防火牆技術的應用

防火牆的使用 篇一

防火牆具有很好的保護作用。入侵者必須首先穿越防火牆的安全防線，才能接觸目標計算機。你可以將防火牆配置成許多不同保護級別。高級別的保護可能會禁止一些服務，如視頻流等，但至少這是你自己的保護選擇。

在具體應用防火牆技術時，還要考慮到兩個方面：

一是防火牆是不能防病毒的，儘管有不少的防火牆產品聲稱其具有這個功能。 二是防火牆技術的另外一個弱點在於數據在防火牆之間的更新是一個難題，如果延遲太大將無法支持實時服務請求。並且，防火牆採用濾波技術，濾波通常使網絡的性能降低50%以上，如果為了改善網絡性能而購置高速路由器，又會大大提高經濟預算。

總之，防火牆是企業網安全問題的流行方案，即把公共數據和服務置於防火牆外，使其對防火牆內部資源的訪問受到限制。作為一種網絡安全技術，防火牆具有簡單實用的特點，並且透明度高，可以在不修改原有網絡應用系統的情況下達到一定的安全要求。

概念原理 篇二

防火牆是汽車中一個部件的名稱。在汽車中，利用防火牆把乘客和引擎隔開，以便汽車引擎一旦着火，防火牆不但能保護乘客安全，而同時還能讓司機繼續控制引擎。在電腦術語中，當然就不是這個意思了，我們可以類比來理解，在網絡中，所謂“防火牆”，是指一種將內部網和公眾訪問網（如Internet）分開的方法，它實際上是一種隔離技術。防火牆是在兩個網絡通訊時執行的一種訪問控制尺度，它能允許你“同意”的人和數據進入你的網絡，同時將你“不同意”的人和數據拒之門外，最大限度地阻止網絡中的黑客來訪問你的網絡。換句話説，如果不通過防火牆，公司內部的人就無法訪問Internet，Internet上的人也無法和公司內部的人進行通信。

防火牆(FireWall)成為新興的保護計算機網絡安全技術性措施。它是一種隔離控制技術，在某個機構的網絡和不安全的網絡（如Internet）之間設置屏障，阻止對信息資源的非法訪問，也可以使用防火牆阻止重要信息從企業的網絡上被非法輸出。作為Internet網的安全性保護軟件，FireWall已經得到廣泛的應用。通常企業為了維護內部的信息系統安全，在企業網和Internet間設立FireWall軟件。企業信息系統對於來自Internet的訪問，採取有選擇的接收方式。它可以允許或禁止一類具體的IP地址訪問，也可以接收或拒絕TCP/IP上的某一類具體的應用。如果在某一台IP主機上有需要禁止的信息或危險的用户，則可以通過設置使用FireWall過濾掉從該主機發出的包。如果一個企業只是使用Internet的電子郵件和WWW服務器向外部提供信息，那麼就可以在FireWall上設置使得只有這兩類應用的數據包可以通過。這對於路由器來説，就要不僅分析IP層的信息，而且還要進一步瞭解TCP傳輸層甚至應用層的信息以進行取捨。FireWall一般安裝在路由器上以保護一個子網，也可以安裝在一台主機上，保護這台主機不受侵犯。

簡介 篇三

防火牆技術，最初是針對 Internet 網絡不安全因素所採取的一種保護措施。顧名思義，防火牆就是用來阻擋外部不安全因素影響的內部網絡屏障，其目的就是防止外部網絡用户未經授權的訪問。它是一種計算機硬件和軟件的結合，使Internet與Internet之間建立起一個安全網關(Security Gateway)，從而保護內部網免受非法用户的侵入，防火牆主要由服務-本站§ 訪問政策、驗證工具、包過濾和應用網關4個部分組成，防火牆就是一個位於計算機和它所連接的網絡之間的軟件或硬件（其中硬件防火牆用的很少只有國防部等地才用，因為它價格昂貴）。該計算機流入流出的所有網絡通信均要經過此防火牆。

防火牆有網絡防火牆和計算機防火牆的提法。網絡防火牆是指在外部網絡和內部網絡之間設置網絡防火牆。這種防火牆又稱篩選路由器。網絡防火牆檢測進入信息的協議、目的地址、端口（網絡層）及被傳輸的信息形式（應用層）等，濾除不符合規定的外來信息。防火牆示意圖見圖8.14，網絡防火牆也對用户網絡向外部網絡發出的信息進行檢測。

計算機防火牆是指在外部網絡和用户計算機之間設置防火牆。計算機防火牆也可以是用户計算機的'一部分。計算機防火牆檢測接口規程、傳輸協議、目的地址及/或被傳輸的信息結構等，將不符合規定的進入信息剔除。計算機防火牆對用户計算機輸出的信息進行檢查，並加上相應協議層的標誌，用以將信息傳送到接收用户計算機（或網絡）中去。

使用防火牆的好處有：保護脆弱的服務，控制對系統的訪問，集中地安全管理，增強保密性，記錄和統計網絡利用數據以及非法使用數據情況。防火牆的設計通常有兩種基本設計策略：第一，允許任何服務除非被明確禁止；第二，禁止任何服務除非被明確允許。一般採用第二種策略。

從技術角度來看，目前有兩類防火牆，即標準防火牆和雙穴網關。標準防火牆使用專門的軟件，並要求比較高的管理水平，而且在信息傳輸上有一定的延遲。雙穴網關是標準防火牆的擴充，也稱應用層網關，它是一個單獨的系統，但能夠同時完成標準防火牆的所有功能。它的優點是能夠運行比較複雜的應用，同時防止在互聯網和內部系統之間建立任何直接的連接，可以確保數據包不能直接從外部網絡到達內部網絡。

隨着防火牆技術的進步，在雙穴網關的基礎上又演化出兩種防火牆配置，一種是隱蔽主機網關，一種是隱蔽智能網關。目前，技術比較複雜而且安全級別較高的防火牆是隱蔽智能網關，它將網關隱藏在公共系統之後使其免遭直接攻擊。隱蔽智能網關提供了對互聯網服務進行幾乎透明的訪問，同時也阻止了外部未授權訪問者對專用網絡的非法訪問。