【文章內(nèi)容簡介】 程調(diào)用）一類的協(xié)議；另外，大多數(shù)過濾器中缺少審計(jì)和報(bào)警機(jī)制，它只能依據(jù)包頭信息，而不能對(duì)用戶身份進(jìn)行驗(yàn)證，很容易受到“地址欺騙型”攻擊。對(duì)安全管理人員素質(zhì)要求高，建立安全規(guī)則時(shí)，必須對(duì)協(xié)議本身及其在不同應(yīng)用程序中的作用有較深入的理解。因此，過濾器通常是和應(yīng)用網(wǎng)關(guān)配合使用，共同組成防火墻系統(tǒng)?！?應(yīng)用代理（Application Proxy）型應(yīng)用代理型防火墻是工作在OSI的最高層，即應(yīng)用層。其特點(diǎn)是完全“阻隔”了網(wǎng)絡(luò)通信流，通過對(duì)每種應(yīng)用服務(wù)編制專門的代理程序，實(shí)現(xiàn)監(jiān)視和控制應(yīng)用層通信流的作用。其典型網(wǎng)絡(luò)結(jié)構(gòu)如圖所示。在代理型防火墻技術(shù)的發(fā)展過程中，它也經(jīng)歷了兩個(gè)不同的版本：第一代應(yīng)用網(wǎng)關(guān)型代理防火和第二代自適應(yīng)代理防火墻。代理類型防火墻的最突出的優(yōu)點(diǎn)就是安全。由于它工作于最高層，所以它可以對(duì)網(wǎng)絡(luò)中任何一層數(shù)據(jù)通信進(jìn)行篩選保護(hù)，而不是像包過濾那樣，只是對(duì)網(wǎng)絡(luò)層的數(shù)據(jù)進(jìn)行過濾。另外代理型防火墻采取是一種代理機(jī)制，它可以為每一種應(yīng)用服務(wù)建立一個(gè)專門的代理，所以內(nèi)外部網(wǎng)絡(luò)之間的通信不是直接的，而都需先經(jīng)過代理服務(wù)器審核，通過后再由代理服務(wù)器代為連接，根本沒有給內(nèi)、外部網(wǎng)絡(luò)計(jì)算機(jī)任何直接會(huì)話的機(jī)會(huì)，從而避免了入侵者使用數(shù)據(jù)驅(qū)動(dòng)類型的攻擊方式入侵內(nèi)部網(wǎng)。代理防火墻的最大缺點(diǎn)是速度相對(duì)比較慢，當(dāng)用戶對(duì)內(nèi)外部網(wǎng)絡(luò)網(wǎng)關(guān)的吞吐量要求比較高時(shí)，代理防火墻就會(huì)成為內(nèi)外部網(wǎng)絡(luò)之間的瓶頸。那因?yàn)榉阑饓π枰獮椴煌木W(wǎng)絡(luò)服務(wù)建立專門的代理服務(wù)，在自己的代理程序?yàn)閮?nèi)、外部網(wǎng)絡(luò)用戶建立連接時(shí)需要時(shí)間，所以給系統(tǒng)性能帶來了一些負(fù)面影響，但通常不會(huì)很明顯。（3）從防火墻結(jié)構(gòu)上分類從防火墻結(jié)構(gòu)上分，防火墻主要有：單一主機(jī)防火墻、路由器集成式防火墻和分布式防火墻三種。單一主機(jī)防火墻是最為傳統(tǒng)的防火墻，獨(dú)立于其它網(wǎng)絡(luò)設(shè)備，它位于網(wǎng)絡(luò)邊界。0信進(jìn)行過濾。它屬于最新的防火墻技術(shù)之一，性能最好，價(jià)格也最貴。（5）按防火墻性能分類按防火墻的性能來分可以分為百兆級(jí)防火墻和千兆級(jí)防火墻兩類。因?yàn)榉阑饓νǔＮ挥诰W(wǎng)絡(luò)邊界，所以不可能只是十兆級(jí)的。這主要是指防火的通道帶寬（Bandwidth），或者說是吞吐率。當(dāng)然通道帶寬越寬，性能越高，這樣的防火墻因包過濾或應(yīng)用代理所產(chǎn)生的延時(shí)也越小，對(duì)整個(gè)網(wǎng)絡(luò)通信性能的影響也就越小。雖然防火墻是目前保護(hù)網(wǎng)絡(luò)免遭黑客襲擊的有效手段，但也有明顯不足：無法防范通過防火墻以外的其它途徑的攻擊，不能防止來自內(nèi)部變節(jié)者和不經(jīng)心的用戶們帶來的威脅，也不能完全防止傳送已感染病毒的軟件或文件，以及無法防范數(shù)據(jù)驅(qū)動(dòng)型的攻擊。 各類防火墻的優(yōu)缺點(diǎn)（1）包過濾防火墻使用包過濾防火墻的優(yōu)點(diǎn)包括：■ 防火墻對(duì)每條傳入和傳出網(wǎng)絡(luò)的包實(shí)行低水平控制?！?每個(gè)IP包的字段都被檢查，例如源地址、目的地址、協(xié)議、端口等。防火墻將基于這些信息應(yīng)用過濾規(guī)則?！?防火墻可以識(shí)別和丟棄帶欺騙性源IP地址的包?！?包過濾防火墻是兩個(gè)網(wǎng)絡(luò)之間訪問的唯一來源。因?yàn)樗械耐ㄐ疟仨毻ㄟ^防火墻，繞過是困難的。■ 包過濾通常被包含在路由器數(shù)據(jù)包中，所以不必額外的系統(tǒng)來處理這個(gè)特征。使用包過濾防火墻的缺點(diǎn)包括：■ 配臵困難。因?yàn)榘^濾防火墻很復(fù)雜，人們經(jīng)常會(huì)忽略建立一些必要的規(guī)則，或者錯(cuò)誤配臵了已有的規(guī)則，在防火墻上留下漏洞。然而，在市場上，許多新版本的防火墻對(duì)這個(gè)缺點(diǎn)正在作改進(jìn)，如開發(fā)者實(shí)現(xiàn)了基于圖形化用戶界面(GUI)的配臵和更直接的規(guī)則定義?！?為特定服務(wù)開放的端口存在著危險(xiǎn)，可能會(huì)被用于其他傳輸。例如，Web服務(wù)器默認(rèn)端口為80，而計(jì)算機(jī)上又安裝了RealPlayer，那么它會(huì)搜尋可以允許連接到RealAudio服務(wù)器的端口，而不管這個(gè)端口是否被其他協(xié)議所使用，RealPlayer正好是使用80端口而搜尋的。就這樣無意中，RealPlayer就利用了Web服務(wù)器的端口?！?可能還有其他方法繞過防火墻進(jìn)入網(wǎng)絡(luò)，例如撥入連接。但這個(gè)并不是213也不要忘記了防火墻內(nèi)的安全保障。其次，防火墻技術(shù)的另外一個(gè)顯著不足是無法有效地應(yīng)付病毒。當(dāng)網(wǎng)絡(luò)內(nèi)的用戶在訪問外網(wǎng)中的含有病毒的數(shù)據(jù)時(shí)，防火墻無法區(qū)分帶毒數(shù)據(jù)與正常數(shù)據(jù)，內(nèi)部網(wǎng)絡(luò)隨時(shí)都有受到病毒危害的可能，防火墻技術(shù)的這個(gè)缺點(diǎn)給網(wǎng)絡(luò)帶來很大的隱患。另外，由于防火墻技術(shù)的自身不斷發(fā)展，其自身問題和漏洞也使其具有局限性。防火墻本身作為一個(gè)獨(dú)立的系統(tǒng)，其軟、硬件在發(fā)展過程中必然也有其自己的bug和漏洞，所以各種故障和因漏洞所遭受的各種攻擊也不可避免。防火墻的技術(shù)原理與殺毒軟件類似：先出現(xiàn)病毒，殺毒軟件獲得病毒的特征碼，將其加入到病毒庫內(nèi)來實(shí)現(xiàn)查殺。防火墻的防御、檢測策略，也是在發(fā)生攻擊行為后分析其特征而設(shè)臵的。如果出現(xiàn)新的未知攻擊行為，防火墻也將束手無策。最后，防火墻的檢測機(jī)制容易造成擁塞以及溢出現(xiàn)象。由于防火墻需要處理每一個(gè)通過它的數(shù)據(jù)包，所以當(dāng)數(shù)據(jù)流量較大時(shí)，容易導(dǎo)致數(shù)據(jù)擁塞，影響整個(gè)網(wǎng)絡(luò)性能。嚴(yán)重時(shí)，如果發(fā)生溢出，就像大壩決堤一般，無法阻擋，任何數(shù)據(jù)都可以來去自由了，防火墻也就不再起任何作用。 防火墻的未來發(fā)展趨勢盡管羅列了這么多防火墻技術(shù)的局限性，但防火墻在網(wǎng)絡(luò)安全中所扮演的重要角色是不可撼動(dòng)的。未來的防火墻發(fā)展朝高速、多功能化、更安全的方向發(fā)展。實(shí)現(xiàn)高速防火墻，可以應(yīng)用ASIC硬件加速技術(shù)、FPGA和網(wǎng)絡(luò)處理器等方法。其中以采用網(wǎng)絡(luò)處理器最好，因?yàn)榫W(wǎng)絡(luò)處理器采用微碼編程，可以根據(jù)需要隨時(shí)升級(jí)，甚至可以支持IPv6；并且網(wǎng)絡(luò)處理器中集成了很多硬件協(xié)處理單元，通過算法也比較容易實(shí)現(xiàn)高速。防火墻將會(huì)集成更多的網(wǎng)絡(luò)安全功能，入侵檢測、防病毒、防御拒絕服務(wù)攻擊等安全技術(shù)都可以模塊形式安裝到防火墻的機(jī)箱內(nèi)。既節(jié)省寶貴的機(jī)柜空間，又能為企業(yè)節(jié)約一部分安全支出，更主要的是可以實(shí)現(xiàn)網(wǎng)絡(luò)安全設(shè)備之間的聯(lián)動(dòng)。防火墻將會(huì)更加的行業(yè)化。任何一種防火墻只是為內(nèi)部網(wǎng)絡(luò)提供安全保障，但網(wǎng)絡(luò)安全不能完全依賴于防火墻，還需要加強(qiáng)內(nèi)部的安全管理，完善安全管理制度，提高用戶的安全意識(shí)，從而形成全方位的安全防御體系。防火墻技術(shù)在校園網(wǎng)中的應(yīng)用隨著高校信息化進(jìn)程的推進(jìn)，學(xué)院校園網(wǎng)上運(yùn)行的應(yīng)用系統(tǒng)越來越多，信息51617第四篇：防火墻技術(shù)研究報(bào)告防火墻技術(shù)研究報(bào)告防火墻技術(shù)摘要：隨著計(jì)算機(jī)的飛速發(fā)展以及網(wǎng)絡(luò)技術(shù)的普遍應(yīng)用，隨著信息時(shí)代的來臨，信息作為一種重要的資源正得到了人們的重視與應(yīng)用。因特網(wǎng)是一個(gè)發(fā)展非?；钴S的領(lǐng)域，可能會(huì)受到黑客的非法攻擊，所以在任何情況下，對(duì)于各種事故，無意或有意的破壞，保護(hù)數(shù)據(jù)及其傳送、處理都是非常必要的。比如，計(jì)劃如何保護(hù)你的局域網(wǎng)免受因特網(wǎng)攻擊帶來的危害時(shí)，首先要考慮的是防火墻。防火墻的核心思想是在不安全的網(wǎng)際網(wǎng)環(huán)境中構(gòu)造一個(gè)相對(duì)安全的子網(wǎng)環(huán)境。文介紹了防火墻技術(shù)的基本概念、原理、應(yīng)用現(xiàn)狀和發(fā)展趨勢。Abstract: along with the universal application of the rapid development of puter and network technology, with the advent of the information age, information as an important resource is paid attention to and used by Internet is a development of very active domain, may be illegally attacked by hackers, so in any case, for a variety of accident, accidental or intentional damage, protection of data and transfer, processing is very example, plans to protect your network from the hazards brought by Internet attack, firewall is the first core idea of firewall is the relative safety of the structure of a network environment in the insecure Internet paper introduces the basic concept of firewall technology, principle, application status and development : firewall。network security目錄一、概述.....................................................................................................................................4二、防火墻的基本概念.............................................................................................................4三、防火墻的技術(shù)分類.............................................................................................................4四、防火墻的基本功能.............................................................................................................5（一）包過濾路由器.........................................................................................................5（二）應(yīng)用層網(wǎng)關(guān).............................................................................................................6（三）鏈路層網(wǎng)關(guān).............................................................................................................6五、防火墻的安全構(gòu)建.............................................................................................................6（一）基本準(zhǔn)則....