟1個(gè)消防安全教育宣傳欄。

4、學(xué)校組織開(kāi)展了“消防安全宣傳教育月”活動(dòng)。向?qū)W生傳授日常防火、火場(chǎng)逃生自救等消防常識(shí)。

五、輸導(dǎo)結(jié)合，形式多樣，重視法制宣教工作

采取多種形式，開(kāi)展安全教育。學(xué)校利用升旗、班會(huì)、健康教育課對(duì)學(xué)生進(jìn)行安全意識(shí)教育和自救自護(hù)的常識(shí)教育。組織師生開(kāi)展消防疏散演練活動(dòng)，教會(huì)學(xué)生火災(zāi)逃生自救的方法。

學(xué)校消防安全工作是學(xué)校工作的重要組成部分。做好這項(xiàng)工作是維護(hù)穩(wěn)定大局的需要，是學(xué)校生存、發(fā)展的需要。我校消防安全工作，取得了一些成績(jī)，但與上級(jí)領(lǐng)導(dǎo)的要求相比，與日益變化的客觀形勢(shì)要求相比還存在一定的差距。三年“防火墻”工程雖已結(jié)束，但我們絕不會(huì)松懈、放松警惕，我們?nèi)詫⒁蝗缂韧哟蠊ぷ髁Χ?，促使我校消防安全學(xué)校工作再上新的臺(tái)階。

2012年10月28日

第四篇：信息安全技術(shù)學(xué)習(xí)總結(jié)

信息安全技術(shù)學(xué)習(xí)總結(jié)

暑假期間，為了提高自己的專業(yè)技能，學(xué)習(xí)相關(guān)信息安全領(lǐng)域知識(shí)和信息安全專業(yè)建設(shè)經(jīng)驗(yàn)，我申請(qǐng)參加了信息安全技術(shù)“國(guó)培”。在承辦學(xué)校的組織和安排下，企業(yè)老師、學(xué)校專業(yè)建設(shè)專家、骨干教師等按階段給我們授課，指導(dǎo)我們實(shí)踐。忙碌緊張的近一月時(shí)間彈指一揮間，在這短短一個(gè)月的時(shí)間里，通過(guò)承辦單位提供的學(xué)習(xí)、交流平臺(tái)，得以和同行與專家共同交流我們收獲頗豐。通過(guò)聆聽(tīng)企業(yè)專家和老師的授課，使我獲益匪淺，提高了自身的專業(yè)水平與知識(shí)素養(yǎng)，完善了教學(xué)理念。他們以豐富的案例和淵博的知識(shí)及精湛的理論闡述，給了我強(qiáng)烈的感染和深深的理論引領(lǐng)，使我每一天都有新的收獲。

“國(guó)培計(jì)劃”不僅給了我一次難得的學(xué)習(xí)機(jī)會(huì)，也使我結(jié)交了一群優(yōu)秀的同行朋友，一起探討了不少疑惑，經(jīng)過(guò)這一階段的學(xué)習(xí)，我受益匪淺，為今后的教學(xué)和專業(yè)建設(shè)打下了扎實(shí)的基礎(chǔ)。

近一個(gè)月的學(xué)習(xí)，企業(yè)教師和學(xué)院的老師為我們系統(tǒng)的講解了數(shù)據(jù)存儲(chǔ)、數(shù)據(jù)安全及數(shù)據(jù)恢復(fù)等方面的內(nèi)容。讓我們了解了數(shù)據(jù)存儲(chǔ)技術(shù)最新的發(fā)展，數(shù)據(jù)存儲(chǔ)在大數(shù)據(jù)、虛擬化和云計(jì)算等方面的應(yīng)用。結(jié)合實(shí)例讓我們學(xué)習(xí)了數(shù)據(jù)存儲(chǔ)方面的知識(shí)，raid技術(shù)，san，nas，集群等最新的數(shù)據(jù)存儲(chǔ)技術(shù)。通過(guò)實(shí)踐也讓我們接觸了硬盤數(shù)據(jù)恢復(fù)等技能。并初步掌握了硬盤數(shù)據(jù)恢復(fù)技術(shù)。

在這個(gè)快速發(fā)展的社會(huì)，信息技術(shù)的高速發(fā)展和社會(huì)的瞬息萬(wàn)變，信息安全越來(lái)越重要。我們只有不斷的學(xué)習(xí)，不斷地更新陳舊的知識(shí)才能教書和育人，進(jìn)行專業(yè)建設(shè)、課程建設(shè)?？傊?，在今后的教學(xué)工作中，我會(huì)把所學(xué)信息安全相關(guān)知識(shí)應(yīng)用到工作實(shí)際中去，并繼續(xù)努力學(xué)習(xí)相關(guān)知識(shí)技術(shù)，好好鉆研教學(xué)業(yè)務(wù)，讓自己理論水平更高、實(shí)踐能力更強(qiáng)，發(fā)展進(jìn)步更快。“學(xué)無(wú)止境”，教書育人，教育工作者路很長(zhǎng)，職教工作者更應(yīng)努力先行，盡力而為，完善自我，施益社會(huì)！

第五篇：信息安全原理及應(yīng)用_期末大作業(yè)_防火墻系統(tǒng)

摘要

防火墻技術(shù)可以很好的保障計(jì)算機(jī)網(wǎng)絡(luò)安全，為正常運(yùn)行創(chuàng)造條件。對(duì)于一個(gè)網(wǎng)絡(luò)安全防御系統(tǒng)而言，防火墻往往被看做是防御的第一層，可見(jiàn)防火墻技術(shù)在網(wǎng)絡(luò)安全的重要性。

關(guān)鍵詞：網(wǎng)絡(luò)安全；防火墻技術(shù)；重要性

1/9

Abstract Firewall technology can be very good to protect the computer network security, to create conditions for the normal operation.For a network security defense system, the firewall is often seen as the first layer of defense, visible firewall technology in network security.Keyword:Network security;firewall technology;importance

2/9 目錄

摘要..................................................................................................................................................1 Abstract.............................................................................................................................................2 前言..................................................................................................................................................4

一、計(jì)算機(jī)網(wǎng)絡(luò)安全問(wèn)題...............................................................................................................4

二、防火墻的基本介紹...................................................................................................................4

2.1.防火墻的定義.....................................................................................................................4 2.2防火墻的實(shí)現(xiàn)技術(shù)分類.............................................................................................................5 2.3 防火墻的體系結(jié)構(gòu)....................................................................................................................5

三、防火墻技術(shù)的重要性...............................................................................................................6

3.1 網(wǎng)絡(luò)存取訪問(wèn)的統(tǒng)計(jì)與記錄............................................................................................6 3.2 控制特殊站點(diǎn)的訪問(wèn)........................................................................................................6 3.3 控制不安全服務(wù)................................................................................................................6 3.4集中安全保護(hù)...................................................................................錯(cuò)誤！未定義書簽。

四、防火墻技術(shù)的應(yīng)用...................................................................................................................6

4.1 應(yīng)用于網(wǎng)絡(luò)安全的屏障....................................................................................................7 4.2 應(yīng)用于網(wǎng)絡(luò)安全策略中....................................................................................................7 4.3 應(yīng)用于監(jiān)控審計(jì)中..........................................................................錯(cuò)誤！未定義書簽。4.4 應(yīng)用于內(nèi)部信息的保障中................................................................................................7 4.5 應(yīng)用于數(shù)據(jù)包過(guò)濾中........................................................................................................8 4.6 應(yīng)用于日志記錄與事件通知............................................................................................8

五、結(jié)語(yǔ).........................................................................................................錯(cuò)誤！未定義書簽。參考文獻(xiàn).........................................................................................................錯(cuò)誤！未定義書簽。

3/9

前沿

防火墻是目前應(yīng)用非常廣泛且效果良好的信息安全技術(shù)，可以防御網(wǎng)絡(luò)中的各種威脅，并且做出及時(shí)的響應(yīng)，將那些危險(xiǎn)的連接和攻擊行為隔絕在外，從而降低網(wǎng)絡(luò)的整體風(fēng)險(xiǎn)。

自從20世紀(jì)90年代進(jìn)入市場(chǎng)以來(lái)，防火墻技術(shù)經(jīng)過(guò)20年的發(fā)展已經(jīng)經(jīng)歷了實(shí)質(zhì)性的改變，從早期的包過(guò)濾設(shè)備演變?yōu)槟壳皬?fù)雜的網(wǎng)絡(luò)過(guò)濾系統(tǒng)。Internet的蓬勃發(fā)展所帶來(lái)的安全問(wèn)題，極大的促進(jìn)了防火墻技術(shù)的發(fā)展，使得今天的防火墻在過(guò)濾特性上變得更加復(fù)雜，增加了諸如狀態(tài)過(guò)濾、虛擬專用網(wǎng)、入侵檢測(cè)系統(tǒng)、組播路由選擇、動(dòng)態(tài)主機(jī)配置協(xié)議服務(wù)和很多其他特性。

一、計(jì)算機(jī)網(wǎng)絡(luò)安全問(wèn)題

在信息技術(shù)的推進(jìn)下，各個(gè)領(lǐng)域都滲透了互聯(lián)網(wǎng)技術(shù)，不僅對(duì)人們的觀念和生活方式起到了一定的影響，同時(shí)也對(duì)社會(huì)面貌及其形態(tài)意識(shí)產(chǎn)生的作用。但是人們的正常生活和工作也受到了電磁泄露及其黑客攻擊的干擾，這也就是所謂的網(wǎng)絡(luò)安全問(wèn)題。該問(wèn)題的出現(xiàn)是有人故意或者是無(wú)意攻擊的網(wǎng)絡(luò)。在操作中由于操作者的安全意識(shí)缺乏或者是操作口令錯(cuò)誤，就導(dǎo)致了信息的泄露，從而威脅到了整個(gè)網(wǎng)絡(luò)安全。與此同時(shí)網(wǎng)絡(luò)安全也受到了人為惡意攻擊的威脅，因此，競(jìng)爭(zhēng)者和計(jì)算機(jī)黑客的惡意攻擊對(duì)計(jì)算機(jī)網(wǎng)絡(luò)安全都會(huì)造成影響。要想使用防火墻技術(shù)解決計(jì)算機(jī)網(wǎng)絡(luò)安全問(wèn)題，就必須了解防火墻的基本信息，明白其重要性。

二、防火墻的基本介紹

2.1防火墻的定義

防火墻的明確定義來(lái)自AT&T公司的兩位工程師Willam Cheswick和Steven Beellovin。防火墻是位于兩個(gè)（或多個(gè)）網(wǎng)絡(luò)間，實(shí)施網(wǎng)間訪問(wèn)控制的一組組件的集合，它滿足以下條件：（1）內(nèi)部和外部之間的所有網(wǎng)絡(luò)數(shù)據(jù)流必須經(jīng)過(guò)防火墻。（2）有符合安全政策的數(shù)據(jù)流才能通過(guò)防火墻。（3）防火墻自身能抗攻擊。

通俗的理解就是，防火墻是在兩個(gè)網(wǎng)絡(luò)通訊時(shí)執(zhí)行的一種訪問(wèn)控制尺度，它能允許你“同意”的人和數(shù)據(jù)進(jìn)入你的網(wǎng)絡(luò)，同時(shí)將你“不同意”的人和數(shù)據(jù)拒之門外，最大限度地阻止網(wǎng)絡(luò)中的黑客來(lái)訪問(wèn)你的網(wǎng)絡(luò)。換句話說(shuō)，如果不通過(guò) 4/9 防火墻，公司內(nèi)部的人就無(wú)法訪問(wèn)Internet，Internet上的人也無(wú)法和公司內(nèi)部的人進(jìn)行通信。

需要注意的是，不能狹義地將防火墻理解為一套軟件或一臺(tái)設(shè)備。因?yàn)橥ǔＪ褂貌恢挂环N技術(shù)和不止一臺(tái)設(shè)備實(shí)施整個(gè)防火墻方案所以防火墻應(yīng)該理解為一個(gè)防火墻系統(tǒng)，或說(shuō)一套防火墻解決方案。

2.2防火墻的實(shí)現(xiàn)技術(shù)分類

根據(jù)防火墻過(guò)濾的方式和技術(shù)不同，防火墻可以劃分為三類：包過(guò)濾防火墻，狀態(tài)防火墻，應(yīng)用網(wǎng)關(guān)防火墻。

包過(guò)濾防火墻是一種通過(guò)檢查數(shù)據(jù)包中網(wǎng)絡(luò)層及傳輸層協(xié)議信息來(lái)發(fā)現(xiàn)異常的安全防御系統(tǒng)。包過(guò)濾防火墻不需要對(duì)客戶端計(jì)算機(jī)進(jìn)行專門配置，性能優(yōu)于其他防火墻，因?yàn)樗鼒?zhí)行的計(jì)算比較少，并且容易用硬件方式實(shí)現(xiàn)。它的規(guī)則設(shè)置也簡(jiǎn)單，通過(guò)禁止內(nèi)部計(jì)算機(jī)和特定Internet資源連接，單一規(guī)則即可保護(hù)整個(gè)網(wǎng)絡(luò)。

狀態(tài)防火墻采用的是狀態(tài)檢測(cè)技術(shù)，這是由CheckPiont公司最先提出的一項(xiàng)具有突破性的防火墻技術(shù)，把包過(guò)濾的快速性和代理的安全性很好地結(jié)合在一起，成為防火墻的基本過(guò)濾模式。相比包過(guò)濾防火墻，它能知曉連接的狀態(tài)，無(wú)須打開(kāi)很大范圍的端口以允許通信，還能阻止更多類型的Dos攻擊，并且具有更豐富的日志功能。

應(yīng)用網(wǎng)關(guān)防火墻，也稱代理防火墻，能夠根據(jù)網(wǎng)絡(luò)層、傳輸層和應(yīng)用層的信息對(duì)數(shù)據(jù)流進(jìn)行過(guò)濾。由于應(yīng)用網(wǎng)關(guān)防火墻要在應(yīng)用層處理信息，所以絕大多數(shù)應(yīng)用網(wǎng)關(guān)防火墻的控制和過(guò)濾功能是通過(guò)軟件完成的，這能夠比包過(guò)濾或狀態(tài)防火墻提供更細(xì)粒度的流量控制。它的優(yōu)點(diǎn)主要在于能夠?qū)崿F(xiàn)對(duì)用戶的認(rèn)證，能夠阻止絕大多數(shù)欺騙攻擊。使用連接代理防火墻能夠連接上的所有數(shù)據(jù)，檢測(cè)到應(yīng)用攻擊層，如不良的URL、緩存溢出企圖、未授權(quán)的訪問(wèn)和更多類型的攻擊，同時(shí)生成非常下詳細(xì)的日志。不過(guò)，詳細(xì)的日志也會(huì)占用大量的磁盤空間，而且它的處理過(guò)程也要求大量的CPU和內(nèi)存。

2.3防火墻的體系結(jié)構(gòu)

防火墻的體系結(jié)構(gòu)一般有雙重宿主主機(jī)體系結(jié)構(gòu)、屏蔽主機(jī)體系結(jié)構(gòu)和屏蔽子網(wǎng)體系結(jié)構(gòu)。

5/9 建造防火墻時(shí)，一般很少采用單一的結(jié)構(gòu)，通常是多種解決不同問(wèn)題的技術(shù)結(jié)合。這種組合只要取決于安全中心向客戶提供什么樣的服務(wù)，以及安全中心能接受什么等級(jí)的風(fēng)險(xiǎn)。采用什么樣的組合主要取決于經(jīng)費(fèi)、投資的大小或技術(shù)人員的技術(shù)、時(shí)間等因素。通常有使用多堡壘主機(jī)，合并內(nèi)部路由器與外部路由器，合并堡壘主機(jī)與外部路由器，合并堡壘主機(jī)與內(nèi)部路由器，使用多臺(tái)內(nèi)部路由器或外部路由器，使用多個(gè)周邊網(wǎng)絡(luò)，使用雙重宿主主機(jī)與屏蔽子網(wǎng)等多種組合形式。

三、防火墻技術(shù)的重要性

3.1 網(wǎng)絡(luò)存取訪問(wèn)的統(tǒng)計(jì)與記錄

任何傳輸數(shù)據(jù)和訪問(wèn)都能夠以防火墻記錄的日志流通于內(nèi)外網(wǎng)之間。然而對(duì)于重要的數(shù)

據(jù)信息來(lái)說(shuō)，人們借助日志在分析可能性攻擊的情況下，就能做好相關(guān)的防范。就拿銀行網(wǎng)絡(luò)來(lái)說(shuō)，假如他存在問(wèn)題，就會(huì)對(duì)電信和證券單位產(chǎn)生威脅，因此可將防火墻技術(shù)應(yīng)用。除此之外企業(yè)也要盡可能了解網(wǎng)絡(luò)安全隱患，從而加強(qiáng)管理域監(jiān)控，降低安全風(fēng)險(xiǎn)幾率。

3.2 控制特殊站點(diǎn)的訪問(wèn)

這也是保障計(jì)算機(jī)網(wǎng)絡(luò)安全的關(guān)鍵，就拿進(jìn)行訪問(wèn)和數(shù)據(jù)傳輸?shù)闹鳈C(jī)來(lái)說(shuō)，假如將特殊保護(hù)實(shí)施，在交換數(shù)據(jù)的時(shí)候就必須得到主機(jī)許可，以此來(lái)將不必要的訪問(wèn)拒絕，將非法盜取資源的情況杜絕&對(duì)于內(nèi)部網(wǎng)絡(luò)，防火墻不必對(duì)訪問(wèn)強(qiáng)行禁止，由此可見(jiàn)，網(wǎng)絡(luò)安全離不開(kāi)防火墻。

3.3 控制不安全服務(wù)

不安全因素常常會(huì)出現(xiàn)在計(jì)算機(jī)網(wǎng)絡(luò)中，對(duì)于安全性較差的服務(wù)，我們均能夠采用防火墻技術(shù)控制，在防火墻的作用下，內(nèi)外網(wǎng)進(jìn)行數(shù)據(jù)傳輸和交換的時(shí)候，必須經(jīng)過(guò)防火墻的許可，這樣相關(guān)資源內(nèi)容才能傳輸?shù)酵饩W(wǎng)。由此可見(jiàn)，防火墻的使用能降低非法攻擊的風(fēng)險(xiǎn)。

3.4集中安全保護(hù)

假如內(nèi)部網(wǎng)絡(luò)規(guī)模較大，且必須改動(dòng)附加軟件或某些軟件，將其置入防火墻，就能保障其數(shù)據(jù)和信息的安全，同時(shí)在防火墻中放入身份認(rèn)證軟件、口令系統(tǒng)及其密碼等，還能將其安全性進(jìn)一步的提升。

6/9

四、防火墻技術(shù)的應(yīng)用

防火墻對(duì)流經(jīng)它的網(wǎng)絡(luò)通信進(jìn)行掃描，這樣能夠過(guò)濾掉一些攻擊，以免其在目標(biāo)計(jì)算機(jī)上被執(zhí)行。防火墻還可以關(guān)閉不使用的端口。而且它還能禁止特定端口的流出通信，封鎖特洛伊木馬。最后，它可以禁止來(lái)自特殊站點(diǎn)的訪問(wèn)，從而防止來(lái)自不明入侵者的所有通信。

4.1 應(yīng)用于網(wǎng)絡(luò)安全的屏障

一個(gè)防火墻（作為阻塞點(diǎn)、控制點(diǎn)）能極大地提高一個(gè)內(nèi)部網(wǎng)絡(luò)的安全性，并通過(guò)過(guò)濾不安全的服務(wù)而降低風(fēng)險(xiǎn)。由于只有經(jīng)過(guò)精心選擇的應(yīng)用協(xié)議才能通過(guò)防火墻，所以網(wǎng)絡(luò)環(huán)境變得更安全。如防火墻可以禁止諸如眾所周知的不安全的NFS協(xié)議進(jìn)出受保護(hù)網(wǎng)絡(luò)，這樣外部的攻擊者就不可能利用這些脆弱的協(xié)議來(lái)攻擊內(nèi)部網(wǎng)絡(luò)。防火墻同時(shí)可以保護(hù)網(wǎng)絡(luò)免受基于路由的攻擊，如IP選項(xiàng)中的源路由攻擊和ICMP重定向中的重定向路徑。防火墻應(yīng)該可以拒絕所有以上類型攻擊的報(bào)文并通知防火墻管理員。

4.2 應(yīng)用于網(wǎng)絡(luò)安全策略中

通過(guò)以防火墻為中心的安全方案配置，能將所有安全軟件（如口令、加密、身份認(rèn)證、審計(jì)等）配置在防火墻上。與將網(wǎng)絡(luò)安全問(wèn)題分散到各個(gè)主機(jī)上相比，防火墻的集中安全管理更經(jīng)濟(jì)。例如在網(wǎng)絡(luò)訪問(wèn)時(shí)，一次一密口令系統(tǒng)和其它的身份認(rèn)證系統(tǒng)完全可以不必分散在各個(gè)主機(jī)上，而集中在防火墻一身上。

4.3 應(yīng)用于監(jiān)控審計(jì)中

如果所有的訪問(wèn)都經(jīng)過(guò)防火墻，那么，防火墻就能記錄下這些訪問(wèn)并作出日志記錄，同時(shí)也能提供網(wǎng)絡(luò)使用情況的統(tǒng)計(jì)數(shù)據(jù)。當(dāng)發(fā)生可疑動(dòng)作時(shí)，防火墻能進(jìn)行適當(dāng)?shù)膱?bào)警，并提供網(wǎng)絡(luò)是否受到監(jiān)測(cè)和攻擊的詳細(xì)信息。另外，收集一個(gè)網(wǎng)絡(luò)的使用和誤用情況也是非常重要的。首先的理由是可以清楚防火墻是否能夠抵擋攻擊者的探測(cè)和攻擊，并且清楚防火墻的控制是否充足。而網(wǎng)絡(luò)使用統(tǒng)計(jì)對(duì)網(wǎng)絡(luò)需求分析和威脅分析等而言也是非常重要的。

4.4 應(yīng)用于內(nèi)部信息的保障中

通過(guò)利用防火墻對(duì)內(nèi)部網(wǎng)絡(luò)的劃分，可實(shí)現(xiàn)內(nèi)部網(wǎng)重點(diǎn)網(wǎng)段的隔離，從而限制了局部重點(diǎn)或敏感網(wǎng)絡(luò)安全問(wèn)題對(duì)全局網(wǎng)絡(luò)造成的影響。再者，隱私是內(nèi)部網(wǎng)絡(luò)非常關(guān)心的問(wèn)題，一個(gè)內(nèi)部網(wǎng)絡(luò)中不引人注意的細(xì)節(jié)可能包含了有關(guān)安全的線索而

7/9 引起外部攻擊者的興趣，甚至因此而暴漏了內(nèi)部網(wǎng)絡(luò)的某些安全漏洞。使用防火墻就可以隱蔽那些透漏內(nèi)部細(xì)節(jié)如Finger，DNS等服務(wù)。Finger顯示了主機(jī)的所有用戶的注冊(cè)名、真名，最后登錄時(shí)間和使用shell類型等。但是Finger顯示的信息非常容易被攻擊者所獲悉。攻擊者可以知道一個(gè)系統(tǒng)使用的頻繁程度，這個(gè)系統(tǒng)是否有用戶正在連線上網(wǎng)，這個(gè)系統(tǒng)是否在被攻擊時(shí)引起注意等等。防火墻可以同樣阻塞有關(guān)內(nèi)部網(wǎng)絡(luò)中的DNS信息，這樣一臺(tái)主機(jī)的域名和IP地址就不會(huì)被外界所了解。除了安全作用，防火墻還支持具有Internet服務(wù)特性的企業(yè)內(nèi)部網(wǎng)絡(luò)技術(shù)體系VPN（虛擬專用網(wǎng)）。

4.5 應(yīng)用于數(shù)據(jù)包過(guò)濾中

網(wǎng)絡(luò)上的數(shù)據(jù)都是以包為單位進(jìn)行傳輸?shù)?，每一個(gè)數(shù)據(jù)包中都會(huì)包含一些特定的信息，如數(shù)據(jù)的源地址、目標(biāo)地址、源端口號(hào)和目標(biāo)端口號(hào)等。防火墻通過(guò)讀取數(shù)據(jù)包中的地址信息來(lái)判斷這些包是否來(lái)自可信任的網(wǎng)絡(luò)，并與預(yù)先設(shè)定的訪問(wèn)控制規(guī)則進(jìn)行比較，進(jìn)而確定是否需對(duì)數(shù)據(jù)包進(jìn)行處理和操作。數(shù)據(jù)包過(guò)濾可以防止外部不合法用戶對(duì)內(nèi)部網(wǎng)絡(luò)的訪問(wèn)，但由于不能檢測(cè)數(shù)據(jù)包的具體內(nèi)容，所以不能識(shí)別具有非法內(nèi)容的數(shù)據(jù)包，無(wú)法實(shí)施對(duì)應(yīng)用層協(xié)議的安全處理。

4.6 應(yīng)用于日志記錄與事件通知

進(jìn)出網(wǎng)絡(luò)的數(shù)據(jù)都必須經(jīng)過(guò)防火墻，防火墻通過(guò)日志對(duì)其進(jìn)行記錄，能提供網(wǎng)絡(luò)使用的詳細(xì)統(tǒng)計(jì)信息。當(dāng)發(fā)生可疑事件時(shí)，防火墻更能根據(jù)機(jī)制進(jìn)行報(bào)警和通知，提供網(wǎng)絡(luò)是否受到威脅的信息。

五、結(jié)語(yǔ)

隨著計(jì)算機(jī)技術(shù)的不斷發(fā)展，人們?cè)絹?lái)越依賴于網(wǎng)絡(luò)，對(duì)于信息資源的依賴也過(guò)于緊密，網(wǎng)絡(luò)安全問(wèn)題也不可避免，這直接影響著防火墻技術(shù)的發(fā)展。為了保障網(wǎng)絡(luò)的安全運(yùn)行，防火墻技術(shù)越來(lái)越重要。我們需要選擇適合實(shí)際應(yīng)用的防火墻來(lái)抵御有害信息入侵計(jì)算機(jī)系統(tǒng)，但僅依靠防火墻技術(shù)是不夠的，需要使現(xiàn)在的防火墻技術(shù)將計(jì)算機(jī)技術(shù)和網(wǎng)絡(luò)技術(shù)結(jié)合在一起，才能真正解決計(jì)算機(jī)的網(wǎng)絡(luò)安全問(wèn)題。

參考文獻(xiàn)：

[1]熊平,朱天清.信息安全原理及應(yīng)用M].清華大學(xué)出版社,2012,01 [1]王德山,王科超.試論計(jì)算機(jī)網(wǎng)絡(luò)安全中的防火墻技術(shù)[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用,2013,07 8/9 [2]馬利,梁紅杰.計(jì)算機(jī)網(wǎng)絡(luò)安全中的防火墻技術(shù)應(yīng)用研究[J].電腦知識(shí)與技術(shù),2014,16 [3]劉小斌，防火墻技術(shù)的應(yīng)用[J].電腦知識(shí)與技術(shù),2014,36 [3]靳舜.計(jì)算機(jī)網(wǎng)絡(luò)安全中的防火墻技術(shù)分析[J].科技前沿，2016,03

9/9