防火墙技术及其应用

网络安全技术及其应用防火墙应用技术1.1防火墙的概述1.11防火墙的概念和功能防火墙简介防火墙(英文：firewall)是一项协助确保信息安全的设备，会依照特定的规则，允许或是限制传输的数据通过。防火墙可以是一台专属的硬件也可以是架设在一般硬件上的一套软件。

防火墙功能所谓防火墙指的是一个由软件和硬件设备组合而成、在内部网和外部网之间、专用网与公共网之间的界面上构造的保护屏障。是一种获取安全性方法的形象说法，它是一种计算机硬件和软件的结合，使Internet与Intranet之间建立起一个安全网关(SecurityGateway)，从而保护内部网免受非法用户的侵入，防火墙主要由服务访问规则、验证工具、包过滤和应用网关4个部分组成，防火墙就是一个位于计算机和它所连接的网络之间的软件或硬件。该计算机流入流出的所有网络通信和数据包均要经过此防火墙。在网络中，所谓“防火墙”，是指一种将内部网和公众访问网(如Internet)分开的方法，它实际上是一种隔离技术。防火墙是在两个网络通讯时执行的一种访问控制尺度，它能允许你“同意”的人和数据进入你的网络，同时将你“不同意”的人和数据拒之门外，最大限度地阻止网络中的黑客来访问你的网络。换句话说，如果不通过防火墙，公司内部的人就无法访问Internet，Internet上的人也无法和公司内部的人进行通信。1.21防火墙的主要特性1内部网络和外部网络之间的所有网络数据流都必须经过防火墙2只有符合安全策略的数据流才能通过防火墙3防火墙自身应具有非常强的抗攻击免疫力4应用层防火墙具备更细致的防护能力5应用层防火墙具备更细致的防护能力1.31防火墙的主要缺点1）包过滤防火墙的维护较困难；（2）只能阻止一种类型的IP欺骗；（3）任何直接经过路由器的数据包都有被用作数据驱动式攻击的潜在危险，一些包过滤路由器不支持有效的用户认证，仅通过IP地址来判断是不安全的；（4）不能提供有用的日者或者根本不能提供日志；（5）随着过滤器数目的增加，路由器的吞吐量会下降；（6）IP包过滤器可能无法对网络上流动的信息提供全面的控制2.1以防火墙的软硬件形式分类1.软件防火墙

软件防火墙运行于特定的计算机上,它需要客户预告安装好操作系统一般来说这台计算机就是整个网络的网关,俗称个人防火墙,软件防火墙就像其他的软件产品一样需要先在计算机上安装并做好配置才可以使用,使用这类防火墙需要网管对所工作的操作系统平台比较熟悉;

2.硬件防火墙

很容易集成反病毒,内容的过滤,计费,流量控制,对服务器远程的监控等功能,不过x86架的CPU为了支持复杂的运算并容易开发新的功能,采用了通用体系结构的指令集,所以其处理速度相对较慢,单个芯片的可扩展性较差,因而很难满足千M网络对于高的需求.

3.芯片级防火墙

芯片级防火墙基于专门的硬件平台,没有操作系统采用专有的ASIC,NP芯片,比其他各类的防火墙速度更快,处理能力更强,性能更高,如国内议政信息安全公司研发的NP+ASIC防火墙突破了性能瓶颈,这类防火墙由于是专用OS(操作系统),因此防火墙本身的漏洞比较少,不过价格相对较高.2.2以防火墙技术分类2.21包过滤型（1）第一代静态包过滤类型防火墙（2）第二代动态包过滤类型防火墙2.22应用代理型（1）第一代应用网关型代理防火墙（2）第二代自适应代理型防火墙2.3以防火墙体系结构分类1.单一的主机防火墙2.路由器集成式防火墙3.分布式防火墙2.4以性能等级分类1.百兆级防火墙2.千兆级防火墙3.1防火墙的主要应用3.1企业网络体系结构（1）网络边界边界网络通过路由器直接向internet，应该以基本网络通信筛选的形式提供初始层面的保护，路由器通过外围防火墙将数据一直提供到外围网络。（2）外围边界外围网络，网络通常成为无戒备区网络或者边缘网络，它将外来用户与WeB服务器或其他服务连接起来，然后WeB服务器将通过内部防火墙链接到内部网络（3）内部网络内部网络链接哥哥内部服务器和内部用户。

3.2内部防火墙系统应用内部防火墙用于控制对内部网络的访问以及对内部网络进行访问用户类型包括如下几种（1）完全信任用户，例如组织的雇员可以，是要到外围区域和的内部用