防火墻在網絡中的作用精選(九篇)

前言：一篇好文章的誕生，需要你不斷地搜集資料、整理思路，本站小編為你收集了豐富的防火墻在網絡中的作用主題范文，僅供參考，歡迎閱讀并收藏。

第1篇：防火墻在網絡中的作用范文

關鍵詞 防火墻；網絡安全；技術研究

中圖分類號：TP393 文獻標識碼：A 文章編號：1671-7597（2014）02-0116-01

信息時代的到來，促使網絡已經涉足到我國的各個領域，不論是運行工作，還是機密防護，都涉及到網絡，網絡安全逐漸成為重點關注的內容。為保障網絡安全，可利用防火墻的檢測、警示、防護作用，維持網絡環境的安全狀態，避免惡意攻擊和病毒植入，近幾年，有關防火墻的新型技術不斷出現，例如：加密、認證等，嚴謹控制網絡環境，提高防火墻的把關工作。

1 防火墻簡介

防火墻是針對網絡環境而言，網絡信息在交互的過程中，通過防火墻，實現由內而外、自外而內的保護，例如：外部信息進入內部網絡環境時，防火墻可以利用內部的組件，對流通信息實行高質量檢測，符合內部網絡要求時，防火墻才可“放行”信息，如發現危險信息，防火墻會主動隔斷其與內部的聯系，然后生成安全日志，防止同名惡意信息的再次攻擊，因此，防火墻本身具備高質量的運行系統。防火墻具備防御的性質，發揮限制信息的作用，而且防火墻干預的范圍非常廣，基本可以保護所控制的網絡整體，既要確保系統不被外界惡意信息攻擊，又要保障內部信息的安全儲存，防止信息泄露，同時防火墻還可以起到隔離的作用，一方面有效分析運行、傳遞的信息，另一方面限制信息往來，體現防火墻獨立的信息處理能力。

2 防火墻在網絡安全中的要點

網絡安全技術中，防火墻具備不可缺少的一部分，同時期在對網絡信息進行安全保護時，表現出諸多要點，必須做好防火墻要點分析的工作，才可發揮防火墻的保護作用。

2.1 防火墻的維護

防火墻是根據外界攻擊的類型、特性實行升級更新，在安裝后，需實行同步維護，開發者研發防火墻后，并不是可以一直維護網絡環境，需對其進行有針對的更新，根據防火墻在使用中表現出的缺陷，進行實質修復，所以使用者必須注重后期維護，時刻跟蹤防火墻的狀態，保障防火墻時刻處于最新型的保護狀態。

2.2 防火墻的配置

防火墻的配置，即是實現信息保護的策略，通過合理的配置，可以提高防火墻的防護能力，因此必須保障配置原則，首先需要分析網絡環境的風險級別，采取合理的防護配置，避免高風險對應低級配，然后分析網絡運行要素，針對網絡需求，選擇合理的配置，再次明確策略，主要是根據網絡的危險性，制定防火墻策略，實現最優處理，最后搭配適宜，重點是實現網絡是防護的高度吻合性。

2.3 防火墻的失效處理

防火墻雖然可以起到防護作用，但是在一定程度上，有可能被惡意攻破，導致其處于失效狀態，防火墻一旦失效，即表示其暫時失去防護能力，主要觀察防火墻的失效狀態，看是否能夠自行恢復防御效果，一般防火墻會自動重啟，逐步恢復失效前的能力，此時使用者可關閉防火墻內的所有通道，禁止數據流通，對防火墻實行評估、檢測，達到正常后，在投入使用。

2.4 防火墻的規則使用

防火墻在使用規則方面，遵循“四部曲”的工作流程，即策略、體系、規則和規則集。按照四項使用流程，在保障信息安全的基礎上，增加流通性，維護信息的真實性，體現防火墻的保護功能，其中最重要的是規則集，其可確保防火墻的狀態，促使防火墻時刻處于信息檢查的狀態，將出、入的信息如實記錄。

3 防火墻在網絡安全中的分類和功能

網絡是時刻處于不同類型的變動狀態中，防火墻必須摸清網絡的變化特性，才可發揮防御功能，目前針對網絡的不同使用特性，防火墻出現不同性質的分類，對防火墻的分類和功能做以下分析。

3.1 防火墻的分類

按照性質可將防火墻分為三類：監測型、型和過濾型，分析如下。

1）監測型。監測型屬于目前安全性能比較高的一類，支持后臺維護，即自動對正在運行的網絡，實行抽檢、防護，而且不會造成任何網絡負擔，有效監測網絡是否存在外來攻擊，同時防止網絡內部的自行攻擊，結合網絡層次和機制，監測網絡運行。

2）型。型雖然效率高，但是安全性能存在不足之處，其可在內外交接的過程中，有效掩藏內網，切斷內外連接，避免內網遭遇攻擊，型主要是防止木馬、病毒以及其他惡意植入，此類防火墻使用時，必須搭配合理的服務器，以此提高防御的效率。

3）過濾型。過濾型應用在數據流通較大的網絡內，其主要的作用對象也是數據流，因為其在維護上沒有較高的要求，所以其為防護基礎，基本網絡環境中，都安裝此類防火墻。

3.2 防火墻的功能

1）控制內部數據。通過防火墻，加強網絡訪問的安全度，例如：防火墻對網絡訪問者實行身份驗證，保障訪問安全，保障內部訪問者的安全登錄，確保內部信息、數據的安全，避免內部出現行為攻擊。

2）提高網絡安全度。防火墻與網絡其他防護軟件形成組合，提高安全程度，高端防火墻還實現專有信息，即加密內部信息，對信息進行集中處理，在信息流通的過程中，必須經過防火墻的加密保護和檢測。

3）監控網絡運行。防火墻可以有效監控網絡運行，警示發生在網絡區域內的行為，一旦發現網絡危險，立刻提示，記錄并處理危險動作，分析是否存在攻擊信息。

4）屏蔽外界干擾。防火墻可以針對網絡形成整體的保護層，避免外界危險信息的入侵，防火墻中包含協議解析功能，針對外界進入的信息，分析路徑、IP，進而搜索到信息來源，部分外界攻擊容易利用IP，因為IP協議處于暴露狀態，所以防火墻重點屏蔽網絡IP處的信息干擾，同時防火墻可以屏蔽網絡的多項暴露處，避免為外界攻擊構成信息通道。

4 結束語

防火墻本身是建立在運行系統基礎上的軟件，針對網絡構建安全的運行環境，目前，防火墻在網絡安全中占據重要地位，因此，社會投入大量的科研力量，重點研究防火墻中的網絡技術，促使其既可以形成保護系統，又可以提高網絡的安全效果，營造可靠、安全、穩定的網絡環境，積極推進網絡在企業中的利用度，同時保障企業網絡系統的運行。

參考文獻

[1]張連銀.防火墻技術在網絡安全中的應用[J].科技資訊，2012（09）：90-92.

[2]劉彥保.防火墻技術及其在網絡安全中的應用[J].延安教育學院學報，2012（02）：56-58.

第2篇：防火墻在網絡中的作用范文

關鍵詞：防火墻；網絡安全；發展趨勢

一、防火墻技術在網絡安全應用中的重要性

防火墻最基本的功能就是控制在計算機網絡中，不同信任程度區域間傳送的數據流。例如互聯網是不可信任的區域，而內部網絡是高度信任的區域。以避免安全策略中禁止的一些通信，與建筑中的防火墻功能相似。它在網絡安全應用中的重要性主要包括以下幾個方面：

1.網絡安全的屏障

防火墻能極大地提高一個內部網絡的安全性，并通過過濾不安全的服務而降低風險。由于只有經過精心選擇的應用協議才能通過防火墻，所以網絡環境變得更安全。防火墻同時可以保護網絡免受基于路由的攻擊，防火墻應該可以拒絕所有以上類型攻擊的報文并通知防火墻管理員。

2.強化網絡安全策略

通過以防火墻為中心的安全方案配置，能將所有安全軟件（如口令、加密、身份認證、審計等）配置在防火墻上。與將網絡安全問題分散到各個主機上相比，防火墻的集中安全管理更經濟。

3.監控網絡存取和訪問

如果所有的訪問都經過防火墻，那么，防火墻就能記錄下這些訪問并作出日志記錄，同時也能提供網絡使用情況的統計數據。當發生可疑動作時，防火墻能進行適當的報警，并提供網絡是否受到監測和攻擊的詳細信息。另外，收集一個網絡的使用和誤用情況也是非常重要的。首先的理由是可以清楚防火墻是否能夠抵擋攻擊者的探測和攻擊，并且清楚防火墻的控制是否充足。

4.防止內部信息的外泄

通過利用防火墻對內部網絡的劃分，可實現內部網重點網段的隔離，從而限制了局部重點或敏感網絡安全問題對全局網絡造成的影響。再者，隱私是內部網絡非常關心的問題，一個內部網絡中不引人注意的細節可能包含了有關安全的線索而引起外部攻擊者的興趣，甚至因此而暴漏了內部網絡的某些安全漏洞。

二、防火墻技術在網絡安全中的應用現狀

隨著防火墻技術的不斷更新，新型的防火墻技術安全性能更高，它綜合了過濾和技術，克服二者在安全方面的缺陷，不僅覆蓋了傳統包過濾防火墻的全部功能，而且在全面對抗IP欺騙、ARP、ICMP、SYNFlood等共計手段方面有明顯的優勢和效果，增強了服務，并使其與包過濾相融合，加上智能過濾技術，使得防火墻的安全性能有了長足提高。目前新型防火墻技術主要包括以下幾種：

1.分布式防火墻技術，指那些駐留在網絡中主機如服務器或桌面機并對主機系統自身提供安全保護的軟件產品，廣義上講，分布式防火墻是一種新的防火墻體系結構，包括用于內外部網之間和內網之間防護的網絡防火墻、對網絡中服務器和桌面機保護的主機防火墻、用于保護網絡中單一設備的中心邊界防火墻等。

2.嵌入式防火墻技術，指內嵌于路由器或交換機的防火墻，通常也被稱為阻塞點防火墻，這種防火墻能彌補并改善各類安全能力不足的企業邊緣防火墻、基于主機的應用程序、網絡程序、入侵檢測告警程序和防病毒程序等，確保企業內部和外部的網絡安全。

3.職能防火墻技術，通過利用統計、記憶、概率和決策的職能方法對數據進行識別，并達到訪問控制的目的，由于這些方法多時人工職能學科采用的方法，也統稱為職能防火墻，通常這種防火墻的關鍵技術包括防攻擊技術、防掃描技術、防欺騙技術、入侵防御技術、包擦洗和協議正常化技術、AAA技術等。

雖然防火墻技術越來越成熟，功能也越來越強大，但依然存在一些不足，主要表現在以下幾個方面：

1.不能防御不經過防火墻的攻擊，顯而易見，若果防火墻布置在企業網絡的邊界 ，對進出企業的信息進行過濾，而企業內部的電腦通過撥號網絡直接與外網連接的話，防火墻就不起作用。

2.不能防御計算機病毒的攻擊，計算機病毒攻擊的方式層出不窮，大多數防火墻都是根據系統存在的漏洞進行攻擊，對于這種攻擊防火墻常常無能為力。

3.防火墻自身存在安全漏洞，無論是硬件還是軟件防火墻，都會或多或少的存在設計漏洞，一些不法分子可能會利用這些設計上的漏洞繞過防火墻對系統進行攻擊。

4.對防御數據驅動式的攻擊無能為力，作為一種常見的攻擊方式，但其每次通過防火墻時的數據卻都是符合規則的，但這些數據組合以后就會對系統進行破壞。

5.以損失有用服務為代價，為了信息安全，我們通常會關閉一些不必要的服務，但這些服務中也有許多有價值的服務信息，雖然可以一定程度上提高計算機應用的安全性，但也必須以放棄一部分使用價值為代價。

三、防火墻技術的未來發展趨勢

針對目前防火墻不能解決的問題以及越來越多的網絡攻擊方式的出現，對防火墻技術也必將有更高的要求，未來將向高速度、多功能和安全性更高的方向發展，其未來發展趨勢可以從包過濾技術、防火墻體系結構和防火墻系統管理三方面來實現。

1.在防火墻包過濾技術發展方面，首先安全策略功能會更加強大，新的防火墻技術會把在AAA系統上運用的用戶認證及其服務擴展到防火墻中，使其擁有可以支持基于用戶角色的安全策略功能，使得用戶在身份驗證方面的安全功能增強。其次，加強防火墻的多級過濾技術，通過多級的過濾技術并配合其它方面的鑒別手段，可以從不同層面過濾掉所有的源路由分組、假冒IP源地址、禁止出或入的協議、有害數據包、控制和監測互聯網提供的所有通用服務等，在一定程度上彌補單獨過濾技術的不足。同時，新的防火墻技術或會增加更多的擴展功能，甚至包括防病毒和入侵監測等主流功能。

2.在防火墻體系結構發展方面，隨著互聯網用戶的增加，以及用戶對網絡的更高要求，防火墻技術也必須以更加快速的數據處理來滿足顯示要求。目前出現的基于ASIC的防火墻和基于網絡處理器的防火墻都在不同程度上順應著這種潮流，這兩種防火墻技術性能雖然得到了大幅度的提高，但是，它們依然有其不足之處，如基于ASIC的防火墻是使用專門餓硬件處理網絡數據流，但純硬件的ASIC防火墻缺乏可編程性，使得其靈活性大打折扣。而基于網絡處理器的防火墻雖然屬于基于軟件的解決方案，而且靈活性更強，但其作用的發揮很大程度上取決于軟件性能的好壞。因此比較理想化的解決方案是增加ASIC芯片的可編程性，使其能夠更好的和軟件想配合，這樣才能同時滿足運行性能和靈活性能的要求。

3.在防火墻的系統管理發展方面，分布式和分層的安全結構的集中管理方式是未來的發展趨勢，這種集中的管理方式不僅能降低管理成本，而且能在網絡安全中保證策略的一致性，使得防火墻能夠起到快速響應和快速防御的效果。其次，未來防火墻的系統管理方面將擁有更加強大的審計功能和自動日志分析功能，通過這些方面的加強，能夠更早的發現潛在的威脅并采取有效地預防措施，在日常中，通過其日志分析功能，能夠及早的幫助計算機管理員發現系統中可能存在的安全漏洞，對做到早預防和調整安全管理策略是必不可少的。最后，網絡安全產品的系統化也是未來的發展的趨勢，因為目前的防火墻技術難以滿足當前的網絡安全要求，通過建立以防火墻為核心的安全體系，就可以為內部網絡提供更多的安全保障，使各安全技術各司其職，從各個方面防御外來入侵。

參考文獻

[1]馬東輝.入侵檢測系統與防火墻在教育網絡中的互動應用研究[D].中國石油大學.2011年

[2]劉波.防火墻穿透技術的研究與實現[D].沈陽工業大學.2009年

[3]黃晗輝.防火墻規則的異常檢測及優化研究[D].重慶大學.2010年

[4]陳文惠.防火墻系統策略配置研究[D].中國科學技術大學.2007年

第3篇：防火墻在網絡中的作用范文

關鍵詞：網絡；防火墻

中圖分類號：TP393文獻標識碼：A文章編號：1007-9599 (2011) 03-0000-01

Network Firewall Technology Development

Chen Xi

(Baoding Branch of China Tietong,Baoding71000,China)

Abstract:The rapid development of the network to bring convenience,but also a lot of inconvenience to the 3G users,intrusion,virus infection and other serious threats to the user's normal use of 3G network,so firewall,played a crucial role in the development of This article on the status of 3G network development and existing threats,analysis of network firewall technology to help ensure the normal use of the user better.

Keywords:Network;Firewall

網址對于網絡安全來說防火墻是主要的一個防御機制，在整個網絡系統中起到至關重要的作用。防火墻的技術、自身的功能、保護能力、網絡結構、安全策略等因素，是網絡安全性的決定性因素，而在網絡迅猛發展的今天，對網絡安全和防護的要求就越來越迫切，網絡防火墻被用作為加強控制網絡之間的互訪，嚴防外部網絡用戶惡意通過外網入侵內部網絡，并對網絡之間的數據包的傳輸進行實時監控，判斷網絡之間通信的合法性，以及網絡運行的狀態。

一、防火墻的類型

網絡在人們的平常生活中越來越普及化，網絡的安全就越來越受到了人們的重視，防火墻成為網絡安全的一個重要保障。防火墻的種類多樣化，根據應用技術的不同，可分為一下幾類：

（一）防火墻的初級產品：包過濾型防火墻它的核心為傳輸技術，通過讀取數據包中的地址信息來辨別數據包的合法性，辨別其來自的網站是否安全，如果是危險的數據包，防火墻最自動將其抑制，包過濾技術具有簡單實用的優點，而且成本低，經常是以較小的代價實現對系統的保障，但是其常常無法識別應用層的惡意攻擊。

（二）網絡地址轉化（network address translation）NATNAT的主要技術是將IP地址轉化為臨時的、注冊的外部IP地址，同時允許私有IP地址用戶訪問因特網，系統將源端口和源地址映射為一個偽裝的地址和端口，用偽裝的地址與端口與外網建立連接，從而以達到隱藏真實的IP地址。

（三）型防火墻型防火墻亦可稱作為服務器，它是一種安全性相對較高的產品，其位于服務器與用戶級之間，對于兩者之間的數據交流可以起到很好的監控和阻攔危險數據的作用，避免了外部的一些惡意攻擊，為網絡與用戶之間建立了一條有效安全的綠色通道，其優點是安全性較高，對應用層可以做到有效的掃描和偵測，對于抑制應用層的病毒侵入和感染十分有效，劣勢就是管理起來相對復雜。

（四）監測型防火墻監測型防火墻是一種新的產品，它對網絡各層的數據予以主動的、實時的監控，對于各層中的惡意入侵和非法操作的監控、判斷更為行之有效，而且防范能力也得到了大幅度的提升，其優點它的防御能力已完全超越了前幾種類型防火墻，但劣勢也比較明顯，成本高，管理困難。

二、在網絡安全的五個體系中防火墻處于五層中的最低層，負責網絡數據的安全傳輸與認證

由于網絡的全球化和重要性，網絡安全的重要性也隨之深入人心。從發展的角度看，防火墻技術正在向其它各層的網絡安全延伸。由于網絡病毒的不斷升級，隨之其防火墻的技術與職能也在迅速的拓展。

（一）向著多級過濾技術發展網絡會向著多級過濾技術發展，多級過濾技術的定義是：采用多級過濾措施，在分組過濾（網絡層）一級，對所有的源路由分組和假冒的IP源地址進行過濾；應遵循過濾規則，過濾掉所有（傳輸層）一級，違反規則的的協議和有害數據包；在應用網關（應用層）一級，能利用不同的網關，操控和監測到Internet提供的所有服務。我們可以通過這個技術的理解上開發出更多的擴展技術。

（二）動態封包過濾技術動態封包過濾技術與傳統的數據包過濾技術相比較：傳統的數據包技術職能檢測到單個的數據包的包頭和單一的判斷信息是否轉發或丟棄，動態數據包過濾技術則是著重于連續封閉包包間的關聯性以及其出入的檢測；過濾；加密解密或者傳輸，并作進一步的用戶身份認證，他能夠深入檢查出數據包，查出內部存在的惡意行為，識別惡意數據流量，阻斷惡意攻擊的出現，并且具備識別黑客的非法掃描，有效阻斷非法的欺騙信息。

三、網絡防火墻產品發展趨勢

網絡信息技術的飛速發展，硬件設施的不斷更新，隨之帶來防火墻產品的不斷換代以及產品技術的迅速進展，數據的安全、身份的認證以及病毒阻控和入侵檢測等成為了防火墻的發展方向，其發展趨勢主要有：

（一）模式轉變。傳統的防火墻主要是用來把數據流，形成分隔開來，從而劃分出安全的管理區。普遍位于網絡的邊緣。而傳統的防火墻設計缺乏對內網惡意攻擊者的防范，而新的防火墻產品以網絡節點為保護對象，最大限度的保護對象，提高網絡安全級別，增強保護作用。

（二）技術整合。通過對防火墻技術的了解。可以更加清楚的認識各類技術的優缺點。這對于今后防火墻的技術整起到了促進的作用。

（三）性能提高。隨著網絡的飛速發展，千兆網絡也逐漸在普及，在未來防火墻產品的發展上將會有更強處理功能的防火墻問市。在硬件上，千兆防火墻的主要選擇將會為網絡處理器（Network Processor）和專用集成電路（ASIC）技術。可以通過優化存儲器等資源，使防火墻達到線速千兆。在軟件上為了能夠達到防火墻在性能上的要求，未來將會融入更多的先進技術理念并應用到實踐中去，從而做到與性能相匹配。

四、結束語

在網絡已成為人們普遍使用工具的當下，網絡安全性已成為人們探討的焦點。而作為保護網絡安全性手段之一的防火墻技術已成為人們普遍使用的手段。不僅針對于個人，也保護著企業內部的網絡安全。隨著網絡的安全性不斷的受到侵害，安全性也在不斷的更新。未來多級過濾技術、動態封包過濾技術將會運用到實戰中來。防火墻技術也將更加多元化，更加方便、快捷、安全。能夠使防火墻技術的不斷完善這不僅關系到某個領域，更會涉及到信息安全的未來。

參考文獻：

[1]馮登國.計算機通信網絡安全[M].北京:清華大學出版社,2001:104

第4篇：防火墻在網絡中的作用范文

【關鍵詞】網絡安全；校園網；防火墻技術

一、防火墻技術在校園網建設中的重要性

現代社會是電子信息的社會，網絡已經成為遍及社會和家庭的必要工具。隨著計算機網絡技術的不斷進步，相應的網絡安全問題也逐步成為人們的關注焦點。

一些懷有惡意的網絡攻擊，對網絡客戶端的使用者進行信息盜取，修改網絡數據，通過遠程控制電腦非法占用電腦使用者資料信息。網絡作為一個公開的信息交換工具就具有潛在的危險性。網絡安全是一個特殊的領域，收到全球的高度重視。因此網絡安全技術十分重要。

高校雖然和具有商業機密的企業網有著一定的差距，但是校園網依舊有自己的安全保護需要和保護內容。首先安全安靜的網絡環境是學校保護學生身心健康的重要手段。現在我國的大部分高校依舊采用的是大面積的覆蓋，很多棟建筑還有教學課堂都在逐步走向網絡化的進程中。越來越多的學生都在運用網絡進行學習和娛樂，并且使用網絡的時間在不斷加長，這些都是的網絡的安全管理工作越來越重要，也越來越有管理難度。

在平時的教學當中，關于教學的網絡資源的調配工作越來越成為學校關注的問題，網絡寬帶的使用和分配，如何滿足現代教育多媒體教學技術應用的需求。多媒體教學中包括遠程技術的使用，校園網的用戶認證，防止惡意的網絡攻擊和校園網上不良信息的傳播等。很多校園網絡沒有設置相應的安全防護系統，學生們在課堂上能夠任意鏈接IE瀏覽各種信息，其中包括一些網上的不良信息。這些不僅影響教師的教學進度，而且影響學生的身心健康和正常發展。

網絡安全是當前所有網絡用戶最為關注的問題，目前的防火墻技術已經成為保護校園網絡安全，正確解決校園安全隱患的有效工具。防火墻并不是單單包括防火墻軟件的應用，還包括防火墻硬件的配置。這樣的防火墻技術能夠確保電腦更加安全，但是費用也相對來說比較高。防火墻技術必須隨著網絡技術的不斷發展而進步變化，只有如此才能真正確保電腦校園網絡的安全和穩定。

二、防火墻技術在高校校園網中的選用原則

（一）防火墻技術概念

防火墻技術對于加強網絡管理和網絡控制起到很大的作用。通過對網絡的訪問之間加強控制，防止用戶受到非法訪問的騷擾。防火墻是一種保護網絡整體環境安全的設備。它對多個網絡用戶之間的資源傳送和連接方式都有相應的安全策略。網絡之間的通信只有通過防火墻技術的檢查才能夠確保整個網絡的安全運行，是整個網絡處于防火墻技術的監控下。

（二）高校校園網中使用防火墻的選用原則

選擇防火墻的標準有很多，但最重要的是以下幾條：

1.總體擁有成本

防火墻產品作為網絡系統的安全屏障，其TCO（Total Cost of Ownership，總體擁有成本）不應該超過受保護網絡系統可能遭受最大損失的成本。以一個非關鍵部門的網絡系統為例，假如其系統中的所有信息及所支持應用的總價值為10萬元，則該部門所配備防火墻的總成本也不應該超過10萬元。當然，對于關鍵部門來說，其所造成的負面影響和連帶損失也應考慮在內。

2.防火墻本身是安全的

作為信息系統安全產品，防火墻本身也應該保證安全，不給外部侵入者以可乘之機。

3.管理與培訓

管理和培訓是評價一個防火墻好壞的重要方面。人員的培訓和日常維護費用通常會在TCO中占據較大的比例。一家優秀秀的安全產品供應商必須為其用戶提供良好的培訓和售后服務。

4.可擴充性

網絡系統在建設的初始階段往往由內部信息的系統規模比較小，遭受的損失可能就比較小，太昂貴的防火墻產品就顯得沒有必要。隨著現代社會中的網絡不斷發展，網絡信息安全成本不斷上升，遭受網絡損失的可能性和危害性都增強了，因此越來越多的用戶面對可能付出的昂貴的損失，選擇了更加安全可靠的防火墻產品。好的防火墻技術能夠在保障網絡安全的同時給予用戶高度是自我空間，有較好的的產品彈性。

三、高校校園網中常用的防火墻技術

防火墻是一種在內外部網絡建立保護層，保護內外部網絡資源不被破壞。使用防火墻能夠有效的使內部網絡的訪問受到保護，使其擁有一個保護層，避免內部網絡受到外部網絡的干擾，而不影響內部網絡成員對外網絡資源的訪問。同時校園網絡的為了維護網絡的穩定和安全一定不會選用單一的防火墻技術。其中常用的保護校園網絡的技術主要包括以下幾方面。這些技術能夠綜合全面的解決高校校園網絡的各項安全問題。

（一）包過濾技術

包過濾技術是在網絡中適當的位置上對數據包實施有選擇的過濾。包過濾防火墻一般含有一個包檢查模塊，它可以安裝在網關或路由器上，處于系統的TCP（Transfer Controln Protocol，傳輸控制協議）層和IP（Internet Protocol，網際協議）層之間，以便搶在操作系統或路由器的TCP層之前對IP包進行處理。通過檢查模塊的處理，防火墻可以對進出站的數據進行檢查，驗證數據包是否符合過濾規則。

（二）技術

技術是針對每一個特定應用服務的控制，它作用于應用層，具有狀態性的特點，能提供部分與傳輸有關的狀態，起到外部網絡向內部網絡申請服務時的中間轉接作用。內部網絡只接受提出的服務請求，拒絕外部網絡其他節點的直接請求。提供服務的可以是一臺雙宿網關，也可以是一臺堡壘主機。

（三）狀態檢查技術

在網絡層實現網絡防火墻技術包括很多方面技術的支持。其中狀態檢查就是其中一項技術。狀態檢查技術采用的是在網關上安裝和運行安全引擎，對網絡進行模塊檢測。模塊檢測是在不影響網絡正常運行的前提下進行的。它能夠對網絡通信進行信息抽取，實行動態檢測，更容易實現網絡系統的全面安全管理。

（四）內容檢查技術

內容檢查技術提供對高層服務協議數據的監控，以確保數據流的安全。它是一個利用智能方式來分析數據，使系統免受信息內容安全威脅的軟件組。

以上內容是在解決高校網絡安全中防火墻措施所起到的作用和相應的設置。防火墻不僅完美的過濾掉了高校局域網中的不良信息，保留了健康有用的信息，而且維護了課堂的正常秩序，同時防火墻的安裝能夠保障校園網絡的平穩運行。通過以上的闡述，我們能夠正確認識到防火墻技術在網絡安全尤其是校園網絡安全方面的重要性和必要性。近年來計算機網絡的發展已經成為了不可阻擋的潮流，人們對于計算機網絡的要求也在不斷的增加。網絡安全問題也成為人們所關注的焦點問題，針對計算機網絡世界的安全問題，更加先進的防火墻技術和合理的軟硬件搭配組合就會隨之出現，計算機網絡的安全在不斷的增強。經過事實證明，好的合理的防火墻技術選擇是保護計算機安全的重要條件。對于擁有商業機密的企業電子網絡或者是高校的局域網絡，只有通過合理的防火墻技術才能夠保證網絡安全。維護了網絡安全就是維護了我們的教育成果，保證了我們的教學方法能夠順利實施。相信在不久的將來，我國的防火墻技術也會隨著我國的網絡技術不斷發展，超越現有的能力和水平，更加強大的網絡防火墻技術會不斷呈現在我們的面前。

參考文獻：

第5篇：防火墻在網絡中的作用范文

關鍵詞：防火墻技術；網絡；安全

1防火墻技術

防火墻是計算機網絡安全必須用到的技術，其能夠將計算機網絡資源確保在安全范圍內。這種技術的使用原理是要提前設置該保護目標，讓其有規律地對計算機網絡信息以及數據進行授權和限制，防火墻技術在使用過程中會主動記錄網絡信息與數據來源，其控制著計算機的運行條件與使用方法，以此杜絕外來攻擊對計算機內部造成的影響，其可以在不同的角度與層面上來確保計算機網絡資源的安全。防火墻技術在計算機網絡信息安全中發揮著非常重要的作用。

2計算機網絡安全中的防火墻技術

2.1服務器型

在防火墻技術中服務器型防火墻是通過在主機上運用的一種服務程序，直接面對計算機上特定的應用服務，因此也將它稱為應用型防火墻。這種技術將參照計算機上的運行模式先進行設置服務器，之后再利用服務器展開信息交換模式，即外部網絡想要與內部網絡建立連接，就必須得通過服務器的轉換，內部網絡只接受服務器所提出的要求，拒絕外部網絡連接的直接請求。把網絡信息從內部網絡傳送到外部網絡之后將帶著正確的IP信息歸來，因此黑客也正是利用服務器的這個特點，將病毒植于數據IP之中帶到內部網絡中來，這時，殺毒軟件也利用同樣的原理與防火墻聯合將攻擊者的IP信息路徑進行分析，準確地找到攻擊者IP的源頭。由于服務器可以虛擬IP，這使攻擊者IP找不到實用的信息，這樣可以很好地保護計算機內部網絡安全，再加上服務器還有中轉的特性，能夠很好地控制內部網絡與外部網絡的信息交換，從而大大提升了計算機網絡的安全水平。服務器對網關具有很高的要求，要建立相應的網關層面，充分發揮網關的作用，使服務器的價值得到有效的運用，以此來實現計算機網絡安全與穩定的維護和發展。

2.2包過濾型技術

這種包過濾技術是在傳統的路由器中增加了分組過濾功能的防火墻，其能夠在計算機網絡中進行安全風險識別過濾，這種防火墻技術是一種最簡單完全透明的過濾型技術。此技術在計算機傳輸信息過程中能獲取數據來源地的IP，并且還能主動將該IP的數據信息掌握標記好。如果注冊該技術與標記的IP相符，就存在著數據包有危險因素，此時就要將其中的安全隱患處理好才可以進行數據傳輸。包過濾技術將計算機傳輸路徑進行劃分工作，確定不同的傳輸路徑，能夠很好地保障計算機網絡的傳輸安全，這種技術通常用于路由器以及主機等地方，可以根據計算機網絡需求提供相應的安保需求。但是，這種技術也受本身的端口限制，因此在兼容性能上來說是比較差的。

2.3混合型技術

混合型防火墻技術在計算機網絡安全中是效果最突出的一種復合技術，是把包過濾與服務器等諸多功能相結合形成的新型防火墻結構。這種技術可以很靈活的保障計算機網絡的安全運行，此技術把單一的技術問題與漏洞進行了改善，是近年來計算機網絡安全運行非常重視的一項技術研究。這種技術具有一定的靈活性，以動態的過濾方法打破信息交換的方式，智能的感應系統有效地提高了計算機網絡信息傳輸的隱蔽性，提升了網絡空間的安全水平。防火墻技術與復合技術二者雙管齊下進行保護，形成了一種混合型的多方位層次度不同的防火墻系統，充分提高了防火墻的實時安保效果。

3防火墻技術的發展

3.1檢測模式的轉變

如今這種類型防火墻技術已成為計算機網絡安全中最具代表性的一種防火墻模式。傳統的防火墻都是在邊界處以數據傳輸進行分隔安全管理，不能很好地對內部網絡進行安全隱患提醒清除。因此，防火墻技術開始分布式結構轉變，將每個網絡節點進行覆蓋保護，很好的確定了流量的方向，減少了計算機網絡安全檢測的難度，最大限度地提升了網絡安全保護的強度，很好地改善了傳統防火墻的缺陷與漏洞問題，讓網絡安全防御性得到升華，大大提升了計算機網絡信息安全保障。

3.2功能改變

如今防火墻技術呈現出一種集多種功能于一體的設計趨勢，其包括aaa、vpn，甚至是防病毒以及入侵檢測等功能都被設計于防火墻之中，這樣多功能技術的防火墻對網絡信息管理帶來了不少便捷。當然，這種擴展式網絡管理首先要想到防火墻系統本身的安全性能不被破壞。

3.3性能提升

由于計算機網絡應用逐漸豐富、流量也日益復雜，所以，在防火墻技術硬件性能上的要求也越來越高。當防火墻某個硬件性能達到一定瓶頸期的時候，我們可以把部分硬件進行升級處理，以此來達到網絡安全的目的。因此，在未來防火墻技術軟件中融入更先進的設計技術來衍生出更多專用平臺來緩解防火墻性能要求是必不可少的技術研究。

4防火墻技術在計算機網絡安全中的應用及策略

4.1訪問策略中應用

訪問策略對于計算機使用中的網絡安全具有直接的影響作用，把配置通過詳細的安排讓訪問策略對整個計算機的運行信息進行細致入微的分析統計，以此來建立起完善的防護系統。訪問策略在網絡安全執行保護的過程中會產生策略表，此表可以很好地將策略活動進行記錄，然后防火墻技術會根據策略表來執行其應有的任務，真正有效地實現計算機網絡安全保護的效果與目的。

4.2日志監控中應用

防火墻技術對保護日志進行分析，能夠讓人們掌握高價值的信息，在計算機運行的過程中，需要對日志進行重點保護，對于某個類型的日志進行全面的采集，這就使防火墻需要承擔巨大的工作內容，因此需要合理地進行分門別類，將監管力度加大，使日志采集更具有便捷性，避免一些惡意屏蔽信息的現象出現。有時關鍵信息會隱藏在類別信息中，用戶可以根據需求將有價值的信息提取出來，根據日志監控的基礎，提升防火墻技術安全保護效果，以此讓其更好地進行篩選，從而實現網絡流量得到優化的目的。

4.3安全配置中應用

防火墻技術對于安全配置有著很高的要求，其最大的特點在于安全配置隔離區域之中的運行方式，即信息流由防火墻技術自動監控，通過對地址轉換的利用，將內網信息IP流入外網時轉換為公共IP信息，這樣才能防止IP信息被追蹤解析，這時安全配置會很好地發揮其隱藏IP、防止外網入侵等作用，為內網安全提供有力的保護。

第6篇：防火墻在網絡中的作用范文

關鍵詞：網絡信息安全；大型網絡；硬件防火墻；三次握手；過濾；CPU負載

伴隨著信息技術的發展，網絡已經成為人們工作生活必不可少的工具，而網絡信息安全也越來越受到人們的重視。防火墻技術的發展將促進防火墻成為網絡安全的重要保障，而硬件防火墻會成為保護大中型網絡信息安全的首選!

一、大中型網絡為何選擇硬件防火墻

軟件防火墻是安裝在計算機操作平臺的軟件產品，它通過在操作系統底層工作來實現管理網絡和優化防御功能。

對于大中型網絡來說，將軟件防火墻裝人內部網絡的每臺設備和內部服務器中來保護網絡安全的工作量是巨大的，在實際操作比較困難。首先，大中型網絡需要穩定高速運行，而基于操作系統的軟件防火墻運行將會給CPU增加超重負荷，造成路由不穩定，勢必影響網絡。其次，大中型網絡會是黑客們攻擊的對象，面對高速密集的DOS(拒絕服務)攻擊，顯然，單憑軟件防火墻本身承受能力是無法做到抵御黑客，保護網絡安全的。再次，軟件防火墻在兼容性方面不及硬件防火墻。正是軟件防火墻存在這些缺點．在大中型網絡中一般會采用硬件防火墻。

二、硬件防火墻的工作原理和網絡安全防御策略

2．1防火墻在網絡中的位置

外部防火墻工作在外部網絡和內部網絡之間，這樣的布署將內部網絡和外部網絡有效地隔離起來，已達到增加內部網絡安全的目的。一般情況下，還要設立一個隔離區(DMZ)，放人公開的服務器，讓外網訪問時，就能增加內網的安全。而內部防火墻保護隔離區對內網的訪問安全，這樣的綜合布署將有效提高網絡安全。

2．2硬件防火墻的構成

硬件防火墻為了克服軟件防火墻在大中型網絡中的不足，對軟件防火墻進行了改進。通過硬件和軟件的結合來設計防火墻，硬件和軟件部分都必須單獨設計，將軟件防火墻嵌入在硬件中同時，采用專門的操作系統平臺(加入Linux系統，因為有些指令程序需要安裝在Windows系統之中，而Windows穩定性不如Linux，如果在本身就很脆弱的系統平臺中布署安全策略．這樣的防火墻也會不安全)，從而避免通用操作系統的安全性漏洞。對軟硬件的特殊要求，使硬件防火墻的實際帶寬與理論值基本一致，提高吞吐量、增加安全性，加快運行速度。將這樣的硬件防火墻安裝進入大中型網絡，不僅在可以有效地保障內網與外網鏈接時的安全．而且可以保障內部網絡中不同部門不同區域之間的安全。

2．3大中型網絡安全威脅來源

現今的網絡使用的都是TcP，IP協議，TCP報文段傳輸最重要的就是報文段首部(segmenthea&r)~的內容。客戶端和服務端的服務響應都是與報文段首部的數據相關聯，而三次握手能夠實現也和報文段首部的數據相關，其安全性也取決于首部內容，因此黑客經常利用TCPflP協議的漏洞對報文段首部下手從而實現有外網對內網進行攻擊。

在大中型網絡內部也有部門的劃分，對于一些比較重要的部門就連內部網絡其他部門也要授權后才能進行訪問，這樣就會最大限度保障網絡的安全，因為有的大型網絡的安全關系到國家社會的安全和穩定，所以如果在內部發生網絡威脅將會帶來更大的損失。

2．4網絡中的攻擊手段

網絡中主要的攻擊手段就是對服務器實行拒絕服務攻擊，用IP欺騙使服務器復位合法用戶的連接，使其不能正常連接．還有就是迫使服務器緩沖區滿，無法接受新的請求。

2．4．1偽造IP欺騙攻擊

IP欺騙中攻擊者構造一個TCP數據，偽裝自己的IP和一個合法用戶IP相同，并且對服務器發送TCP數據，數據中包含復位鏈接位(RST)，當發送的連接有錯誤時，服務器就會清空緩沖區中建立好的正確連接。這時，如果那個合法用戶要再發送合法數據，服務器就不會為其服務，該用戶必須重新建立連接。

2．4．2SYNFLooD攻擊

SYNFLOOD是利用了TCP協議的缺陷，一個正常的TCP連接需要三次握手，首先客戶端發送一個包含SYN標志的數據包，然后服務器返回一個SYN／ACK的應答包，表示客戶端的請求被接受，最后客戶端再返回一個確認包ACK，這樣才完成TCP連接。在服務器端發送應答包后，如果客戶端不發出確認，服務器會等待到超時，期間這些半連接狀態都保存在一個空間有限的緩沖區隊列(BacklogQueue)中。SYNFLOOD攻擊就是利用服務器的連接緩沖區，使用一些特制的程序(可以設置TCP報文段的首部，使整個T0P拉文與正常報文類似，但無法建立連接)，向服務器端不斷地成倍發送僅有SYN標志的TCP連接請求，當服務器接收的時候，都認為是沒有建立起來的連接請求，于是為這些請求建立會話，排到緩沖區隊列中，這樣就會使服務器端的TCP資源迅速耗盡，當緩沖區隊列滿時，服務器就不再接收新的連接請求了。其他合法用戶的連接都會被拒絕，導致正常的連接不能進入，甚至會導致服務器的系統崩潰。

2．4．3ACKHood攻擊

用戶和服務器之間建立了TCP連接后，所有TCP報文都會帶有ACK標志位，服務器接受到報文時，會檢查數據包中表示連接的數據是否存在，如果存在，在檢查連接狀態是否合法，合法就將數據傳送給應用層，非法則服務器操作系統協議棧會回應RST包給用戶。對于JSP服務器來說，小的ACK包沖擊就會導致服務器艱難處理正常得連接請求，而大批量高密度的ACKFlood會讓A．pache或IIS服務器出現高頻率的網卡中斷和過重負載，最終會導致網卡停止響應。ACKFlood會對路由器等網絡設備以及服務器造成影響。

2．4．4UDPFlood攻擊

UDPFlood攻擊是利用UDP協議無連接的特點，偽造大量客戶端IP地址向服務器發起UDP連接，一旦服務器有一個端口響應并提供服務，就會遭到攻擊，UDPFlood會對視頻服務器和DNS服務器等造成攻擊。

2．4．5ICMPFlood攻擊

ICMPFlood通過Pin生的大量數據包，發送給服務器，服務器收到大量ICMP數據包，使CPU占用率滿載繼而引起該TCP／IP棧癱瘓，并停止響應TCP／IP請求，從而遭受攻擊，因此運行逐漸變慢，進而死機。

除了以上幾種攻擊手段，在網絡中還存在一些其他攻擊手段，如寬帶DOS攻擊，自身消耗DOS攻擊，將服務器硬盤裝滿，利用安全策略漏洞等等，這些需要硬件防火墻對其做出合理有效防御。

2．5硬件防火墻防御攻擊的策略

2．5．1偽造IP欺騙攻擊的防御策略

當IP數據包出內網時檢驗其IP源地址，每一個連接內網的硬件防火墻在決定是否允許本網內部的IP數據包發出之前，先對來自該IP數據包的IP源地址進行檢驗。如果該IP包的IP源地址不是其所在局域網內部的IP地址，該IP包就被拒絕，不允許該包離開內網。這樣一來，攻擊者至需要使用自己的IP地址才能通過連接網關或路由器。這樣過濾和檢驗內網發出數據包的IP源地址的方法基本可以做到預防偽造IP欺騙攻擊。

2．5．2SYNFLo0D攻擊防御策略

硬件防火墻對于SYNFLOOD攻擊防御基本上有三種，一是阻斷新建的連接，二是釋放無效連接，三是SYNCookie和SafeRe．set技術。

阻斷新建連接就是在防火墻發現連半開連接數閾值和新建連接數閾值被超時時，SYNFLOOD攻擊檢測發現攻擊，暫時阻止客戶向服務器發出的任何請求。防火墻能在服務器處理新建連接報文之前將其阻斷，削弱了網絡攻擊對服務器的影響，但無法在服務器被攻擊時有效提升服務器的服務能力。因此，一般配合防火墻SYNFlood攻擊檢測，避免瞬間高強度攻擊使服務器系統崩潰。釋放無效鏈接是當服務器上半開連接過多時，要警惕冒充客戶端的虛假IP發起無效連接，防火墻要在這些連接中識別那些是無效的．向服務器發送復位報文，讓服務器進行釋放，協助服務器恢復服務能力。SYNCo0kie和SafeReset是驗證發起連接客戶的合法性。防火墻要保護服務器入口的關鍵位置，對服務器發出的報文進行嚴格檢查。

2．5．3ACKFlood攻擊防御策略

防火墻對網絡進行分析，當收包異常大于發包時，攻擊者一般采用大量ACK包，小包發送，提高速度，這種判斷方法是對稱性判斷．可以作為ACKFlood攻擊的依據。防火墻建立hash表存放TCP連接狀態，從而大致上知道網絡狀況。

2．5．4UDPHood攻擊防御策略

UDPF1ood攻擊防御比較困難，因為UDP是無連接的，防火墻應該判斷UDP包的大小，大包攻擊則采用粉碎UDP包的方法，或者對碎片進行重組。還有比較專業的防火墻在攻擊端口不是業務端口是丟棄UDP包，抑或將UDP也設一些和TCP類似的規則。

2．5．5ICMPFlood攻擊防御策略

對于ICMPFlood的防御策略，硬件防火墻采用過濾ICMP報文的方法。硬件防火墻還對網絡中其他的一些攻擊手段進行著安全有效的防御，保護著網絡的安全。

三、硬件防火墻的配置考慮要素和選購標準

硬件防火墻是網絡硬件設備，需要安裝配置，網絡管理人員應該要考慮實際應用中硬件規則的改變調整，配置參數也在不斷改變。對于硬件防火墻的安全策略也應該考慮到，哪些數據流被允許，哪些不被允許，還有等等，還有授權的問題，外網域內網之問，內網里各個不同部門之間，還有DMZ區域和內網等，這些都需要照顧到。詳盡的安全策略應該保證硬件防火墻配置的修改工作程序化．并能盡量避免因修改配置所造成的錯誤和安全漏洞。除此之外還要考慮CPU負載問題，過高的CPU負載可能是遭到網絡DOS攻擊。硬盤中保留日志記錄也很重要，這對檢查硬件防火墻有著重要作用，還要定期檢查。:

第7篇：防火墻在網絡中的作用范文

雖然防火墻和入侵檢測技術在網絡安全領域中占著舉足輕重的地位，但由于它們自身存在的一些不足，導致其無法滿足網絡安全整體化的需求。通過分析比較兩者的優缺點，提出將入侵檢測技術與防火墻緊密結合，二者之間進行聯動，從而實現對網絡系統的即時保護。

關鍵詞：

防火墻；入侵檢測；聯動；網絡安全

隨著互聯網的深入發展，網絡攻擊方式層出不窮，令人防不勝防；而防火墻和入侵檢測作為防護網絡安全的兩種重要技術手段，雖被廣泛采用，但由于自身缺陷，使得兩者的防范內容不盡相同。比如防火墻只能防范來自外部的攻擊而無法解決來自網絡內部的攻擊；入侵檢測只能識別攻擊發出報警卻不能自動產生適當的響應去阻止攻擊等等，為了滿足網絡安全整體化的要求，提出將防火墻和入侵檢測這兩種具有較強互補性的技術整合在一起進行聯動，揚長避短，充分發揮各自的優勢，提高網絡安全防護水平，最大程度的保障網絡及信息的安全。

1防火墻技術

防火墻[1]指的是一個由軟件和硬件組合而成的高級訪問控制設備，是置于不同網絡安全域之間執行訪問控制策略的一種或一系列部件的組合。防火墻位于網絡安全防護體系的最外一層，通常會被放置在外網與內網之間的出入口處。作為不同網絡安全域之間通信流的唯一通道，它為實現網絡安全起到了把關的作用。防火墻技術實際上是一種隔離技術,通過制訂安全策略（允許、拒絕、監視、記錄），將內部信任區域與外部不安全區域（如因特網）或內部網不同可信區域有效隔離,最大限度的對外部屏蔽網絡內部的信息、結構和運行狀況，以此來實現網絡的安全防護。雖然防火墻能在網關級進行保護，但只提供靜態防御，防御規則事先就已經設置完畢，一旦規則設置有誤或者安全形勢發生變化，防火墻就失去了即時應變的能力，因此它是一種被動的安全防護技術，存在一定的局限性，主要表現為：1）防火墻默認內部網絡都是可信的，如果內部網絡中存在后門，那些不經過防火墻的攻擊數據包進入到內網時防火墻無法防范和響應。2）防火墻的訪問控制策略需事先設置，不能實時調整策略規則來阻止正在進行的攻擊，缺少應變性無法主動防范新的安全威脅。3）防火墻既不能防止受病毒感染的文件或程序的傳輸也不能防止基于某些標準網絡協議的攻擊。

2入侵檢測技術

入侵檢測[2]是對計算機網絡系統中入侵行為的檢測。它通過收集和分析網絡行為、日志數據以及網絡系統中若干關鍵點信息，檢查網絡系統中是否存在入侵或違反規則的行為并及時做出響應，例如斷網、報警、記錄事件信息等。入侵檢測系統簡稱IDS(IntrusionDetectiveSystem)由進行入侵檢測的軟件和硬件所構成。與防火墻的被動防御不同，入侵檢測采取的是一種積極主動地安全防護手段，能在不影響網絡性能的前提下通過旁路監聽方式不間斷地收取網絡數據，主動尋找入侵信號，對系統中的異常現象或未授權的訪問、活動等事件進行審計、追蹤、識別和檢測。入侵檢測不僅能察覺到來自系統外部的入侵，同時也能發現系統內部用戶未經授權的活動，主動保護自己免受網絡攻擊，因此被認為是防火墻之后的第二道安全閘門。盡管如此，入侵檢測技術還是存在一些局限性：1）由于入侵檢測通常依賴特征匹配，每截獲一個數據包都要分析和匹配，檢測其中的數據是否具備攻擊特征，因此會耗費大量的時間和系統資源，使得入侵檢測的檢測速度跟不上網絡數據的傳輸速度，通常在數據包巨多的流量面前它會迅速失效。2）入侵檢測的漏報率和誤報率都比較高，產生漏報的一大原因是攻擊特征數據庫不能及時更新；另外一些舊式的攻擊對已更新的操作系統不起作用，如果模式庫中還存有這些攻擊特征，就會導致入侵檢測頻繁報警，這些無效報警很大程度上無疑加大了入侵檢測的誤報率。3）入侵檢測往往重點都放在對網絡中入侵攻擊行為的識別上，所以即使檢測到攻擊也很難采取有效的保護措施去阻止攻擊。

3防火墻與入侵檢測的聯動

通過以上的分析對比可以看出兩者在網絡安全防護方面都存在一定的缺陷，防火墻側重于提供靜態訪問控制、入侵檢測側重于主動發現入侵。如果把這兩種技術結合在一起，集中二者的長處，形成互補，建立緊密的聯動關系，相互提供保護屏障，既可以提升防火墻的機動性也能增強入侵檢測系統的阻斷能力。

所謂聯動[3]是指通過一種組合的方式，將不同的安全技術進行整合，由其他安全技術彌補某一安全技術自身功能和性能的缺陷，以適應網絡安全立體化、整體化的要求。本文提出的防火墻與入侵檢測系統聯動的方式是指將防火墻和入侵檢測劃分為兩個獨立的子系統，單獨完成各自的任務，兩者之間通過相應的通信接口和協議進行信息共享和互動，實現一體化的主動防御；同時為了防止交互信息被黑客竊取和攻擊，相互間的通信需要進行認證和加密。防火墻與入侵檢測系統之間的聯動協作流程如圖1所示。聯動實現過程如下：1)首先防火墻安置于Internet與內部網絡的連接處，這樣當外網中的數據包要進入內網時就需經過它預先設定的訪問規則控制鏈表，通過篩選過濾數據包可以阻擋一部分攻擊。2)經過防火墻篩選過濾后的數據包以及繞過防火墻沒有經過篩選的數據包都進入到內網中，這時部署在內網中的入侵檢測系統不間斷的提取這些數據包依據自身的規則庫對它們進行分析比對，一旦發現入侵企圖立即報警并將報警信息[4]（包括事件入侵類型，源地址，目的地址，源端口，目的端口及阻斷時間等）轉換成統一的報警格式，通過加密、認證后發送給防火墻。3)防火墻收到入侵檢測的通知后立刻做出針對性的改進，動態修改相應的安全策略完善其訪問控制規則，從而避免該攻擊行為的再次發生。4)入侵檢測系統每隔一段時間自動升級入侵特征庫防止當新的攻擊類型出現時，不能及時做出響應。

4結束語

本文根據防火墻和入侵檢測的特點，提出建立防火墻與入侵檢測系統的聯動，這是目前網絡安全產品的發展趨勢；但由于防火墻和入侵檢測本身都是比較復雜的系統，若將兩者結合勢必要對各自的硬件進行升級同時聯動中多了認證和加密，如果在數據傳輸中被假冒和竊聽則防火墻和入侵檢測的性能都會受到影響，今后還需在這方面展開研究，力爭創造一個更加智能、穩固的安全防護系統。

參考文獻:

[1]曲朝陽,崔洪杰,王敬東,等.防火墻與入侵檢測系統聯動的研究與設計[J].微型機與應用,2012(5):48-50.

[2]江保利.防火墻與入侵檢測聯動防御系統研究[J].信息技術,2013(10):28-29.

[3]桂春梅,鐘求喜,王懷民.基于UML的防火墻和入侵檢測聯動模型的研究[J].計算機工程與科學,2004,26(11):25-26.

第8篇：防火墻在網絡中的作用范文

關鍵詞：信息安全防火墻過濾遷移

在信息社會中，信息具有和能源、物源同等的價值，在某些時候甚至具有更高的價值。具有價值的信息必然存在安全性的問題，對于企業更是如此。經濟社會的發展更要求各用戶之間的通信和資源共享，需要將一批計算機連成網絡才能保證電子商務活動的正常開展，這樣就帶來了更多的安全隱患。特別是對當今最大的網絡——國際互聯網，很容易遭到別有用心者的惡意攻擊和破壞。信息的泄露問題也變得日益嚴重，因此，計算機網絡的安全性問題就變得越來越重要。

如何來保證計算機網絡的安全性呢？方法雖然很多，但防火墻技術絕對是其中最高效、實用的方法之一。在構建安全的網絡環境的過程中，防火墻作為第一道安全防線，正受到越來越多用戶的關注。通常一個公司在購買網絡安全設備時，總是把防火墻放在首位。目前，防火墻已經成為世界上用得最多的網絡安全產品之一。那么，防火墻是如何保證網絡系統的安全，又如何實現自身安全的呢？本文從防火墻的概念出發，詳細分析了防火墻的功能，并按其保證安全方法的不同進行了分類:包過濾式防火墻、服務式防火墻、地址遷移式防火墻等。

一、防火墻介紹

防火墻是指一種將內部網和公眾訪問網分開的方法，是網絡之間一種特殊的訪問控制設施。在Internet網絡與內部網之間設置的一道屏障，防止黑客進入內部網，由用戶制定安全訪問策略，抵御各種侵襲的一種隔離技術。它能允許你“同意”的人和數據進入你的網絡，將“不同意”的人和數據拒之門外，最大限度地阻止網絡中的黑客來訪問你的網絡，防止他們更改、拷貝、毀壞你的重要信息；能限制被保護的網絡與互聯網絡之間，或者與其他網絡之間進行的信息存取、傳遞操作；能根據企業的安全策略控制出入網絡的信息流，且本身具有較強的抗攻擊能力。是提供信息安全服務，實現網絡和信息安全的基礎設施。在邏輯上，防火墻是一個分離器，一個限制器，也是一個分析器，有效地監控了內部網和Internet之間的任何活動，保證了內部網絡的安全。防火墻的安全技術包括包過濾技術、技術和地址遷移技術等。

二、防火墻的作用

1.作為網絡安全的屏障

只有經過精心選擇的應用協議才能通過防火墻，可使網絡環境變得更安全。如防火墻可以禁止NFS協議進出受保護的網絡，這樣外部的攻擊者就不可能利用這些脆弱的協議來攻擊內部網絡。防火墻同時可以保護網絡免受基于路由的攻擊，如IP選項中的源路由攻擊和ICMP重定向中的重定向路徑。防火墻應該可以拒絕所有以上類型攻擊的報文并通知防火墻管理員。

2.可以強化網絡安全策略

通過以防火墻為中心的安全方案配置，能將所有安全軟件（如口令、加密、身份認證、審計等）配置在防火墻上。與將網絡安全問題分散到各個主機上相比，防火墻的集中安全管理更經濟。例如在網絡訪問時，一次一密口令系統和其他的身份認證系統完全可以不必分散在各個主機上，而集中在防火墻身上。

3.可以對網絡存取和訪問進行監控審計

如果所有的訪問都經過防火墻，那么，防火墻就能記錄下這些訪問并做出日志記錄，同時也能提供網絡使用情況的統計數據。當發生可疑動作時，防火墻能進行適當的報警，并提供網絡是否受到監測和攻擊的詳細信息。另外，收集一個網絡的使用和誤用情況也是非常重要的。可以清楚防火墻是否能夠抵擋攻擊者的探測和攻擊，并且清楚防火墻的控制是否充足。而網絡使用統計對網絡需求分析和威脅分析等也是非常重要的。

4.可以防止內部信息的外泄

通過利用防火墻對內部網絡的劃分，可實現內部網重點網段的隔離，從而限制了局部重點或敏感網絡安全問題對全局網絡造成的影響。

三、防火墻的技術分類

1.包過濾技術（PacketFilter）式防火墻

包過濾是在網絡層中對數據包實施有選擇的通過，依據系統事先設定好的過濾邏輯，檢查數據據流中的每個數據包，根據數據包的源地址、目標地址，以及包所使用端口確定是否允許該類數據包通過。在互聯網這樣的信息包交換網絡上，所有往來的信息都被分割成許許多多一定長度的信息包，包中包括發送者的IP地址和接收者的IP地址。當這些包被送上互聯網時，路由器會讀取接收者的IP并選擇一條物理上的線路發送出去，信息包可能以不同的路線抵達目的地，當所有的包抵達后會在目的地重新組裝還原。包過濾式的防火墻會檢查所有通過信息包里的IP地址，并按照系統管理員所給定的過濾規則過濾信息包。如果防火墻設定某一IP為危險的話，從這個地址而來的所有信息都會被防火墻屏蔽掉。這種防火墻的用法很多，比如國家有關部門可以通過包過濾防火墻來禁止國內用戶去訪問那些違反我國有關規定或者“有問題”的國外站點。包過濾路由器的最大的優點就是它對于用戶來說是透明的，也就是說不需要用戶名和密碼來登錄。這種防火墻速度快而且易于維護，通常做為第一道防線。包過濾路由器的弊端也是很明顯的，通常它沒有用戶的使用記錄，這樣就不能從訪問記錄中發現黑客的攻擊記錄。而攻擊一個單純的包過濾式的防火墻對黑客來說是比較容易的。如“信息包沖擊”是黑客比較常用的一種攻擊手段，黑客們對包過濾式防火墻發出一系列信息包，不過這些包中的IP地址已經被替換掉了，取而代之的是一串順序的IP地址。一旦有一個包通過了防火墻，黑客便可以用這個IP地址來偽裝他們發出的信息。通常它沒有用戶的使用記錄，這樣我們就不能從訪問記錄中發現黑客的攻擊記錄；此外，配置繁瑣也是包過濾防火墻的一個缺點。它阻擋別人進入內部網絡，但也不告訴你何人進入你的系統，或者何人從內部進入網際網路。它可以阻止外部對私有網絡的訪問，卻不能記錄內部的訪問。包過濾另一個關鍵的弱點就是不能在用戶級別上進行過濾，即不能鑒別不同的用戶和防止ip地址盜用。所以說包過濾型防火墻是某種意義上的安全系統。

2.服務式防火墻

服務是另一種類型的防火墻，它通常是一個軟件模塊，運行在一臺主機上。服務器與路由器的合作，路由器實現內部和外部網絡交互時的信息流導向，將所有的相關應用服務請求傳遞給服務器。服務作用在應用層，其特點是完全“阻隔”了網絡通信流，通過對每種應用服務編制專門的程序，實現監視和控制應用層通信流的作用。服務的實質是中介作用，它不允許內部網和外部網之間進行直接的通信。

用戶希望訪問內部網某個應用服務器時，實際上是向運行在防火墻上的服務軟件提出請求，建立連接;理服務器代表它向要訪問的應用系統提出請求，建立連接;應用系統給予服務器響應;服務器給予外部網用戶以響應。外部網用戶與應用服務器之間的數據傳輸全部由服務器中轉，外部網用戶無法直接與應用服務器交互，避免了來自外部用戶的攻擊。通常服務是針對特定的應用服務而言的，不同的應用服務可以設置不同的服務器。目前，很多內部網絡都同時使用分組過濾路由器和服務器來保證內部網絡的安全性，并且取得了較好的效果。

3.地址遷移式防火墻

由于多種原因，IPv4地址逐步面臨耗盡的危機，而Ipv6的實際應用還有待時日。隨著企業上網的人數增多，企業獲得的公共IP地址（稱全局IP地址，或者實際IP地址）可能難以和企業上網的實際設備數目匹配，這種現象具有加劇的傾向。一種可能的解決方案是為每個企業分配若干個全局IP地址，企業網內部使用自定義的IP地址（稱為本地IP地址或者虛擬IP地址）。當內外用戶希望相互訪問時,專門的路由器（NAT路由器）負責全局/本地IP地址的映射。NAT路由器位于不同地址域的邊界處，通過保留部分全局IP地址的分配權來支持IP數據報的跨網傳輸。其工作原理:(1)地址綁定（靜態或者動態的建立本地/全局地址的映射關系）;(2)地址查找和轉換（對數據報中的相關地址信息進行修改）;(3)地址解綁定（釋放全局地址）。

地址遷移式防火墻實際上融合了分組過濾和應用的設計思想，可以根據應用的需求限定允許內外網訪問的結點；可以屏蔽內網的地址，保證內網的安全性。數據報分析是NAT路由器必須做的工作（例如，修改IP數據報攜帶的高層協議數據單元中的地址信息），因此可以有選擇地提供/拒絕部分跨網的應用服務。

四、小結

在互聯網上防火墻是一種非常有效的網絡安全模型，通過它可以隔離風險區域與安全區域的連接，同時不會妨礙人們對風險區域的訪問。隨著電子商務的不斷發展，防火墻技術必將在網絡安全方面著發揮更加重要的作用和價值。

參考文獻:

[1]高峰許南山:防火墻包過濾規則問題的研究[J].應用,2003,23(6)

第9篇：防火墻在網絡中的作用范文

當前，日益嚴重的Web威脅已是網絡安全的發展趨勢。據不完全統計，目前70％的網絡攻擊是發生在應用層，而不是網絡層。對于這類攻擊，傳統網絡防火墻往往“心有余而力不足”。因為，傳統網絡防火墻的防護重點在網絡層，所以，很多Web攻擊利用網絡防火墻開放的端口，躲過其監測，直接針對目標應用程序。

隨著應用層受到攻擊的概率越來越大，傳統網絡防火墻的不足之處開始明顯暴露。對此，一些防火墻廠商開始有意識地針對應用層的威脅，在防火墻產品上增加一些彈性概念的特征，推出所謂的Web應用防火墻，試圖防范這些來自應用層的攻擊。

難以抵擋的Web威脅

有統計數字顯示，過去的2008年中，網絡安全漏洞數量比2007年增長13.5％，總共發現了7406個全新的安全漏洞。2001-2006年間，安全漏洞平均年增長率是36.5％。安全漏洞數置在2008年達到前所未有的水平。在所有的安全漏洞中，有54.9％是Web應用安全漏洞，2008年披露的Web應用安全漏洞中，有74.0％到年底都還沒有補丁。

這就是當前的網絡安全現狀，網絡威脅已經轉向以Web威脅為主。雖然傳統網絡防火墻在抵御SQL注入攻擊等網絡層攻擊方面，發揮了重要作用，但其不足之處也越來越明顯。

首當其沖的是無法檢測加密的Web流量。由于網絡防火墻對于加密的SSL流中的數據是不可見的，防火墻無法迅速截獲SSL數據流并對其解密，因此無法阻止應用程序的攻擊，甚至有些網絡防火墻，根本就不提供數據解密的功能。

在如今大多數網絡防火墻中，依賴的是靜態的特征庫，與入侵監測系統的原理類似。只有當應用層攻擊行為的特征與防火墻中的數據庫中已有的特征完全匹配時，防火墻才能識別和截獲攻擊數據。因此，普通應用程序加密后，也能輕易躲過防火墻的檢測。

應該說，由于體系結構的原因，即使是先進的網絡防火墻，在防范Web應用程序時，由于無法全面控制網絡、應用程序和數據流，也無法截獲應用層的攻擊。由于對于整體的應用數據流，缺乏完整的、基于會話(Session)級別的監控能力，因此，傳統網絡防火墻很難預防新的未知攻擊。

這種情況下，企業級防火墻開始增加統一威脅管理(UTM)服務，如防病毒、防間諜軟件、入侵防御、內容過濾，甚至一些防垃圾郵件服務，以增強威脅防御功能。這就是Web應用防火墻產生的原因。

基于策略聯動防御

與傳統防火墻作為單一的硬件盒子不同，Web應用防火墻不只是單一產品，還需要基于策略并且結合企業的Web應用進行具體的安全咨詢。因此，在給企業用戶部署Web應用防火墻時，安全廠商需要對企業的各種內部應用非常了解，比如對OA、MIS、ERP等應用系統的支持。

目前，Web應用防火墻的實際應用并不多，用戶對其的認知接受也在過程中。從技術上看，很多Web應用防火墻已經脫離了防火墻本身的范疇，可以理解為一個Web應用交付平臺。目前已推出基于策略的防火墻產品基本以國外廠商為主，國內廠商暫時少見類似的產品。

事實上，并非對Web服務器提供保護的“盒子”都是Web應用防火墻，目前而言，一個標準的Web應用防火墻至少需要具備四大功能：安全防護，即對于針對Web服務器的攻擊要具備防御能力，同時還要對數據泄密具備監管能力；應用加速。除了防護以外，企業用戶在網絡之中，需要對應用的運轉效率進行控制，比如對TCP協議的緩沖、對SSL VPN的加速、對訪問管理的卸載等；可擴展性。很多企業的Web服務器數量龐大，Web應用防火墻需要對應用交付和負載均衡提供支持；IP審計。Web應用防火墻本身對所有流量進行過濾的時候，本身必須具備一套策略，即哪些流量需要阻斷，哪些可以放過。這些相關的策略標準與策略模型需要對企業流行的應用進行支持。