實(shí)現(xiàn)防火墻的主要技術(shù)不包括

大家好！今天讓創(chuàng)意嶺的小編來(lái)大家介紹下關(guān)于實(shí)現(xiàn)防火墻的主要技術(shù)不包括的問(wèn)題，以下是小編對(duì)此問(wèn)題的歸納整理，讓我們一起來(lái)看看吧。

創(chuàng)意嶺作為行業(yè)內(nèi)優(yōu)秀的企業(yè)，服務(wù)客戶(hù)遍布全球各地，相關(guān)業(yè)務(wù)請(qǐng)撥打電話：175-8598-2043，或添加微信：1454722008

本文目錄:

• 1、以下內(nèi)容中,不是防火墻功能的是( )。

• 2、防火墻的主要功能和幾種類(lèi)型？

• 3、大家能給我具體解釋一下防火墻嗎?謝謝!

• 4、防火墻的核心技術(shù)有哪些

一、以下內(nèi)容中,不是防火墻功能的是( )。

防火墻功能：

1.創(chuàng)建一個(gè)阻塞點(diǎn)

防火墻在一個(gè)公司內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)間建立一個(gè)檢查點(diǎn)。這種實(shí)現(xiàn)要求所有的流量都要通過(guò)這個(gè)檢查點(diǎn)。一旦這些檢查點(diǎn)清楚地建立，防火墻設(shè)備就可以監(jiān)視，過(guò)濾和檢查所有進(jìn)來(lái)和出去的流量。這樣一個(gè)檢查點(diǎn)，在網(wǎng)絡(luò)安全行業(yè)中稱(chēng)之為“阻塞點(diǎn)”。通過(guò)強(qiáng)制所有進(jìn)出流量都通過(guò)這些檢查點(diǎn)，網(wǎng)絡(luò)管理員可以集中在較少的地方來(lái)實(shí)現(xiàn)安全目的。如果沒(méi)有這樣一個(gè)供監(jiān)視和控制信息的點(diǎn)，系統(tǒng)或安全管理員則要在大量的地方來(lái)進(jìn)行監(jiān)測(cè)。

2. 隔離不同網(wǎng)絡(luò)，防止內(nèi)部信息的外泄

這是防火墻的最基本功能，它通過(guò)隔離內(nèi)、外部網(wǎng)絡(luò)來(lái)確保內(nèi)部網(wǎng)絡(luò)的安全。也限制了局部重點(diǎn)或敏感網(wǎng)絡(luò)安全問(wèn)題對(duì)全局網(wǎng)絡(luò)造成的影響。企業(yè)秘密是大家普遍非常關(guān)心的問(wèn)題，一個(gè)內(nèi)部網(wǎng)絡(luò)中不引人注意的細(xì)節(jié)可能包含了有關(guān)安全的線索而引起外部攻擊者的興趣，甚至因此而暴漏了內(nèi)部網(wǎng)絡(luò)的某些安全漏洞。使用防火墻就可以隱蔽那些透漏內(nèi)部細(xì)節(jié)如Finger，DNS等服務(wù)。Finger顯示了主機(jī)的所有用戶(hù)的注冊(cè)名、真名，最后登錄時(shí)間和使用shell類(lèi)型等。但是Finger顯示的信息非常容易被攻擊者所截獲，攻擊者通過(guò)所獲取的信息可以知道一個(gè)系統(tǒng)使用的頻繁程度，這個(gè)系統(tǒng)是否有用戶(hù)正在連線上網(wǎng)等信息。防火墻可以同樣阻塞有關(guān)內(nèi)部網(wǎng)絡(luò)中的DNS信息，這樣一臺(tái)主機(jī)的域名和IP地址就不會(huì)被外界所了解。

3. 強(qiáng)化網(wǎng)絡(luò)安全策略

通過(guò)以防火墻為中心的安全方案配置，能將所有安全軟件(如口令、加密、身份認(rèn)證、審計(jì)等)配置在防火墻上。與將網(wǎng)絡(luò)安全問(wèn)題分散到各個(gè)主機(jī)上相比，防火墻的集中安全管理更經(jīng)濟(jì)。各種安全措施的有機(jī)結(jié)合，更能有效地對(duì)網(wǎng)絡(luò)安全性能起到加強(qiáng)作用。

4. 有效地審計(jì)和記錄內(nèi)、外部網(wǎng)絡(luò)上的活動(dòng)

防火墻可以對(duì)內(nèi)、外部網(wǎng)絡(luò)存取和訪問(wèn)進(jìn)行監(jiān)控審計(jì)。如果所有的訪問(wèn)都經(jīng)過(guò)防火墻，那么，防火墻就能記錄下這些訪問(wèn)并進(jìn)行日志記錄，同時(shí)也能提供網(wǎng)絡(luò)使用情況的統(tǒng)計(jì)數(shù)據(jù)。當(dāng)發(fā)生可疑動(dòng)作時(shí)，防火墻能進(jìn)行適當(dāng)?shù)膱?bào)警，并提供網(wǎng)絡(luò)是否受到監(jiān)測(cè)和攻擊的詳細(xì)信息。這為網(wǎng)絡(luò)管理人員提供非常重要的安全管理信息，可以使管理員清楚防火墻是否能夠抵擋攻擊者的探測(cè)和攻擊，并且清楚防火墻的控制是否充足。

以上是從宏觀方面對(duì)防火墻的功能所進(jìn)行的綜合描述，如果從技術(shù)微觀方面分的話，它主要體現(xiàn)在如下方面：

1. 包過(guò)濾

包過(guò)濾是防火墻所要實(shí)現(xiàn)的最基本功能，現(xiàn)在的防火墻已經(jīng)由最初的地址、端口判定控制，發(fā)展到判斷通信報(bào)文協(xié)議頭的各部分，以及通信協(xié)議的應(yīng)用層命令、內(nèi)容、用戶(hù)認(rèn)證、用戶(hù)規(guī)則甚至狀態(tài)檢測(cè)等等。

2. 審計(jì)和報(bào)警機(jī)制

在防火墻結(jié)合網(wǎng)絡(luò)配置和安全策略對(duì)相關(guān)數(shù)據(jù)分析完成以后，就要做出接受、拒絕、丟棄或加密等決定。如果某個(gè)訪問(wèn)違反安全策略，審計(jì)和報(bào)警機(jī)制開(kāi)始起作用，并作記錄和報(bào)告。審計(jì)是一種重要的安全舉措，用以監(jiān)控通信行為和完善安全策略，檢查安全漏洞和錯(cuò)誤配置。報(bào)警機(jī)制是在有通信違反相關(guān)安全策略后，防火墻可以有多種方式及時(shí)向管理員進(jìn)行報(bào)警，如聲音、郵件、電話、手機(jī)短信息等。

防火墻的審計(jì)和報(bào)警機(jī)制在防火墻體系中是很重要的，只有有了審計(jì)和報(bào)警功能，管理人員才可能及時(shí)知道網(wǎng)絡(luò)是否受到了攻擊。通過(guò)防火墻日志啟示還可以進(jìn)行統(tǒng)計(jì)、分析，得出系統(tǒng)安全存在最大不足和隱患，進(jìn)而可以有針對(duì)性地進(jìn)行改進(jìn)。

但要注意的，由于要對(duì)整個(gè)網(wǎng)絡(luò)通信進(jìn)行日志記錄，所以防火墻的日志記錄數(shù)據(jù)量比較大，在防火墻自身上是不可能能存儲(chǔ)這么龐大的日志文件的。通常采用外掛方式，即將日志掛接在內(nèi)部網(wǎng)絡(luò)的一臺(tái)專(zhuān)門(mén)存放日志的日志服務(wù)器上。

3.NAT(Network Address Translation，網(wǎng)絡(luò)地址轉(zhuǎn)換)

網(wǎng)絡(luò)地址轉(zhuǎn)換功能現(xiàn)在也已成為防火墻的標(biāo)準(zhǔn)配置之一。通過(guò)此項(xiàng)功能就可以很好地屏蔽內(nèi)部網(wǎng)絡(luò)的IP地址，對(duì)內(nèi)部網(wǎng)絡(luò)用戶(hù)起到了保護(hù)作用。

NAT又分“SNAT (Source NAT)”和“DNAT (Destination NAT)”。SNAT就是改變轉(zhuǎn)發(fā)數(shù)據(jù)包的源地址，對(duì)內(nèi)部網(wǎng)絡(luò)地址進(jìn)行轉(zhuǎn)換，對(duì)外部網(wǎng)絡(luò)是屏蔽的，使得外部非常用戶(hù)對(duì)內(nèi)部主機(jī)的攻擊更加困難，同時(shí)可以節(jié)省有限的公網(wǎng)IP資源，通過(guò)少數(shù)一個(gè)或幾個(gè)公網(wǎng)IP地址共享上網(wǎng)。而DNAT就是改變轉(zhuǎn)發(fā)數(shù)據(jù)包的目的地址，外部網(wǎng)絡(luò)主機(jī)向內(nèi)部網(wǎng)絡(luò)主機(jī)發(fā)出通信連接時(shí)，防火墻首先把目的地址轉(zhuǎn)換為自己的地址，然后再轉(zhuǎn)發(fā)外部網(wǎng)絡(luò)的通信連接，這樣實(shí)際上外部網(wǎng)絡(luò)主機(jī)與內(nèi)部網(wǎng)絡(luò)主機(jī)的通信變成了防火墻與內(nèi)部網(wǎng)絡(luò)主機(jī)的通信。在防火墻中主要用于外部網(wǎng)絡(luò)主機(jī)對(duì)內(nèi)部網(wǎng)絡(luò)和DMZ區(qū)(非軍事區(qū))主機(jī)的訪問(wèn)。

4.Proxy(代理)

在防火墻代理服務(wù)中，主要有如下兩種實(shí)現(xiàn)方式：

透明代理(Transparent proxy)

透明代理是指內(nèi)部網(wǎng)絡(luò)主機(jī)需要訪問(wèn)外部網(wǎng)絡(luò)主機(jī)時(shí)，不需要做任何設(shè)置，完全意識(shí)不到防火墻的存在。其基本原理是防火墻截取內(nèi)部網(wǎng)絡(luò)主機(jī)與外部網(wǎng)絡(luò)通信，由防火墻本身完成與外部網(wǎng)絡(luò)主機(jī)通信，然后把結(jié)果傳回給發(fā)出通信連接的內(nèi)部網(wǎng)絡(luò)主機(jī)，在這個(gè)過(guò)程中，無(wú)論內(nèi)部網(wǎng)絡(luò)主機(jī)還是外部網(wǎng)絡(luò)主機(jī)都意識(shí)不到它們其實(shí)是在和防火墻通信。而從外部網(wǎng)絡(luò)只能看到防火墻，這就隱藏了內(nèi)部網(wǎng)絡(luò)網(wǎng)絡(luò)，提高了安全性。

傳統(tǒng)代理

傳統(tǒng)代理工作原理與透明代理相似，所不同的是它需要在客戶(hù)端設(shè)置代理服務(wù)器。如前所述，代理能實(shí)現(xiàn)較高的安全性，不足之處是響應(yīng)變慢。

5.流量控制(帶寬管理)和統(tǒng)計(jì)分析、流量計(jì)費(fèi)

流量控制可以分為基于IP地址的控制和基于用戶(hù)的控制?；贗P地址的控制是對(duì)通過(guò)防火墻各個(gè)網(wǎng)絡(luò)接口的流量進(jìn)行控制，基于用戶(hù)的控制是通過(guò)用戶(hù)登錄來(lái)控制每個(gè)用戶(hù)的流量，從而防止某些應(yīng)用或用戶(hù)占用過(guò)多的資源。并且通過(guò)流量控制可以保證重要用戶(hù)和重要接口的連接。

流量統(tǒng)計(jì)是建立在流量控制基礎(chǔ)之上的。一般防火墻通過(guò)對(duì)基于IP、服務(wù)、時(shí)間、協(xié)議等等進(jìn)行統(tǒng)計(jì)，并可以與管理界面實(shí)現(xiàn)掛接，實(shí)時(shí)或者以統(tǒng)計(jì)報(bào)表的形式輸出結(jié)果。流量計(jì)費(fèi)從而也是非常容易實(shí)現(xiàn)的。

6.VPN(虛擬專(zhuān)用網(wǎng))

在傳統(tǒng)的防火墻設(shè)備中，是不允許進(jìn)行VPN通信的，以往的VPN網(wǎng)絡(luò)設(shè)備也是作為單獨(dú)產(chǎn)品出現(xiàn)的，現(xiàn)在更多的廠家把兩種技術(shù)集成在一起。VPN作為一種新的網(wǎng)絡(luò)技術(shù)，它具有較強(qiáng)的通信優(yōu)勢(shì)。支持VPN通信，已成為一種趨勢(shì)，不僅防火墻如此，交換機(jī)、路由器也如此。這比單獨(dú)開(kāi)始一種VPN設(shè)備來(lái)說(shuō)更加合理，不僅體現(xiàn)在經(jīng)濟(jì)上，而且體現(xiàn)在功能上。

7.URL級(jí)信息過(guò)濾

隨著互聯(lián)網(wǎng)應(yīng)用的普及，各企業(yè)對(duì)互聯(lián)網(wǎng)的依賴(lài)性越來(lái)越強(qiáng)了。過(guò)去了一些簡(jiǎn)單的郵件收發(fā)互聯(lián)網(wǎng)應(yīng)用已不能滿足企業(yè)應(yīng)用需求了。像VPN通信一樣，企業(yè)很可能還需要與合作伙伴、供應(yīng)商或分支機(jī)構(gòu)進(jìn)行雙向通信，這樣的通信是相當(dāng)頻繁的，如果也按傳統(tǒng)的防火墻過(guò)濾原理，對(duì)每一個(gè)通信請(qǐng)求都進(jìn)行嚴(yán)格的審核的話，很可能引發(fā)通信瓶頸，造成通信性能下降。這時(shí)如果對(duì)某些站點(diǎn)或目錄進(jìn)行特權(quán)訪問(wèn)或禁止的話，就可以不必這樣頻繁的審核了。這就是目前最主流的網(wǎng)站、內(nèi)容等信息過(guò)濾配置。在許多代理服務(wù)器軟件中都可以實(shí)現(xiàn)這一點(diǎn)，在防火墻中也有些具備這一功能。

8. 其他特殊功能

除了以上介紹的六個(gè)方面的主要功能外，有的防火墻還具有一些特殊功能，這些特殊功能純粹是為了迎合特殊客戶(hù)的需要或者為贏得賣(mài)點(diǎn)而設(shè)計(jì)的。如特定的用戶(hù)權(quán)限配置(包括使用時(shí)間、郵件發(fā)送權(quán)限、件傳輸權(quán)限、使用的主機(jī)、所能進(jìn)行的互聯(lián)網(wǎng)應(yīng)用等)，這些依需求不同而定。有的防火墻還加入了病毒掃描功能。

二、防火墻的主要功能和幾種類(lèi)型？

防火墻技術(shù)是通過(guò)有機(jī)結(jié)合各類(lèi)用于安全管理與篩選的軟件和硬件設(shè)備，幫助計(jì)算機(jī)網(wǎng)絡(luò)于其內(nèi)、外網(wǎng)之間構(gòu)建一道相對(duì)隔絕的保護(hù)屏障，以保護(hù)用戶(hù)資料與信息安全性的一種技術(shù)。

主要功能：

1、入侵檢測(cè)功能

網(wǎng)絡(luò)防火墻技術(shù)的主要功能之一就是入侵檢測(cè)功能，主要有反端口掃描、檢測(cè)拒絕服務(wù)工具、檢測(cè)CGI/IIS服務(wù)器入侵、檢測(cè)木馬或者網(wǎng)絡(luò)蠕蟲(chóng)攻擊、檢測(cè)緩沖區(qū)溢出攻擊等功能，可以極大程度上減少網(wǎng)絡(luò)威脅因素的入侵，有效阻擋大多數(shù)網(wǎng)絡(luò)安全攻擊。

2、網(wǎng)絡(luò)地址轉(zhuǎn)換功能

利用防火墻技術(shù)可以有效實(shí)現(xiàn)內(nèi)部網(wǎng)絡(luò)或者外部網(wǎng)絡(luò)的IP地址轉(zhuǎn)換，可以分為源地址轉(zhuǎn)換和目的地址轉(zhuǎn)換，即SNAT和NAT。

SNAT主要用于隱藏內(nèi)部網(wǎng)絡(luò)結(jié)構(gòu)，避免受到來(lái)自外部網(wǎng)絡(luò)的非法訪問(wèn)和惡意攻擊，有效緩解地址空間的短缺問(wèn)題，而DNAT主要用于外網(wǎng)主機(jī)訪問(wèn)內(nèi)網(wǎng)主機(jī)，以此避免內(nèi)部網(wǎng)絡(luò)被攻擊。

3、網(wǎng)絡(luò)操作的審計(jì)監(jiān)控功能

通過(guò)此功能可以有效對(duì)系統(tǒng)管理的所有操作以及安全信息進(jìn)行記錄，提供有關(guān)網(wǎng)絡(luò)使用情況的統(tǒng)計(jì)數(shù)據(jù)，方便計(jì)算機(jī)網(wǎng)絡(luò)管理以進(jìn)行信息追蹤。

4、強(qiáng)化網(wǎng)絡(luò)安全服務(wù)

防火墻技術(shù)管理可以實(shí)現(xiàn)集中化的安全管理，將安全系統(tǒng)裝配在防火墻上，在信息訪問(wèn)的途徑中就可以實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)信息安全的監(jiān)管。

類(lèi)型

1、過(guò)濾型防火墻

過(guò)濾型防火墻是在網(wǎng)絡(luò)層與傳輸層中，可以基于數(shù)據(jù)源頭的地址以及協(xié)議類(lèi)型等標(biāo)志特征進(jìn)行分析，確定是否可以通過(guò)。在符合防火墻規(guī)定標(biāo)準(zhǔn)之下，滿足安全性能以及類(lèi)型才可以進(jìn)行信息的傳遞，而一些不安全的因素則會(huì)被防火墻過(guò)濾、阻擋。

2、應(yīng)用代理類(lèi)型防火墻

應(yīng)用代理防火墻主要的工作范圍就是在OIS的最高層，位于應(yīng)用層之上。其主要的特征是可以完全隔離網(wǎng)絡(luò)通信流，通過(guò)特定的代理程序就可以實(shí)現(xiàn)對(duì)應(yīng)用層的監(jiān)督與控制。

這兩種防火墻是應(yīng)用較為普遍的防火墻，其他一些防火墻應(yīng)用效果也較為顯著，在實(shí)際應(yīng)用中要綜合具體的需求以及狀況合理的選擇防火墻的類(lèi)型，這樣才可以有效地避免防火墻的外部侵?jǐn)_等問(wèn)題的出現(xiàn)。

3、復(fù)合型

目前應(yīng)用較為廣泛的防火墻技術(shù)當(dāng)屬?gòu)?fù)合型防火墻技術(shù)，綜合了包過(guò)濾防火墻技術(shù)以及應(yīng)用代理防火墻技術(shù)的優(yōu)點(diǎn)，譬如發(fā)過(guò)來(lái)的安全策略是包過(guò)濾策略，那么可以針對(duì)報(bào)文的報(bào)頭部分進(jìn)行訪問(wèn)控制。

如果安全策略是代理策略，就可以針對(duì)報(bào)文的內(nèi)容數(shù)據(jù)進(jìn)行訪問(wèn)控制，因此復(fù)合型防火墻技術(shù)綜合了其組成部分的優(yōu)點(diǎn)，同時(shí)摒棄了兩種防火墻的原有缺點(diǎn)，大大提高了防火墻技術(shù)在應(yīng)用實(shí)踐中的靈活性和安全性。

擴(kuò)展資料

具體應(yīng)用

1、內(nèi)網(wǎng)中的防火墻技術(shù)

防火墻在內(nèi)網(wǎng)中的設(shè)定位置是比較固定的，一般將其設(shè)置在服務(wù)器的入口處，通過(guò)對(duì)外部的訪問(wèn)者進(jìn)行控制，從而達(dá)到保護(hù)內(nèi)部網(wǎng)絡(luò)的作用，而處于內(nèi)部網(wǎng)絡(luò)的用戶(hù)，可以根據(jù)自己的需求明確權(quán)限規(guī)劃，使用戶(hù)可以訪問(wèn)規(guī)劃內(nèi)的路徑。

總的來(lái)說(shuō)，內(nèi)網(wǎng)中的防火墻主要起到以下兩個(gè)作用：一是認(rèn)證應(yīng)用，內(nèi)網(wǎng)中的多項(xiàng)行為具有遠(yuǎn)程的特點(diǎn)，只有在約束的情況下，通過(guò)相關(guān)認(rèn)證才能進(jìn)行；二是記錄訪問(wèn)記錄，避免自身的攻擊，形成安全策略。

2、外網(wǎng)中的防火墻技術(shù)

應(yīng)用于外網(wǎng)中的防火墻，主要發(fā)揮其防范作用，外網(wǎng)在防火墻授權(quán)的情況下，才可以進(jìn)入內(nèi)網(wǎng)。針對(duì)外網(wǎng)布設(shè)防火墻時(shí)，必須保障全面性，促使外網(wǎng)的所有網(wǎng)絡(luò)活動(dòng)均可在防火墻的監(jiān)視下，如果外網(wǎng)出現(xiàn)非法入侵，防火墻則可主動(dòng)拒絕為外網(wǎng)提供服務(wù)。

基于防火墻的作用下，內(nèi)網(wǎng)對(duì)于外網(wǎng)而言，處于完全封閉的狀態(tài)，外網(wǎng)無(wú)法解析到內(nèi)網(wǎng)的任何信息。防火墻成為外網(wǎng)進(jìn)入內(nèi)網(wǎng)的唯一途徑，所以防火墻能夠詳細(xì)記錄外網(wǎng)活動(dòng)，匯總成日志，防火墻通過(guò)分析日常日志，判斷外網(wǎng)行為是否具有攻擊特性。

參考資料來(lái)源：百度百科-防火墻

三、大家能給我具體解釋一下防火墻嗎?謝謝!

·定義防火墻 防火墻的技術(shù)分析

據(jù)公安部的資料，1998年中國(guó)共破獲電腦黑客案件近百起，利用計(jì)算機(jī)網(wǎng)絡(luò)進(jìn)行的各類(lèi)違法行為在中國(guó)以每年30％的速度遞增。有媒介報(bào)道，中國(guó)95％的與Internet相連的網(wǎng)絡(luò)管理中心都遭到過(guò)黑客的攻擊或侵入，其中銀行、金融和證券機(jī)構(gòu)是黑客攻擊的重點(diǎn)。

隨著網(wǎng)絡(luò)犯罪的遞增，網(wǎng)絡(luò)防火墻開(kāi)始受人關(guān)注。在此，筆著向大家介紹一下“防火墻”的基本知識(shí)。

防火墻是什么?

所謂“防火墻”，是指一種將內(nèi)部網(wǎng)和公眾訪問(wèn)網(wǎng)(Internet)分開(kāi)的方法，實(shí)際上是一種隔離技術(shù)。防火墻是在兩個(gè)網(wǎng)絡(luò)通訊時(shí)執(zhí)行的一種訪問(wèn)控制尺度，它能允許你“同意”的人和數(shù)據(jù)進(jìn)入你的網(wǎng)絡(luò)，同時(shí)將你“不同意”的人和數(shù)據(jù)拒之門(mén)外，最大限度地阻止網(wǎng)絡(luò)中的黑客來(lái)訪問(wèn)你的網(wǎng)絡(luò)，防止他們更改、拷貝、毀壞你的重要信息。

防火墻的安全技術(shù)分析

防火墻對(duì)網(wǎng)絡(luò)的安全起到了一定的保護(hù)作用，但并非萬(wàn)無(wú)一失。通過(guò)對(duì)防火墻的基本原理和實(shí)現(xiàn)方式進(jìn)行分析和研究，筆者對(duì)防火墻的安全性有如下幾點(diǎn)認(rèn)識(shí)。

1、正確選用、合理配置防火墻非常不容易

防火墻作為網(wǎng)絡(luò)安全的一種防護(hù)手段，有多種實(shí)現(xiàn)方式。建立合理的防護(hù)系統(tǒng)，配置有效的防火墻應(yīng)遵循這樣四個(gè)基本步驟：(1)風(fēng)險(xiǎn)分析；(2)需求分析；(3)確立安全政策；(4)選擇準(zhǔn)確的防護(hù)手段，并使之與安全政策保持一致。然而，多數(shù)防火墻的設(shè)立沒(méi)有或很少進(jìn)行充分的風(fēng)險(xiǎn)分析和需求分析，而只是根據(jù)不很完備的安全政策選擇了一種似乎能“滿足”需要的防火墻，這樣的防火墻能否“防火”還是個(gè)問(wèn)題。

2、需要正確評(píng)估防火墻的失效狀態(tài)

評(píng)價(jià)防火墻性能如何及能否起到安全防護(hù)作用，不僅要看它工作是否正常，能否阻擋或捕捉到惡意攻擊和非法訪問(wèn)的蛛絲馬跡，而且要看到一旦防火墻被攻破，它的狀態(tài)如何? 按級(jí)別來(lái)分，有四種狀態(tài)：(1)未受傷害能夠繼續(xù)正常工作；(2)關(guān)閉并重新啟動(dòng)，同時(shí)恢復(fù)到正常工作狀態(tài)；(3)關(guān)閉并禁止所有的數(shù)據(jù)通行；(4)關(guān)閉并允許所有的數(shù)據(jù)通行。前兩種狀態(tài)比較理想，而第四種最不安全。但是許多防火墻由于沒(méi)有條件進(jìn)行失效狀態(tài)測(cè)試和驗(yàn)證，無(wú)法確定其失效狀態(tài)等級(jí)，因此網(wǎng)絡(luò)必然存在安全隱患。

3、防火墻必須進(jìn)行動(dòng)態(tài)維護(hù)

防火墻安裝和投入使用后，并非萬(wàn)事大吉。要想充分發(fā)揮它的安全防護(hù)作用，必須對(duì)它進(jìn)行跟蹤和維護(hù)，要與商家保持密切的聯(lián)系，時(shí)刻注視商家的動(dòng)態(tài)。因?yàn)樯碳乙坏┌l(fā)現(xiàn)其產(chǎn)品存在安全漏洞，就會(huì)盡快發(fā)布補(bǔ)救(Patch) 產(chǎn)品，此時(shí)應(yīng)盡快確認(rèn)真?zhèn)?防止特洛伊木馬等病毒)，并對(duì)防火墻進(jìn)行更新。

4、目前很難對(duì)防火墻進(jìn)行測(cè)試驗(yàn)證

防火墻能否起到防護(hù)作用，最根本、最有效的證明方法是對(duì)其進(jìn)行測(cè)試，甚至站在“黑客”的角度采用各種手段對(duì)防火墻進(jìn)行攻擊。然而具體執(zhí)行時(shí)難度較大：

(1)防火墻性能測(cè)試目前還是一種很新的技術(shù)，尚無(wú)正式出版刊物，可用的工具和軟件更是寥寥無(wú)幾。目前只有美國(guó)ISS公司提供防火墻性能測(cè)試的工具軟件。

(2)防火墻測(cè)試技術(shù)尚不先進(jìn)，與防火墻設(shè)計(jì)并非完全吻合，使得測(cè)試工作難以達(dá)到既定的效果。

(3)選擇“誰(shuí)”進(jìn)行公正的測(cè)試也是一個(gè)問(wèn)題。

可見(jiàn)，防火墻的性能測(cè)試決不是一件簡(jiǎn)單的事情，但這種測(cè)試又相當(dāng)必要。

5、非法攻擊防火墻的基本“招數(shù)”

(1)通常情況下，有效的攻擊都是從相關(guān)的子網(wǎng)進(jìn)行的。因?yàn)檫@些網(wǎng)址得到了防火墻的信賴(lài)，雖說(shuō)成功與否尚取決于機(jī)遇等因素，但對(duì)攻擊者而言很值得一試。

(2)破壞防火墻的另一種方式是攻擊與干擾相結(jié)合。也就是在攻擊期間使防火墻始終處于繁忙的狀態(tài)。防火墻過(guò)分的繁忙有時(shí)會(huì)導(dǎo)致它忘記履行安全防護(hù)的職能，處于失效狀態(tài)。

(3)需要特別注意的是，防火墻也可能被內(nèi)部攻擊。因?yàn)榘惭b了防火墻后，隨意訪問(wèn)被嚴(yán)格禁止了， 這樣內(nèi)部人員無(wú)法在閑暇的時(shí)間通過(guò)Telnet瀏覽郵件或使用FTP向外發(fā)送信息，個(gè)別人會(huì)對(duì)防火墻不滿進(jìn)而可能攻擊它、破壞它，期望回到從前的狀態(tài)。這里，攻擊的目標(biāo)常常是防火墻或防火墻運(yùn)行的操作系統(tǒng)，因此不僅涉及網(wǎng)絡(luò)安全，還涉及主機(jī)安全問(wèn)題。

以上分析表明，防火墻的安全防護(hù)性能依賴(lài)的因素很多，防火墻并非萬(wàn)能。

目前大多數(shù)防火墻都是基于路由器的數(shù)據(jù)包分組過(guò)濾類(lèi)型，防護(hù)能力差，存在各種網(wǎng)絡(luò)外部或網(wǎng)絡(luò)內(nèi)部攻擊防火墻的技術(shù)手段。

·防火墻的基本類(lèi)型

實(shí)現(xiàn)防火墻的技術(shù)包括四大類(lèi)：

1、網(wǎng)絡(luò)級(jí)防火墻

一般是基于源地址和目的地址、應(yīng)用或協(xié)議以及每個(gè)IP包的端口來(lái)作出通過(guò)與否的判斷。一個(gè)路由器便是一個(gè)“傳統(tǒng)”的網(wǎng)絡(luò)級(jí)防火墻，大多數(shù)的路由器都能通過(guò)檢查這些信息來(lái)決定是否將所收到的包轉(zhuǎn)發(fā)，但它不能判斷出一個(gè)IP包來(lái)自何方，去向何處。

先進(jìn)的網(wǎng)絡(luò)級(jí)防火墻可以判斷這一點(diǎn)，它可以提供內(nèi)部信息以說(shuō)明所通過(guò)的連接狀態(tài)和一些數(shù)據(jù)流的內(nèi)容，把判斷的信息同規(guī)則表進(jìn)行比較，在規(guī)則表中定義了各種規(guī)則來(lái)表明是否同意或拒絕包的通過(guò)。包過(guò)濾防火墻檢查每一條規(guī)則直至發(fā)現(xiàn)包中的信息與某規(guī)則相符。如果沒(méi)有一條規(guī)則能符合，防火墻就會(huì)使用默認(rèn)規(guī)則，一般情況下，默認(rèn)規(guī)則就是要求防火墻丟棄該包。其次，通過(guò)定義基于TCP或UDP數(shù)據(jù)包的端口號(hào)，防火墻能夠判斷是否允許建立特定的連接，如Telnet、FTP連接。

下面是某一網(wǎng)絡(luò)級(jí)防火墻的訪問(wèn)控制規(guī)則：

(1)允許網(wǎng)絡(luò)123.1.0使用FTP(21口)訪問(wèn)主機(jī)150.0.0.1；

(2) 允許IP地址為202.103.1.18和202.103.1.14的用戶(hù)Telnet (23口) 到主機(jī)150.0.0.2上；

(3)允許任何地址的E－mail(25口)進(jìn)入主機(jī)150.0.0.3；

(4)允許任何WWW數(shù)據(jù)（80口）通過(guò)；

(5)不允許其他數(shù)據(jù)包進(jìn)入。

網(wǎng)絡(luò)級(jí)防火墻簡(jiǎn)潔、速度快、費(fèi)用低，并且對(duì)用戶(hù)透明，但是對(duì)網(wǎng)絡(luò)的保護(hù)很有限，因?yàn)樗粰z查地址和端口，對(duì)網(wǎng)絡(luò)更高協(xié)議層的信息無(wú)理解能力。

2、應(yīng)用級(jí)網(wǎng)關(guān)

應(yīng)用級(jí)網(wǎng)關(guān)能夠檢查進(jìn)出的數(shù)據(jù)包，通過(guò)網(wǎng)關(guān)復(fù)制傳遞數(shù)據(jù)，防止在受信任服務(wù)器和客戶(hù)機(jī)與不受信任的主機(jī)間直接建立聯(lián)系。應(yīng)用級(jí)網(wǎng)關(guān)能夠理解應(yīng)用層上的協(xié)議，能夠做復(fù)雜一些的訪問(wèn)控制，并做精細(xì)的注冊(cè)。但每一種協(xié)議需要相應(yīng)的代理軟件，使用時(shí)工作量大，效率不如網(wǎng)絡(luò)級(jí)防火墻。

常用的應(yīng)用級(jí)防火墻已有了相應(yīng)的代理服務(wù)器， 例如： HTTP、 NNTP、 FTP、Telnet、rlogin、X－Window等，但是，對(duì)于新開(kāi)發(fā)的應(yīng)用，尚沒(méi)有相應(yīng)的代理服務(wù)，它們將通過(guò)網(wǎng)絡(luò)級(jí)防火墻和一般的代理服務(wù)。

應(yīng)用級(jí)網(wǎng)關(guān)有較好的訪問(wèn)控制，是目前最安全的防火墻技術(shù)，但實(shí)現(xiàn)困難，而且有的應(yīng)用級(jí)網(wǎng)關(guān)缺乏“透明度”。在實(shí)際使用中，用戶(hù)在受信任的網(wǎng)絡(luò)上通過(guò)防火墻訪問(wèn)Internet時(shí)， 經(jīng)常會(huì)發(fā)現(xiàn)存在延遲并且必須進(jìn)行多次登錄(Login)才能訪問(wèn)Internet或Intranet。

3、電路級(jí)網(wǎng)關(guān)

電路級(jí)網(wǎng)關(guān)用來(lái)監(jiān)控受信任的客戶(hù)或服務(wù)器與不受信任的主機(jī)間的TCP握手信息,這樣來(lái)決定該會(huì)話(Session) 是否合法,電路級(jí)網(wǎng)關(guān)是在OSI模型中會(huì)話層上來(lái)過(guò)濾數(shù)據(jù)包,這樣比包過(guò)濾防火墻要高兩層。

實(shí)際上電路級(jí)網(wǎng)關(guān)并非作為一個(gè)獨(dú)立的產(chǎn)品存在，它與其他的應(yīng)用級(jí)網(wǎng)關(guān)結(jié)合在一起， 如Trust Information Systems公司的Gauntlet Internet Firewall； DEC公司的Alta Vista Firewall等產(chǎn)品。 另外，電路級(jí)網(wǎng)關(guān)還提供一個(gè)重要的安全功能：代理服務(wù)器（Proxy Server） ，代理服務(wù)器是個(gè)防火墻，在其上運(yùn)行一個(gè)叫做“地址轉(zhuǎn)移”的進(jìn)程，來(lái)將所有你公司內(nèi)部的IP地址映射到一個(gè)“安全”的IP地址，這個(gè)地址是由防火墻使用的。但是，作為電路級(jí)網(wǎng)關(guān)也存在著一些缺陷，因?yàn)樵摼W(wǎng)關(guān)是在會(huì)話層工作的，它就無(wú)法檢查應(yīng)用層級(jí)的數(shù)據(jù)包。

4、規(guī)則檢查防火墻

該防火墻結(jié)合了包過(guò)濾防火墻、電路級(jí)網(wǎng)關(guān)和應(yīng)用級(jí)網(wǎng)關(guān)的特點(diǎn)。它同包過(guò)濾防火墻一樣， 規(guī)則檢查防火墻能夠在OSI網(wǎng)絡(luò)層上通過(guò)IP地址和端口號(hào)，過(guò)濾進(jìn)出的數(shù)據(jù)包。它也像電路級(jí)網(wǎng)關(guān)一樣，能夠檢查SYN和ACK標(biāo)記和序列數(shù)字是否邏輯有序。當(dāng)然它也像應(yīng)用級(jí)網(wǎng)關(guān)一樣， 可以在OSI應(yīng)用層上檢查數(shù)據(jù)包的內(nèi)容，查看這些內(nèi)容是否能符合公司網(wǎng)絡(luò)的安全規(guī)則。

規(guī)則檢查防火墻雖然集成前三者的特點(diǎn)，但是不同于一個(gè)應(yīng)用級(jí)網(wǎng)關(guān)，它并不打破客戶(hù)機(jī)/服務(wù)機(jī)模式來(lái)分析應(yīng)用層的數(shù)據(jù)，它允許受信任的客戶(hù)機(jī)和不受信任的主機(jī)建立直接連接。規(guī)則檢查防火墻不依靠與應(yīng)用層有關(guān)的代理，而是依靠某種算法來(lái)識(shí)別進(jìn)出的應(yīng)用層數(shù)據(jù)，這些算法通過(guò)已知合法數(shù)據(jù)包的模式來(lái)比較進(jìn)出數(shù)據(jù)包，這樣從理論上就能比應(yīng)用級(jí)代理在過(guò)濾數(shù)據(jù)包上更有效。

目前在市場(chǎng)上流行的防火墻大多屬于規(guī)則檢查防火墻，因?yàn)樵摲阑饓?duì)于用戶(hù)透明，在OSI最高層上加密數(shù)據(jù)，不需要你去修改客戶(hù)端的程序，也不需對(duì)每個(gè)需要在防火墻上運(yùn)行的服務(wù)額外增加一個(gè)代理。如現(xiàn)在最流行的防火墻之一On Technology軟件公司生產(chǎn)的On Guard和Check Point軟件公司生產(chǎn)的Fire Wall－1防火墻都是一種規(guī)則檢查防火墻。

從趨勢(shì)上看，未來(lái)的防火墻將位于網(wǎng)絡(luò)級(jí)防火墻和應(yīng)用級(jí)防火墻之間。也就是說(shuō)，網(wǎng)絡(luò)級(jí)防火墻將變得更加能夠識(shí)別通過(guò)的信息，而應(yīng)用級(jí)防火墻在目前的功能上則向“透明”、“低級(jí)”方面發(fā)展。最終防火墻將成為一個(gè)快速注冊(cè)核查系統(tǒng)，可保護(hù)數(shù)據(jù)以加密方式通過(guò)，使所有組織可以放心地在節(jié)點(diǎn)。

四、防火墻的核心技術(shù)有哪些

1.包過(guò)濾技術(shù)

包過(guò)濾技術(shù)是一種簡(jiǎn)單、有效的安全控制技術(shù)，它工作在網(wǎng)絡(luò)層，通過(guò)在網(wǎng)絡(luò)間相互連接的設(shè)備上加載允許、禁止來(lái)自某些特定的源地址、目的地址、TCP端口號(hào)等規(guī)則，對(duì)通過(guò)設(shè)備的數(shù)據(jù)包進(jìn)行檢查，限制數(shù)據(jù)包進(jìn)出內(nèi)部網(wǎng)絡(luò)。

防火墻技術(shù)有哪些？防火墻的核心技術(shù)及最新防火墻技術(shù)

包過(guò)濾的最大優(yōu)點(diǎn)是對(duì)用戶(hù)透明，傳輸性能高。但由于安全控制層次在網(wǎng)絡(luò)層、傳輸層，安全控制的力度也只限于源地址、目的地址和端口號(hào)，因而只能進(jìn)行較為初步的安全控制，對(duì)于惡意的擁塞攻擊、內(nèi)存覆蓋攻擊或病毒等高層次的攻擊手段，則無(wú)能為力。

2.應(yīng)用代理技術(shù)

應(yīng)用代理防火墻工作在OSI的第七層，它通過(guò)檢查所有應(yīng)用層的信息包，并將檢查的內(nèi)容信息放入決策過(guò)程，從而提高網(wǎng)絡(luò)的安全性。

應(yīng)用網(wǎng)關(guān)防火墻是通過(guò)打破客戶(hù)機(jī)／服務(wù)器模式實(shí)現(xiàn)的。每個(gè)客戶(hù)機(jī)／服務(wù)器通信需要兩個(gè)連接：一個(gè)是從客戶(hù)端到防火墻，另一個(gè)是從防火墻到服務(wù)器。另外，每個(gè)代理需要一個(gè)不同的應(yīng)用進(jìn)程，或一個(gè)后臺(tái)運(yùn)行的服務(wù)程序，對(duì)每個(gè)新的應(yīng)用必須添加針對(duì)此應(yīng)用的服務(wù)程序，否則不能使用該服務(wù)。所以，應(yīng)用網(wǎng)關(guān)防火墻具有可伸縮性差的缺點(diǎn)。

3.狀態(tài)檢測(cè)技術(shù)

狀態(tài)檢測(cè)防火墻工作在OSI的第二至四層，采用狀態(tài)檢測(cè)包過(guò)濾的技術(shù)，是傳統(tǒng)包過(guò)濾功能擴(kuò)展而來(lái)。狀態(tài)檢測(cè)防火墻在網(wǎng)絡(luò)層有一個(gè)檢查引擎截獲數(shù)據(jù)包并抽取出與應(yīng)用層狀態(tài)有關(guān)的信息，并以此為依據(jù)決定對(duì)該連接是接受還是拒絕。這種技術(shù)提供了高度安全的解決方案，同時(shí)具有較好的適應(yīng)性和擴(kuò)展性。狀態(tài)檢測(cè)防火墻一般也包括一些代理級(jí)的服務(wù)，它們提供附加的對(duì)特定應(yīng)用程序數(shù)據(jù)內(nèi)容的支持。

狀態(tài)檢測(cè)防火墻基本保持了簡(jiǎn)單包過(guò)濾防火墻的優(yōu)點(diǎn)，性能比較好，同時(shí)對(duì)應(yīng)用是透明的，在此基礎(chǔ)上，對(duì)于安全性有了大幅提升。這種防火墻摒棄了簡(jiǎn)單包過(guò)濾防火墻僅僅考察進(jìn)出網(wǎng)絡(luò)的數(shù)據(jù)包，不關(guān)心數(shù)據(jù)包狀態(tài)的缺點(diǎn)，在防火墻的核心部分建立狀態(tài)連接表，維護(hù)了連接，將進(jìn)出網(wǎng)絡(luò)的數(shù)據(jù)當(dāng)成一個(gè)個(gè)的事件來(lái)處理。主要特點(diǎn)是由于缺乏對(duì)應(yīng)用層協(xié)議的深度檢測(cè)功能，無(wú)法徹底的識(shí)別數(shù)據(jù)包中大量的垃圾郵件、廣告以及木馬程序等等。

4.完全內(nèi)容檢測(cè)技術(shù)

完全內(nèi)容檢測(cè)技術(shù)防火墻綜合狀態(tài)檢測(cè)與應(yīng)用代理技術(shù)，并在此基礎(chǔ)上進(jìn)一步基于多層檢測(cè)架構(gòu)，把防病毒、內(nèi)容過(guò)濾、應(yīng)用識(shí)別等功能整合到防火墻里，其中還包括IPS功能，多單元融為一體，在網(wǎng)絡(luò)界面對(duì)應(yīng)用層掃描，把防病毒、內(nèi)容過(guò)濾與防火墻結(jié)合起來(lái)，這體現(xiàn)了網(wǎng)絡(luò)與信息安全的新思路，(因此也被稱(chēng)為“下一代防火墻技術(shù)”)。它在網(wǎng)絡(luò)邊界實(shí)施OSI第七層的內(nèi)容掃描，實(shí)現(xiàn)了實(shí)時(shí)在網(wǎng)絡(luò)邊緣布署病毒防護(hù)、內(nèi)容過(guò)濾等應(yīng)用層服務(wù)措施。完全內(nèi)容檢測(cè)技術(shù)防火墻可以檢查整個(gè)數(shù)據(jù)包內(nèi)容，根據(jù)需要建立連接狀態(tài)表，網(wǎng)絡(luò)層保護(hù)強(qiáng)，應(yīng)用層控制細(xì)等優(yōu)點(diǎn)，但由于功能集成度高，對(duì)產(chǎn)品硬件的要求比較高。

以上就是關(guān)于實(shí)現(xiàn)防火墻的主要技術(shù)不包括相關(guān)問(wèn)題的回答。希望能幫到你，如有更多相關(guān)問(wèn)題，您也可以聯(lián)系我們的客服進(jìn)行咨詢(xún)，客服也會(huì)為您講解更多精彩的知識(shí)和內(nèi)容。

推薦閱讀：

愿望能實(shí)現(xiàn)的圖片

如何利用瀑布流實(shí)現(xiàn)響應(yīng)式web設(shè)計(jì)

《突破傳統(tǒng)銷(xiāo)售模式，實(shí)現(xiàn)更高銷(xiāo)售收益》

啥是市場(chǎng)營(yíng)銷(xiāo)

新手設(shè)計(jì)師接單平臺(tái)（平面設(shè)計(jì)兼職接單app）