防火墻解決方案精選(九篇)

前言：一篇好文章的誕生，需要你不斷地搜集資料、整理思路，本站小編為你收集了豐富的防火墻解決方案主題范文，僅供參考，歡迎閱讀并收藏。

第1篇：防火墻解決方案范文

zyi

防火墻是保護我們網絡的第一道屏障，如果這一道防線失守了，那么我們的網絡就危險了。所以我們有，必要注意一下安裝防火墻的注意事項。

1　防火墻實現了你的安全政策

防火墻加強了一些安全策略。如果你沒有在放置防火墻之前制定安全策略，那么現在就是制定的時候了。它可以不被寫成書面形式，但是同樣可以作為安全策略。如果你還沒有明確關于安全策略應當做什么，安裝防火墻就是你能做的最好的保護你的站點的事情，并且要隨時維護它也是很不容易的事情。要想有一個好的防火墻，你需要好的安全策略――寫成書面的并且被大家所接受。

2　一個防火墻在許多時候并不是一個單一的設備

除非在特別簡單的案例中，防火墻很少是單一的設備，而是一組設備。就算你購買的是一個商用的“all-in-one”防火墻應用程序，你同樣得配置其他機器(例如你的網絡服務器)來與之一同運行。這些其他的機器被認為是防火墻的一部分，這包含了對這些機器的配置和管理方式，他們所信任的是什么，什么又將他們作為可信的等等。你不能簡單的選擇一個叫做“防火墻”的設備卻期望其擔負所有安全責任。

3　防火墻并不是現成的隨時獲得的產品

選擇防火墻更像買房子而不是選擇去哪里度假。防火墻和房子很相似，你必須每天和它待在一起，你使用它的期限也不止一兩個星期那么多。都需要維護否則都會崩潰掉。建設防火墻需要仔細的選擇和配置一個解決方案來滿足你的需求，然后不斷的去維護它。需要做很多的決定，對一個站點是正確的解決方案往往對另外站點來說是錯誤的。

4　防火墻并不會解決你所有的問題

并不要指望防火墻靠自身就能夠給予你安全。防火墻保護你免受一類攻擊的威脅，人們嘗試從外部直接攻擊內部。但是卻不能防止從LAN內部的攻擊，它甚至不能保護你免受所有那些它能檢測到的攻擊。

5　使用默認的策略

正常情況下你的手段是拒絕除了你知道必要和安全的服務以外的任何服務。但是新的漏洞每天都出現，關閉不安全的服務意味著一場持續的戰爭。

6　有條件的而不是輕易的的妥協

人們都喜歡做不安全的事情。如果你允許所有的請求，你的網絡就會很不安全。如果你拒絕所有請求，你的網絡同樣是不安全的，你不會知道不安全的東西隱藏在哪里。那些不能和你一同工作的人將會對你不利。你需要找到滿足用戶需求的方式，雖然這些方式會帶來一定量的風險。

7　使用分層手段

使用多個安全層來避免某個失誤造成對你關心的問題的侵害。

8　只安裝你所需要的

防火墻機器不能像普通計算機那樣安裝廠商提供的全部軟件分發。作為防火墻一部分的機器必須保持最小的安裝。即使你認為有些東西是安全的也不要在你不需要的時候安裝它。

9　使用可以獲得的所有資源

不要建立基于單一來源信息的防火墻。特別是該資源不是來自廠商。有許多可以利用的資源：例如廠商信息、我們所編寫的書、郵件組和網站。

10　只相信你能確定的

不要相信圖形界面的手工和對話框或是廠商關于某些東西如何運行的聲明，檢測來確定應當拒絕的連接都拒絕了，檢測來確定應當允許的連接都允許了。

11　不斷的重新評價決定

你五年前買的房子今天可能已經不適合你了。同樣的，你一年以前所安裝的防火墻對于你現在的情況已經不是最好的解決方案了。對于防火墻你應當經常性的評估你的決定并確認你仍然有合理的解決方案。更改你的防火墻。就像搬新家一樣。需要明顯的努力和仔細的計劃。

12　要對失敗有心理準備

做好最壞的心理準備。機器可能會停止運行，動機良好的用戶可能會做錯事情，有惡意動機的用戶可能做壞的事情并成功的打敗你。但是一定要明白當這些事情發生的時候這并不是一個完全的災難。

2010年全球安全軟件銷售收入將增長11.3％

據GaRner分析師稱，2010年全球安全軟件行業銷售收入將達到165億美元，增長11.3％。

這個預測比2009年的148億美元的銷售收入有顯著的增長。2009年安全軟件銷售收八的增長率下降到7％。導致一些人認為2010年的安全軟件市場銷售會更糟糕。

然而，Gartner分析師說。且前的安全軟件市場狀況要比2001年和2002年的狀況好得多。分析師把持續的增長歸功于市場的成熟、普及率、IT的信心以及地理的和垂直的市場混合情況。

第2篇：防火墻解決方案范文

在愈加廣泛的網絡應用中，來自社會各行業領域的安全需求日益加大

不同的行業及需求特點決定了不同的安全適用機制

愈加細分和個性化的服務正在引導著信息安全產業走向未來

公孫龍《白馬論》中提到：“白馬者，馬與白也，馬與白非馬也。故曰：白馬非馬也。”

關于安全的應用，許多人都耳熟能詳――知道對付病毒要用殺毒軟件，對付網絡攻擊要用防火墻等。這幾乎已經成為一種安全意識習慣。但如果真是所有人對安全都可以這樣說得清、用得明，那么中國安全產業的規模也許還能在目前基礎上翻幾番。然而，事實并非如此。

安全產業正面臨著這樣的尷尬：一方面，產品越來越豐富，新的理念不斷涌現，任何細分的產品都有一整套完備的技術體系；另一方面，終端用戶則越來越“笨”，他們面對安全的信息海洋無所適從，越來越沒有安全感。我們不妨理一理安全產業的脈絡，尋找安全真跡。

足跡：面向產品的單點防御系統

安全產品的產生源于頭痛醫頭、腳痛醫腳的傳統唯物觀，根據不同的安全需求，便產生了不同的安全產品。據CCID數據報告，2005年的整個網絡安全市場，殺毒軟件占25.6%，防火墻占43.4%，入侵檢測（IDS）占10.4%，其它產品占20.6%，很明顯，病毒攻擊、內網攻擊、外網攻擊已經成了目前最大的安全問題，于是便產生了殺毒軟件、IDS和防火墻三大明星產品。

防火墻自產生之初便有許多非議，但作為網關級的安全設備經過多年的發展，已經成為最出色的網絡安全細分產品。其市場增長率在安全產品中居首位，占市場份額43.4%，統治地位十分突出，2005年依然出現了整體優勢的局面。

IDS也是一個頗有爭議的產品，基于事件統計的旁路監聽設備一開始是被認為無用的，但是它的出現使得漆黑的網絡中出現了一個可以四處照照的探照燈，至少可以幫助網管分析內部網絡中的流量，發現一些安全隱患，當它能與防火墻進行聯動時，就開啟了它的真正應用。

殺毒軟件首先出現在桌面領域，網絡化的移植是網絡發展的必然產物，因此雖然只有幾年的歷史，已經輕松成為第二大安全產品，占據著25.6%的市場份額。

無論是防火墻還是IDS，我們都可以發現這樣一個事實，就是并不是產品有了很強的功能才引來用戶的使用，而是經過多年的教育，使用戶終于明白這些東西的作用。因此，安全產品的瓶頸不在于產品功能的改進，而在于如何能夠有效地教育用戶。不要怪用戶笨，這都是我們做技術時的一廂情愿，總以為好的技術就一定會有市場。

因此防火墻之后出現了防毒墻，IDS之后出現了IPS，現在又出現了垃圾郵件網關、UTM、防水墻等等連內行人都說不全的產品。人們一點也不會懷疑這些在新型理念支撐下新型設備的威力，但是如何教育用戶將原有的設備丟掉而使用這些新產品，是個問題。

熱點：面向方案的整合體系

教育用戶是無止境的，它需要強大的財力做后盾，用時間和感情將陣地慢慢推進，于是廠商開始思考，如何才能快速取悅用戶，首先他們想到了功能整合。就拿防火墻來說，早些時候還有胖瘦之爭，即胖防火墻注重功能，瘦防火墻注重效率，而幾年過去了，這種之爭自然消失了，目前主流的當然是胖防火墻，大家拼命在產品中裝入大量的功能，隨便拿一個防火墻的說明書來看，功能都在十幾項，因為沒人能容忍幾十萬塊錢的東西只有一個流量控制功能，哪怕其它十幾項功能從來都不會用到。最近有些防火墻開始集成防毒墻的功能，不但能進行流量管理還能進行病毒過濾，相信這種深層的功能整合將會越來越普遍。

當然還有行為整合，由此產生了主動防御的理念。安全軟件廠商提出的主動防御是將一些原來分層的安全統一起來，比如將底層的漏洞掃描、已知病毒掃描、未知病毒掃描、升級等原來相對耦合的行為統一起來，形成一個僅需要用戶很少參與的閉合安全系統，將全面安全問題一鍵解決。安全硬件廠商提出的主動防御（如思科自防御網絡）是利用認證體系對連入網絡的客戶端進行強制性管理。從這兩方面可以看出，軟件廠商主要是從技術角度，而硬件廠商主要是從網管角度來對目前的體系進行整合，企圖達到主動防御的目的。

目前最流行的還是產品整合，就是我們常說的解決方案。功能整合需要廠商很強的研發實力，行為整合需要廠商很強的架構能力，只有產品整合最容易實現也最能滿足終端用戶的實際需求。隨著用戶應用系統和網絡環境的日益復雜，安全威脅日益增多，眾多攻擊手段讓傳統上各自為戰的安全產品破綻百出，單一產品已無法滿足用戶全面的網絡安全需求，只有將不同安全側重點的安全技術有效融合，形成真正有效的安全整體解決方案才能抵御威脅入侵，但是，這樣也有問題。

未來：面向行業的個性化安全

產品聯動是設備廠商解決方案的賣點，按需定制則是方案廠商解決方案的賣點。但這些都沒有真正以用戶的需求作為方案設計的驅動力。

第3篇：防火墻解決方案范文

自成立以來，Check Point 一直專注于IT安全的防護。為了滿足客戶不斷變化的需求，公司已研發出多種技術來保護企業和個人的互聯網應用，確保他們業務和溝通的安全。

2006年，Check Point 發明了統一安全構架，此架構采用單一管理控制臺、統一安全網關以及為端點安全而設計的單一。2009年初，Check Point推出了具有突破意義的安全創新技術——軟件刀片架構。這是一個動態的、革新性架構，可提供安全、靈活和簡單的解決方案，也可以滿足各種組織和環境的具體安全需求。

2013年2月，Check Point宣布推出新的21700設備，其外形為小巧的2U機箱，可提供業界領先的安全性以及最快性能。21700設備可直接輸出高達78 Gbps的防火墻吞吐量和25 Gbps的IPS吞吐量，其SPU（安全電源組件，Security Power Units）得分可達2，922。21700設備充分利用屢獲殊榮的Check Point的軟件刀片架構，可為大型企業和數據中心提供業界領先的多層安全保護。

現如今，多種技術的采用使網絡資源的壓力和需求日益增強，需要更大帶寬和更快的處理速度，因此，安全網關必須具備整合多種技術的能力。全新21700設備提升了性能和流量，在2U機箱可實現極高功率，滿足各種規模環境的多種安全級別需求。

全新21700安全網關優化的性能增強技術可在低延遲、多元傳輸環境中提供多層安全保護，同時提升了防火墻性能，實現最高可達110 Gbps的防火墻吞吐量。全新21700設備使客戶能夠在一個高效小巧的裝置中保持網絡性能，并擴展安全功能性。

21700設備作為21000設備陣容的一員，支持安全加速模塊（Security Acceleration Module）。安全加速模塊采用新型安全核心（ Security Core）技術，通過專用硬件加速提高性能，提供108個專用安全核心。通過安全加速模塊，21700設備可使防火墻延遲低于5微秒，把防火墻吞吐量提升至110 Gbps，同時提供超快速VPN吞吐量并擁有高達3，551 的SPU，是多元傳輸環境的理想選擇。

第4篇：防火墻解決方案范文

關鍵詞：安全連接；防火墻；VPN；SSL

Abstract:With the continuous development of the Internet，the company's internal network size is also increasing，mutual exchange of information are becoming more frequent and important issue of network security is increasingly important. This article describes a VPN combined with a firewall to build internal security network，thereby protecting the internal security of the information.

Keywords:Secure connection；Firewall；VPN；SSL

1 引言

互聯網絡發展至今，改變了人們的生活方式和企業的經營方式，通過Internet可以進行交易、查詢、傳遞信息及視頻互動等，更成為企業快速獲得信息的重要渠道。隨著網絡范圍、用戶數量的不斷擴展，企業的網絡安全問題日趨嚴重，由于計算機系統的安全威脅，給組織機構帶來了重大的經濟損失。在所有安全威脅中，外部入侵和非法訪問是最為嚴重的安全事件[1]。

隨著互聯網的發展和攻擊者工具與手段的升級，網絡管理需要考慮整個安全體系的綜合協調性。隨著網絡技術的迅猛發展，Internet已成為主流的低成本通訊構架，它給人們的生活和工作帶來了極大方便。但是，在開放式因特網通信中，信息傳輸的安全性和私密性卻得不到很好的保障。VPN(Virtual Private Network，簡稱VPN)技術[2]是當前廣泛應用的安全傳輸技術之一。將防火墻與VPN結合應用的技術可以解決這樣問題，從而提升企業內部網絡的安全性。

2 VPN網絡的安全設計

2.1 VPN系統的網絡結構

VPN即虛擬專用網絡，是通過公用網絡建立一個臨時的、安全的連接，是一條穿過混亂的公用網絡的安全、穩定的隧道。通常，VPN是對企業內部網的擴展，通過它可以幫助遠程用戶、公司分支機構、商業伙伴同公司的內部網建立可信的安全連接，并保證數據的安全傳輸。VPN可用于不斷增長的移動用戶的全球因特網接入，以實現安全連接；可用于實現企業網站之間安全通信的虛擬專用線路，用于經濟有效地連接到商業伙伴和用戶的安全外聯網虛擬專用網。

特點：

(1) 安全保障：VPN通過建立一個隧道，利用加密技術對傳輸數據進行加密，以保證數據的私有和安全性。

(2) 服務質量保證（QoS）：VPN可以不同要求提供不同等級的服務質量保證。

(3) 可擴充性和靈活性：VPN可支持通過Internet和Extranet的任何類型的數據流。

(4) 可管理性：VPN可以從用戶和運營商角度方便地進行管理。

2.2 VPN系統的關鍵技術

(1) 安全隧道技術

(2) 用戶認證技術

(3) 訪問控制技術

2.3 VPN系統的工作流程

VPN系統建立安全連接的主要流程如下:

安全連接的建立流程

當安全連接建立之后，客戶端就可以和內網中的主機在傳輸加密子模塊的控制下進行安全通信，從而形成了一個專用網絡。

3 VPN與防火墻結合的安全解決方案

3.1 網絡邊界安全解決方案

防火墻是一個網絡的安全核心，其演變經歷了五代。第五代，即新一代防火墻超出了原來傳統意義上防火墻的范疇，已經演變成一個全方位的安全技術集成系統。

(1) 防火墻在企業各機構間的部署

防火墻被部署在企業各機構的內部與外部網絡之間。內部和外部網絡被完全隔離開，所有來自外部網絡的服務請求只能到達防火墻，防火墻對收到的數據包進行分析后將合法的請求傳送給相應的內部服務主機，對于非法訪問加以拒絕。內部網絡的情況對于外部網絡的用戶來說是完全不可見的。由于防火墻是內部網絡和外部網絡的唯一通訊信道，因此，防火墻可以對所有針對內部網絡的訪問進行詳細的記錄，形成完整的日志文件。

邊界防火墻通過源地址過濾，拒絕外部非法IP地址，有效地避免了外部網絡上與業務無關的主機的越權訪問。防火墻可以只保留有用的服務，將其他不需要的服務關閉，可將系統受攻擊的可能性降低到最小限度。邊界防火墻可以進行地址轉換工作，外部網絡不能看到內部網絡的結構，使黑客攻擊失去目標。

(2) 防火墻在企業各機構內部的部署

企業的計算機網絡是一個多層次、多節

點、多業務的網絡，各節點間的信任程度較低，但由于業務的需要，各節點和服務器群之間又要頻繁地交換數據。在這樣一個擁有很多分支機構的大型企業網絡環境中，保證網間安全是非常重要的。大型企業在其每個分支機構和總部之間的網絡連接都必須設置防火墻，確保內部子網間的安全性。在同一機構的各個部門也要根據具體情況設置部門級的防火墻。企業內的主要部門都有自己獨立的防火墻，實現部門內網和外部的隔離。各部門內部的對外訪問由各自的防火墻控制，同時部門的防火墻也防止了部門外部試圖對部門內部的訪問。

企業計算機網絡中設置多層次的防火墻后，一方面可以有效地防范來自外部網絡的攻擊行為，另一方面可以為內部網絡制定完善的安全訪問策略，從而使整個企業網絡具有較高的安全級別。

3.2 企業各個所屬機構之間的數據安全傳輸解決方案

通過采用SSLVPN技術，利用Internet可以構建一個基于廣域網的、安全的企業私有網絡。VPN使公司所有網絡在Internet上組成一個安全的、虛擬的大局域網，企業建立VPN之后可以在廣域網環境下建立和局域網環境下一樣的多種應用，包括分布式OA、分布式ERP、分布式CRM、分布式財務管理等。

采用SSL技術通過在公網建立加密的數據隧道，所有數據經過高強度、不可逆的加密及動態密鑰技術進行傳輸，有效地保證了數據的安全性，嚴格地講通過SSLVPN傳輸數據比直接在專網上傳輸明碼數據的安全性更高。

4 小結

本文給出的安全方案為企業的網絡安全應用提供了一個借鑒和參考。在這些系統的實現中，可以根據應用的不同采用適合的網絡安全輔助設備，構建以防火墻為核心的SSLVPN網絡安全體系架構，提高內部網絡的安全系數。

參考文獻

[1]Rebecca Gurley Bace.入侵檢測[M].陳明奇，吳秋新，等，譯.北京:人民郵電出版社，2001.

[2]高海曲，薛元星，等.VPN技術[M].機械工業出版社，2004.

[3]馬春光，郭方方.防火墻、入侵檢測與VPN[M].北京:北京郵電大學出版社，2008.

第5篇：防火墻解決方案范文

關鍵詞：防火墻；功能；不足；新一代防火墻

中圖分類號：TP393文獻標識碼：A文章編號：1009-3044(2008)09-11593-02

The Network Firewall Function and Role

SUN Wei

(Fushun Vocational and Technical College, Fushun 113006, China)

Abstract: In this paper the issue of network security, firewall concept, the lack of traditional firewall, a new generation of firewall technology application and development of several trends, which is the firewall in network security play an important role in firewall technology and the future outlook.

Key words: firewall; Functional; Insufficient；a new generation of firewall

近年來，隨著計算機網絡技術的突飛猛進，網絡安全的問題已經日益突出地擺在各類用戶的面前。目前在互聯網上大約有將近20%以上的用戶曾經遭受過黑客的困擾。網絡安全已經成為人們日益關心的問題。目前，網絡面臨的安全威脅大體上分為兩種：一種是對網絡數據的威脅；另一種是對網絡設備的威脅。其中，來自外部和內部人員的惡意攻擊是當前因特網所面臨的最大威脅，是網絡安全策略最需要解決的問題。目前解決網絡安全問題的最有效辦法是采用防火墻。

1 防火墻概述

從字面上看，防火墻就是一種防止外界侵犯，保護自己的設施，從本質上說，是一種保護裝置，是用來保護網絡資源和數據以及用戶的信譽，

具體來說，防火墻是一類硬件配合相應的軟件，用來保護數據安全的設施。

2 什么是防火墻

防火墻原是指建筑物大廈用來防止火災蔓延的隔斷墻。我們通常所說的網絡防火墻是借鑒了古代真正用于防火的防火墻的喻義，它指的是隔離在本地網絡與外界網絡之間的一道防御系統，是一種將內部網和公眾訪問網（如Internet）分開的方法，它實際上是一種隔離技術，使互聯網與內部網之間建立起一個安全網關。從而保護內部網免受非法用戶的侵入。原則上，防火墻可以被認為是這樣一對機制：一種機制是攔阻傳輸流通行，另一種機制是允許傳輸流通過。那么，防火墻究竟是什么呢？實際上，防火墻是加強Internet與內部網之間安全防御的一個或一組系統，它由一組硬件設備（包括路由器、服務器）及相應軟件構成。

3 傳統的網絡防火墻存在的不足

傳統的防火墻如包過濾防火墻、防火墻、狀態監視防火墻都是采用逐一匹配方法，

計算量太大。因此，它們都有一個共同的缺陷――安全性越高，檢查的越多，效率越低。用一個定律來描述，就是防火墻的安全性與效率成反比。

沒有人懷疑防火墻在所有的安全設備采購中占據第一的位置。但傳統的防火墻并沒有解決網絡主要的安全問題。目前網絡安全的三大主要問題是：以拒絕訪問（DDOS）為主要目的的網絡攻擊，以蠕蟲（Worm）為主要代表的病毒傳播，以垃圾電子郵件（SPAM）為代表的內容控制。這三大安全問題覆蓋了網絡安全方面的絕大部分問題。而這三大問題，傳統的防火墻是無能為力的。

4新一代防火墻技術及應用

新一代防火墻技術不僅覆蓋了傳統包過濾防火墻的全部功能，而且在全面對抗IP欺騙、SYN Flood、ICMP、ARP等

攻擊手段方面有顯著優勢，增強服務，并使其與包過濾相融合，再加上智能過濾技術，使防火墻的安全性提升到又一高度。

4.1 新一代分布式防火墻技術

(1)概念：分布式防火墻負責對網絡邊界、各子網和網絡內部各節點之間的安全防護，所以“分布式防火墻”是一個完整的系統，而不是單一的產品。根據其所需完成的功能，新的防火墻體系結構包含如下部分：

①網絡防火墻；②主機防火墻；③中心管理。

(2)優勢：在新的安全體系結構下，分布式防火墻代表新一代防火墻技術的潮流，它可以在網絡的任何交界和節點處設置屏障，從而形成了一個多層次、多協議，內外皆防的全方位安全體系。

①增強系統安全性：增加了針對主機的入侵檢測和防護功能，加強了對來自內部攻擊防范，可以實施全方位的安全策略；②提高了系統性能：消除了結構性瓶頸問題，提高了系統性能；③系統的擴展性：分布式防火墻隨系統擴充提供了安全防護無限擴充的能力；④實施主機策略：對網絡中的各節點可以起到更安全的防護；⑤應用更為廣泛，支持VPN通信

4.2 新一代嵌入式防火墻技術

(1)概念：嵌入式防火墻就是內嵌于路由器或交換機的防火墻。嵌入式防火墻是某些路由器的標準配置。用戶也可以購買防火墻模塊，安裝到已有的路由器或交換機中。嵌入式防火墻也被稱為阻塞點防火墻。

(2)優勢：嵌入式防火墻能夠將防范入侵的功能分布到網絡中的每一臺PC、筆記本以及服務器。分布于整個網絡的嵌入式防火墻使用戶可以方便地訪問信息，并且不會將網絡資源暴露在非法入侵者面前。嵌入式防火墻的分布結構還可以避免由于發生某一臺端點系統的入侵而導致整個網絡受影響的情況，同時也使通過公共賬號登錄網絡的用戶無法進入限制訪問權限的計算機系統。

嵌入式防火墻解決方案能將安全防范的功能延伸到邊緣防火墻的范圍之外，并分布到網絡的終端。這一策略使網絡幾乎不受任何惡意代碼或黑客攻擊的威脅。即使攻擊者完全通過了防火墻的防護并取得了運行防火墻主機的控制權，也將寸步難行。

4.3 新一代智能防火墻技術

智能防火墻從技術特征上，是利用統計、記憶、概率和決策的智能方法來對數據進行識別，并達到訪問控制的目的。新的數學方法，消除了匹配檢查所需要的海量計算，高效發現網絡行為的特征值，直接進行訪問控制。由于這些方法多是人工智能學科采用的方法，因此被稱為智能防火墻。

智能防火墻的關鍵技術有：

(1)防范惡意數據攻擊；(2)防范黑客攻擊；(3)防范MAC欺騙和IP欺騙；(4)入侵防御；(5)防范潛在風險與傳統防火墻相比，智能防火墻在保護網絡和站點免受黑客的攻擊、阻斷病毒的惡意傳播、有效監控和管理內部局域網、

保護必需的應用安全、提供強大的身份認證授權和審計管理等方面，都有廣泛的應用價值。

5 防火墻技術展望

隨著網絡處理器和ASIC芯片技術的不斷革新，高性能、多端口、高粒度控制、減緩病毒和垃圾郵件傳播速度、對入侵行為智能切斷、以及增強抗DoS攻擊能力的防火墻，將是未來防火墻發展的趨勢。

5.1 高性能的防火墻需求

高性能防火墻是未來發展的趨勢，突破高性能的極限就是對防火墻硬件結構的調整。ASIC技術雖然開發難度大，但卻能夠保障系統的效率并很好地集成防火墻的功能，在今后網絡安全防護的路途上，防火墻采用ASIC芯片技術將要成為主導地位。

5.2 管理接口和SOC的整合

如果把信息安全技術看做是一個整體行為的話，那么面對防火墻未來的發展趨勢，管理接口和SOC整合也必須考慮在內，畢竟安全是一個整體，而不是靠單一產品所能解決的。隨著安全管理和安全運營工作的推行，SOC做為一種安全管理的解決方案已經得到大力推廣。

5.3 抗DoS能力

從近年來網絡惡性攻擊事件情況分析來看，解決DoS攻擊也是防火墻必須要考慮的問題了。利用ASIC芯片架構的防火墻，可以利用自身處理網絡流量速度快的能力，來解決存在于這個問題上的攻擊事件。但是，解決這個問題并不是單單靠ASIC芯片架構就可以的，更多的還是面向對應用層攻擊的問題，有待于新技術的出現。

5.4 減慢蠕蟲和垃圾郵件的傳播速度的功能

作為網絡邊界的安全設備，未來防火墻發展趨勢中，減緩和降低蠕蟲病毒與垃圾郵件的傳播速度，是必不可少的一部分了。加強防火墻對數據處理中的粒度和力度，已經成為未來防火墻對數據檢測高粒度的發展趨勢。

5.5 對入侵行為的智能切斷

安全是一個動態的過程，而對于入侵行為的預見和智能切斷，做為邊界安全設備的防火墻來說，也是未來發展的一大課題。從IPS的出發角度考慮，未來防火墻必須具備這項功能。具備對入侵行為智能切斷的一個整合型、多功能的防火墻，將是市場的需求。

5.6 多端口并適合靈活配置

多端口的防火墻能為用戶更好的提供安全解決方案，而做為多端口、靈活配置的防火墻，也是未來防火墻發展的趨勢。

5.7 專業化的發展

單向防火墻、電子郵件防火墻、FTP防火墻等針對特定服務的專業化防火墻將作為一種產品門類出現。 總的來說，未來的防火墻將是智能化、高速度、低成本、功能更加完善、管理更加人性化的網絡安全產品的主力軍。

參考文獻：

[1] 袁家政.計算機網絡安全與應用技術[M].北京:清華大學出版社,2002.

[2] 常紅.網絡完全技術與反黑客[M].長春:冶金工業出版社,2001.

[3] 張兆信.計算機網絡安全與應用[M].北京:機械工業出版社,2005.

[4] 李大友.計算機網絡安全.北京:清華大學出版社,2005.

第6篇：防火墻解決方案范文

該方案可以自動解決安全管理軟件同防病毒軟件的沖突問題，大大減少了安全管理軟件在部署、實施、運維過程中，網管人員的工作量，同時也提高了用戶體驗，減少了用戶的抵觸情緒，為企業內網安全方案的落地打下良好的基礎。

關鍵詞 安全管理；殺毒軟件；代碼簽名；驅動

中圖分類號TP39 文獻標識碼A 文章編號 1674-6708（2014）116-0212-03

0 引言

從電腦誕生之日起，病毒和各種安全問題就一直困擾著人們。特別是在網絡購物越來越普遍，互聯網理財越來越普及的情況下，防病毒軟件已經成為當前PC的標配。

在企業中，工作PC和服務器的安全問題，就更加重要。企業不僅僅要在每臺工作PC和服務器上安裝好殺毒軟件、防火墻，并且還需要在終端上安裝對主機安全更有保障的安全管理軟件，如銳捷網絡的GSN，華為的TSM，華三的IMC等。這些安全管理軟件，一般都具有1X認證、微軟補丁更新、外設管理、進程管理、注冊表管理、系統服務管理、網絡攻擊防御、防機密數據泄漏等功能，可以極大的增強企業內網安全，保護企業敏感數據。但是，這些安全管理軟件，都不可避免的存在一個共同的問題：那就是安全管理軟件同防病毒軟件的沖突問題。

有過安全管理軟件部署和使用的網絡管理員，都應該有這樣的體會：除了初次部署時的各種兼容性問題排查，日常運行管理過程中也還會遇到各種各樣的沖突問題。也許在安全管理軟件升級了，或者防病毒軟件升級病毒庫之后，沖突問題又忽然爆發。這樣的問題，讓安全管理方案的落地存在很大的問題，原本為了提高企業內部安全，降低網絡管理人員工作而引入安全管理軟件，反而成為了一個新的痛苦點。那么，這樣的問題有沒有辦法徹底解決呢。本文主要針對該問題進行一些分析和探討。

1 什么會有這么多的沖突問題

要解決問題，首先就要先了解問題發生的原因。安全管理軟件和防病毒軟件為什么會發生這樣的沖突呢？這首先要從防病毒軟件的病毒檢測機制說起，一般來說防病毒軟件的檢測機制有被動檢測和主動檢測兩種。目前基本上所有防病毒軟件都兼具兩種檢測方式，只是不同的品牌側重點不同。對于被動檢測，也就是根據各種病毒特征（如應用程序PE文件的特征，MD5值、進程名稱等）進行判斷，殺毒軟件通過不斷的升級病毒庫來增加各種病毒庫特征。對于主動檢測，其實就是殺毒軟件根據應用程序的行為（如調用了哪些敏感API，監聽了哪些端口，訪問了哪些敏感資源，或者某幾種動作的組合）等來進行判斷是否存在風險。

從以上分析可以發現，防病毒軟件和安全管理軟件存在天然的沖突問題，因為安全管理軟件事實上從技術的角度來看，和黑客軟件的行為有著很大的相似之處。如也會調用一些敏感資源，檢查某些文件、注冊表，防殺（如惡意用戶通過惡意殺掉安全管理軟件的進程來逃脫監管）等。不過安全管理軟件不會如黑客軟件那樣，惡意竊取敏感信息，惡意復制、刪除、創建惡意文件等，如當年臭名昭著的“熊貓燒香”病毒，就是通過篡改感染用戶的各種可執行文件，導致用戶主機癱瘓，資料丟失。

也正因為如此，防病毒軟件產品也經常將安全管理軟件進行誤殺。那么，有什么辦法來解決這些問題呢？

2 如何防止誤殺

要解決誤殺問題，首先要解決的就是信任問題。要讓殺毒軟件信任安全管理軟件，目前一般會采用如下一些解決辦法：

方法一：用戶手動將安全管理軟件加入防病毒軟件的白名單中（如360的文件白名單）。

方法二：安全管理軟件廠商每次版本之前，將安全管理軟件申請放到防病毒軟件廠商的免殺列表中。

方法三：安全管理軟件盡量不調用一些敏感的API，不訪問一些敏感的資源，做一些類似病毒的行為。

如上幾個方法，似乎可行，但是實際上并不好使。

如方法一，似乎可行，但是首先一點是，對于企業用戶，很多人對于IT技術并不熟悉。讓其手動添加白名單，特別是一些企業的老員工，更是一竅不通。即使是比較精通IT技術的年輕人，也不一定能夠判斷出某進程是否安全。

如方法二，首先，該方法是一種企業間的白名單行為。不是所有防病毒廠商都提供這樣的服務，特別是一些海外的防病毒軟件廠商，在國內只有商，通常是無法聯系到廠商的售后的。即使是對于有提供這些服務的防病毒軟件廠商，也有問題。如有的廠商需要一定的費用（長期以來，對于安全管理軟件廠商來說，也是一個負擔），有的廠商審核周期太長，可能需要好幾天，甚至一個月。這對于一些面臨驗收的項目，或者出現嚴重故障，急需修復BUG的安全管理產品來說，也是不可接受的。更重要的是，加入白名單，很多時候，只能避免安裝過程沒問題。當進行一些敏感操作時，還是會被誤殺。

如方法三，首先，這不太可能，因為安全管理軟件需要做一些安全相關的防護，甚至會做到驅動級別，因此不調用敏感API，就無法實現這些功能。一些敏感資源也是必須訪問的，如禁用U盤，U盤加密等。這是安全管理軟件很常見的一些功能。對于ARP欺騙等網絡攻擊行為，安全管理軟件甚至還需要分析網絡報文來對攻擊行為進行防御和定位（如銳捷GSN產品中的ARP立體防御解決方案）。

綜上所述，如上的這些方案，都無法完全解決這些問題。那么還有其他什么解決方案嗎？

解決方案的著眼點，應該還是信任問題。如果通過各種技術來反檢測，那么最終可能會演變為一種新的“3Q大戰”。那么是否存在第三方的信任機構，來對應用程序提供信任擔保呢。事實上，的確有。業界早就存在第三方的安全認證機構，如VeriSign、GlobalSign、StartCom。說起這些機構，大家可能都不熟悉。但是如果談到https或者ssl，可能大家就比較熟悉了。目前任何銀行和電子商務平臺，都是必須用到這些技術的。而這些第三方安全認證機構目前提供最多的就是SSL證書。SSL證書是數字證書的一種，通過非對稱算法，在客戶端和服務端之間建立一條安全的通訊通道。而這個通訊通道建立的前提，就是這些第三方機構提供的電子證書是被業界所有廠商都認可的。如微軟的OS就內嵌了VerSign，StartCom的根證書。

SSL主要用于客戶機和服務器之間的安全信任問題。類似的，對于應用程序之間的信任，也有一種對應的電子證書：代碼簽名證書。

代碼簽名證書能夠對軟件代碼進行數字簽名。通過對代碼的數字簽名來標識軟件來源以及軟件開發者的真實身份，保證代碼在簽名之后不被惡意篡改。使用戶在下載已經簽名的代碼時，能夠有效的驗證該代碼的可信度。也就是說，代碼簽名證書其實主要解決兩個問題，一個是軟件來源問題，一個是保證代碼不被篡改。而代碼簽名證書，本身有一套非常完善的機制，如使用非對稱算法（RSA）來進行代碼簽名證書的生成和防篡改等，從技術上就能做到證書的防偽造。

因為這個代碼簽名證書是業界認可的第三方證書，也就是可信的，所以利用代碼簽名證書的這兩個特性，應該可以很好的解決安全管理軟件和防病毒軟件的沖突問題。經過測試可以發現，國內外的殺毒軟件，全部都承認代碼簽名證書。對于有使用代碼簽名證書簽名的安全管理軟件程序，防病毒軟件都會認為其是安全的，不會再進行各種誤殺和攔截。

既然代碼簽名證書可以解決這個沖突問題，并且可以防止被防病毒軟件誤殺，那么木馬病毒程序是否可以采用這種方式來避免被防病毒軟件殺掉呢？理論上是可以的，但是事實上存在一定難度。因為代碼簽名證書的申請不是隨便誰都可以申請的，是需要提供各種企業執照和證明文件，如果出現這樣的病毒。那么對應的企業是需要承擔法律責任的。所以，擁有這種代碼簽名證書的企業需要很小心的保管自己公司的代碼簽名證書。同時，代碼簽名證書也是有時效的，超過時效，那么這個代碼簽名將不會認可，防病毒軟件就照殺不誤了。如果出現證書丟失等異常情況，也有相應的證書吊銷機制可以解決這個問題。

4 如何解決惡意破壞

綜上所述，安全管理軟件的安裝和執行得到了信任，那么是不是安全管理軟件和防病毒軟件的沖突就可以徹底解決了呢。大部分是已經可以了，但是還不完全，前面我們提到有些惡意用戶為了繞開安全監管，會采用防病毒軟件的相關機制來破壞安全管理軟件的正常運行。一種很典型的做法就是，使用防火墻軟件，禁止安全管理軟件客戶端和服務器端的通訊。這樣一樣，網絡管理人員就無法通過下發安全管理策略，來管理企業網內部的工作PC了。部署安全方案的目的也就無法很好的達成。

除了惡意破壞，還存在如下兩種情況，導致客戶端無法同服務器端進行通訊，正常的安全管理業務流程失敗。

問題一：上網用戶由于網絡知識有限，不懂如何配置防火墻使安全管理軟件客戶端能夠同服務器端進行通訊。

問題二：上網用戶在防火墻判斷是否放行時，由于無法作出判斷，出于安全起見，禁止安全管理軟件客戶端訪問網絡。

對于這些問題，業界還沒有好的解決方案，一般只能由管理員幫助上網用戶進行配置和解決問題，但是如果企業內部工作PC數量眾多，各種工作PC的應用環境復雜，所使用的殺毒軟件和防火墻產品、版本和實現機制各不相同，耗費的工作量是巨大的。而且在防火墻升級、工作PC重裝操作系統，客戶改用其他殺毒軟件的情況下，又需要耗費大量的時間進行折騰。而且，網管的技術能力目前在業界也是良莠不齊，很多網管也無法解決這些問題。

通過分析，可以發現當前業界主流的防火墻主要采用2種技術：SPI和NIDS中間層驅動。

SPI：簡單一點說就是防火墻中同進程關聯的一種報文過濾技術，它能夠截獲進程發起的網絡連接，然后判斷該進程是否允許發起這個網絡鏈接。

NIDS中間層驅動：NIDS驅動位于更底層，它能夠對網絡訪問的所有報文進行過濾。但是無法根據進程信息進行過濾。也就是如果其允許目的端口為80的報文通過。那么所有使用目的端口為80進行網絡訪問的進程發出的網絡報文都能夠通過。

一般業界的防火墻均采用2兩種技術進行組合來實現。這樣就可以解決其他進程冒用NIDS中間層驅動允許端口進行訪問的問題。也可以解決，NIDS無法定位進程的問題了。

由于基于SPI的防火墻是工作于應用層的，因此能夠攔截應用程序發起的網絡鏈接，在某些情況下，就可能將客戶端發起的網絡鏈接阻斷。

由于基于NIDS驅動的防火墻是工作在核心層的，因此能夠攔截所有固定特征的報文。在某些情況下，就可能將客戶端發起的網絡鏈接阻斷。

因此，要解決客戶端同服務器端的通訊不被防火墻阻斷，本文可通過實現一個“客戶端驅動程序”（如上圖所示）來解決該問題。該客戶端驅動程序為TDI驅動，與TCP/IP這個TDI驅動同一位置，因此所有網卡收到的報文都將同時拷貝一份給“客戶端驅動程序”，不會經過系統自帶的TCP/IP驅動和TCP/IP協議棧，因此不會被基于SPI（甚至基于TDI驅動）的防火墻所過濾，而目前能夠實現根據程序進行報文過濾的防火墻基本都是使用這兩種技術。該“客戶端驅動”由于同TCP/IP位于同一位置，因此無法使用Socket等WindowsAPI來實現TCP/IP傳輸。因此要實現客戶端同服務端的通訊，還需要“客戶端驅動程序”實現TCP/IP協議的相關功能。由于TCP過于復雜，因此“客戶端驅動程序”采用實現UDP相關功能來實現IP報文的傳輸。“客戶端驅動程序”能夠防止通訊報文被基于SPI和基于TDI方式進行過濾的防火墻所過濾。

通過以上方式，客戶端和服務端通訊的報文還可能被基于NIDS中間層驅動的防火墻給過濾。如瑞星防火墻就默認過濾所有報文，只開放少數必備端口，如80（http）和53（dns）.對于使用NIDS驅動進行報文過濾的防火墻，由于上網用戶訪問網絡是一定要訪問DNS服務的（DNS的訪問端口53），并且NIDS無法得到進程信息。因此可以使“客戶端驅動程序”的目的端口采用這些必備端口即可，本文中采用53端口（通過將端口修改為其他一定能夠訪問的端口也是可以的，53只是一個比較通用的做法，因為大部分人訪問網絡都是為了訪問internet）。

通過以上兩種方式，即可解決客戶端同服務器端網絡通訊被防火墻阻斷的問題。下圖為實現本方案，客戶端程序至少需要實現的模塊：

業務解析模塊：同業務相關的模塊（不同的產品是不一樣的），從自定義傳輸協議棧獲取服務器端發送過來的業務信息。將業務信息發送給自定義傳輸協議棧。

自定義傳輸協議棧：將業務相關的信息，根據自定義協議，封裝到IP報文中。該傳輸協議棧，本方案只規定了采用UDP協議實現。UDP報文中的內容，不同的產品根據不同要求能夠有不同的實現（如報文大小，安全要求程度不一樣，應用層的實現都是不一樣的）。

客戶端驅動程序：TDI驅動，接收服務端發送過來的報文，并轉發給自定義傳輸協議棧處理。接收自定義傳輸協議棧封裝好的報文，并通過網卡轉發給服務端。

對于服務器端，需要實現對應的自定義傳輸協議和業務解析模塊，但是不需要實現客戶端驅動。因為服務端都是管理員負責管理的，不存在這個防火墻的問題。

本方案既能夠應用于Windows操作系統環境下的TCP/IP網絡環境，也可以擴展到其他操作系統上的，如Linux和Unix等，因為其網絡體系架構基本上是一樣的。不過，目前國內的企業網，基本上都是Windows操作系統的終端，采用其他OS的PC很少。

4 結論

雖然目前殺毒軟件和防火墻軟件功能已經越來越強大。但是，這些軟件的功能，主要還是針對用戶的操作系統環境，進行病毒的檢測和防御。對于安全要求較高的企業網，部署相應的安全解決方案，還是很有必要的。對于一些裸奔（不安裝任何殺毒軟件和防火墻軟件）的PC，其安全性是完全無法保障的，企業信息的泄密幾率也大大的增加。但是，安全管理軟件同防病毒軟件的沖突問題，卻使安全解決方案的部署無法達到預期的效果。本文針對這個問題，通過使用“代碼簽名證書”，基于底層驅動的“客戶端驅動程序”，解決了業界普遍存在的安全管理軟件和防病毒軟件的沖突問題，使安全管理方案的落地有了一個良好的基礎。大大提高了企業內網的安全，極大的減輕了企業網網絡管理員的工作負擔。

參考文獻

[1]代碼簽名證書.http：///link？url=B4VdrnuSOBmgeRYdAsssYwGZ32a4MRZbzMKhLrlu9n-6IhCgYqbOKSqQKGArOFvNdDB8etVjoy0eG-M9yvoGb.

第7篇：防火墻解決方案范文

Sidewinder防火墻是由SecureComputing公司推出的高安全級別防火墻產品。它具備一體化(all-in-one)防火墻或統一威脅管理(Unified Threat Management)安全設備的優點，能夠保護用戶的應用程序和網絡安全運行，在用戶應用層檢查全部開啟的情況下，應用層的吞吐率可達到千兆比特。同時，Sidewinder將廣泛的網關安全功能整合在一個系統中，從而降低了管理整個安全解決方案的復雜性。這些功能內嵌在Sidewinder的Application Defenses 防火墻/VPN 網關中，內嵌的功能包括防病毒、防間諜軟件、反垃圾郵件、URL過濾、加速的HTTPS/SSL端點、DoS攻擊防護、流量異常檢測、IDS/IPS以及其他一整套企業邊界安全重要保護功能。此外，Sidewinder與SecureComputing自有的前瞻性主動防御系統Trust edSource相結合，能夠極大提高Sidewinder對未知威脅和攻擊的防御能力，為企業提供了更有力的邊界安全防護。

針對不同安全級別用戶的需求，Sidewinder提供了完整的產品線以供用戶選擇，從中低端的Sidewinder 110/210/410/510到中高端的Sidewinder 1100/2100/2150/4150，為中小型企業、大中型企業、電信級運營服務提供商提供了不同的產品選擇以滿足不同用戶在最大化安全前提下的性能需求。

Sidewinder防火墻采用專屬防火墻操作系統―SecureOS，這是SecureComputing自行開發設計，專為SecureComputing公司全線網絡安全產品提供的專屬網關操作系統平臺。SecureOS最初是SecureComputing公司受美國國家安全局委托開發的安全防火墻操作系統平臺，以用來保護達到美國政府計算機信任評估標準(Trusted Computing Systems Evaluation Criteria)的最高級別(A1)的關鍵政府及軍隊機構計算機網絡不受侵害。擁有Type Enforcement技術專利的SecureOS網關操作系統平臺，結合其蜂窩式的體系架構，每個功能或應用均是嚴格封裝在獨立的區域中，建立了可容納攻擊策略和授權登錄策略，充分保障了防火墻基礎平臺的安全穩定運行，并能夠有效防范已知和未知漏洞攻擊。SecureOS10多年來，從未出現過嚴重安全漏洞，一直保持從未被攻破的優秀記錄。

Sidewinder防火墻在10多年前進行結構設計時，就是完全面向應用層的網關型安全產品。經過10多年技術的沉淀，已經發展成為獨有的應用層體系架構.它完全采用通用的高效程序，所有程序均是直接基于SecureOS核心，采用模塊化堆砌，可以實現從1~65535全部應用端口的全。除了系統標準預置的服務以外，用戶如果需要其他應用，只需簡單地在控制臺新添相應的應用，就可實現對此應用的防護。而且高效的進程通過與核心的直接交互，避免了不必要的資源開銷，能夠充分保證在進行完全的應用層檢測時，同比網絡層性能做到性能衰減最小化。

第8篇：防火墻解決方案范文

支持帶寬：56Kbps-3Mbps;

支持復雜網絡環境、Internet、LAN、WLAN等無線網絡，只要支持IP協議的網絡均可;

智能路由，智能選擇通信路徑。能夠穿透NAT,防火墻，服務器；

可自由調節圖像分辨率、幀速率。

導購信息

秦皇島東大軟件公司推出的東大信天通視頻會議系統具有多方視頻會議、資源共享、即時文字交流等諸多特點，讓企業資源得到了充分合理的配置。

網址：

電話：0335-8077416/054960

東大信天通視頻會議解決方案

方案介紹

東大信天通視頻會議系統通過已建成的IP網絡將多臺的計算機設備連接起來，穿越網絡防火墻，實現網絡上多點間的視頻、語音、數據的即時通信。憑借其靈活性和柔韌性，無縫嵌入Web、OA、MIS、ERP等各種系統，在原有功能的基礎上增加了實時通信的功能，大大加速了信息的傳遞和整個企業的運作效率。

方案亮點:網絡穿透技術

東大信天通視頻會議系統是針對NAT、服務器及各種防火墻提供多種機制的解決方案，并可提供基于HTTP的多媒體傳輸模式，能夠最大程度地解決防火墻所帶來的通信障礙。此系統使得大多數企業在應用時無需更改任何網絡配置，便可方便地將系統部署到現有網絡環境中。

傳輸控制技術

支持實時傳輸協議(RTP)進行多媒體數據傳輸，最大限度地減少了因網絡不穩定而產生的延時。此外，該系統通過消抖動算法、抗丟包機制、網絡自適應算法和流控制機制使網絡環境因素對通信應用的影響減至最小，保證了系統在復雜的網絡情況下具有理想的效果。帶寬管理技術可讓用戶根據接入網絡情況來設置最大上行帶寬占用，并可隨時靈活地調整采集幀率和發送帶寬，以避免因使用視頻會議占用帶寬對網絡中其他應用產生的影響。此系統還采用帶寬資源集中管理策略，保證在視頻會議應用中有效、可控地利用網絡資源，避免因大量或無序的帶寬占用給用戶網絡帶來的資源危機。

多種方式接入

用戶可以多種接入方式參加到視頻會議中，包括電話撥號、ISDN、ADSL、LAN、HFC、DDN等不同形式的寬窄帶接入。

第9篇：防火墻解決方案范文

關鍵詞：網絡攻擊 防火墻 嵌入式

中圖分類號：TP393 文獻標識碼：A 文章編號：1007-9416（2013）03-0216-01

信息社會的發展使得網絡應用成為人們日常生活的一部分。計算機網絡突破了傳統空間中的地域限制和時間限制，可以快速準確的幫助人們獲得所需信息和資源，極大的擴展了人們了解現實的渠道。但是隨著計算機網絡的普及和經濟社會的發展，網絡應用給我們帶來了巨大的便利，也為我們帶來了巨大的安全隱患。網絡中的惡意程序以及人為的惡意破壞使得我們必須采取有效的防護措施對自身數據進行保護，防止被非法獲取或泄露。防火墻則是基于網絡的一種信息安全保障技術，是當前時期網絡安全的主要解決方案之一，利用防火墻技術可以有效控制用戶和網絡之間的數據通信，保障數據的安全。

1 防火墻技術發展概述

防火墻技術主要是對內網和外網之間的訪問機制進行控制，但是傳統的依靠拓撲結構進行網絡劃分的防火墻在防止來自網絡內部的攻擊方面的性能不夠完善，無法實現數據的安全防護。為解決該問題，分布式防火墻技術被提出來解決上述問題，該技術將安全策略的執行下放到各主機端，但是在服務端對各主機進行集中管理，統一控制，該技術解決了傳統防火墻技術在網絡結構、內部安全隱患、“單點失效”、過濾規則、端到端加密、旁點登陸等諸多方面的問題，具有較好的網絡防護性能。隨著分布式防火墻技術的提出，人們不斷對其進行改進，這些改進主要集中于兩個方面：硬件和軟件。其中基于硬件的防火墻技術被稱為嵌入式防火墻技術。

2 經典嵌入式防火墻技術研究

較為經典的嵌入式防火墻技術由以下幾種。

2.1 基于OpenBSDUNIX的嵌入式防火墻技術

該技術的實現基礎為在OpenBSDUNIX操作系統，該平臺具有一體化的安全特性和庫，如IPSec棧、KeyNote和SSL等，應用平臺中的組件內核擴展程序可以指定安全通信機制；應用平臺中的用戶層后臺處理程序組件可以對防火墻策略進行執行；設備驅動程序組件用于提供通信接口。

2.2 基于Windows平臺的嵌入式防火墻技術

該技術的主要實現過程為對主機的具體應用和對外服務制定安全策略。其中數據包過濾引擎被嵌入到內核中的鏈路層和網絡層之間，向用戶提供訪問控制、狀態及入侵檢測等防御機制；用戶配置接口用于配置本地安全策略。

本文主要對該平臺的嵌入式防火墻技術進行研究。

3 基于嵌入式協議棧的內容過濾防火墻技術方案

該技術方案將嵌入式協議棧和動態包過濾進行整合，進而替代主機的應用層防火墻接口和系統功能調用，內容過濾和數據處理。其中，嵌入式協議棧主要用于對數據和通信策略進行檢測，動態包過濾主要用于對IP層和TCp層的通信規則進行檢測。

該技術方案的優勢在于數據包過濾和協議內容分析處于系統的同一層次，這就會提高防火墻的防御效果。

3.1 防火墻結構分析

防火墻系統結構分為主要分為兩部分：底層安全策略表和應用層安全策略表。與傳統防火墻技術相比，本文所述基于嵌入式協議棧的防火墻技術在防御策略中添加了應用層的安全策略，其中，網絡協議還原將原有的網絡通信協議進行了還原處理，而應用層協議還原則是對應用層協議進行還原解碼處理，經過兩次還原，數據信息被送入安全檢測模塊進行數據分析。

3.2 工作流程實現

當網絡中的主機進行數據包通信時時，會按照訪問規則對數據包進行安全檢測，查看是否符合訪問規則，若不符合訪問規則，則對該數據包進行丟棄處理，若符合訪問規則，則按照防火墻狀態表對數據包進行二次檢測，該檢測在協議棧部分進行。

對于需要檢測的數據包如HTTP、SMTP、POP3等數據流，其檢測過程為，數據進行IP分片還原、TCP連接還原以及應用層協議還原，還原過程結束后應用層的安全策略會產生一個新的狀態表，該狀態表用于判斷數據包是否安全，若判定數據不安全則對其進行丟棄處理，若判定數據安全則對數據包進行轉發。

對于不需要檢測的數據如多媒體影音數據等，可以直接認定為其在安全層是安全的，可直接進行內容轉發。

進入內容轉發步驟的數據包即可實現數據的通信，整個嵌入式防火墻過程結束。

3.3 性能分析

該嵌入式防火墻技術將數據包過濾所需的狀態表以及通信地址所需的地址表進行了集成，實現了嵌入式協議棧的整合。這種方式具有兩方面好處：一是提高了兩者之間的通信效率，減少了不必要的通信流程，協議棧可以便捷的更新數據包狀態表，數據包狀態表的狀態可以確定數據包是否進行數據檢測；二是集成化處理實現了狀態表和協議棧之間的相對統一，降低了內存空間的使用。

4 結語

本文討論了防火墻技術的應用目標和應用作用，進而就防火墻技術的發展及理論創新進行總結和分析，確定了嵌入式防火墻技術的應用優勢，最后就基于Windows系統平臺的嵌入式協議棧防火墻技術進行分析和闡述。隨著網絡環境的日趨復雜，在進行網絡應用時必須要注意做好安全防護措施，應用嵌入式防火墻技術即可獲得較為理想的安全防護效果。

參考文獻

[1]孟英博，嵌入式防火墻的研究與實現[D].南京航空航天大學，2007（1）.

[2]江文，淺議新一代防火墻技術的應用與發展[J].科學之友，2011（12）.