防火墙技术的介绍

　　网络的快速发展给人们带来了极大的方便，不出家门便可坐知天下事、完成相应工作。同时因特网也面临着空前的威胁，各类网络违法案件逐年剧增，尤其以电子邮件、特洛伊木马、文件共享等为传播途径的混合型病毒愈演愈烈。目前新一代的计算机病毒将具有更多智能化的特征。因此，如何使用有效可行的方法使网络危险降到人们可接受的范围之内越来越受到人们的关注。防火墙技术作为内、外网之间的屏障，可以有效的防御网络攻击。因此探索防火墙技术及如何选用合适的防火墙是非常必要的。下面就由小编给大家说说防火墙的技术知识。

　　防火墙技术的介绍一：

　　1 网络安全面临的威胁

　　计算机网络系统的安全威胁主要来自三个方面

　　1)计算机病毒。当前，计算机病毒高达数万种，病毒通过各种途径进入网络，破坏网络资源，造成网络不能正常工作甚至瘫痪。

　　2)黑客侵袭。黑客以非法的手段进入网络并使用网络资源。 通过隐蔽通道进行非法活动，通过匿名用户破坏网络，通过网络监听截取用户名和密码，非法获取网上传输的数据，突破防火墙等。

　　3)拒绝服务攻击。强行占用系统资源，使系统无法完成正常的需求响应。例如“点在邮件炸弹”，它的表现形式是用户在很短的时间内收到大量无用的电子邮件，从而影响正常业务的运行。严重时会使系统关机，网络瘫痪。

　　针对各种网络威胁，我们应该采用相应的安全技术，例如数据加密技术、认证技术、防火墙技术、入侵检测技术、防病毒技术、文件系统安全等技术。

　　2 防火墙技术

　　2.1 防火墙的概念

　　防火墙是设置在不同网络(如可信任的企业内部网和不可信的公共网)或网络安全域之间的一系列部件的组合。它可通过监测、限制、更改跨越防火墙的数据流，尽可能地对外部屏蔽网络内部的信息、结构和运行状况， 以此来实现网络的安全保护。在逻辑上，防火墙是一个分离器，一个限制器，也是一个分析器，有效地监控了内部网和Internet之间的任何活动， 保证了内部网络的安全。

　　2.2 防火墙的分类

　　防火墙总的来说可以分为两类：软件防火墙和硬件防火墙。

　　软件防火墙需要以一台计算机为载体，通过在操作系统底层工作来实现网络管理和防御的功能，有时也称为“个人”防火墙，功能有限。

　　硬件防火墙集成了软硬件功能，并且软、硬件都单独设计，采用专用的网络芯片处理数据包。有自己特定的系统平台，避免了通用操作系统的安全性漏洞。功能强大，目前已经普遍使用。我们下面多说的防火墙都只硬防火墙。

　　2.3 硬防火墙技术

　　我们在使用防火墙是首先要考虑是使用硬、还是软防火墙。硬件防火墙由于独立的芯片，在性能和自身安全性方面都较软件防火墙先进许多，在资金允许的情况下，尽量选择硬防火墙。对于硬防火墙根据采用的过滤技术可分为：

　　2.3.1 包过滤防火墙。包过滤防火墙是最简单的一种防火墙，又分为动态包过滤和静态包过滤型防火墙。一般作用在网络层，故也称网络层防火墙或IP过滤器。它工作在IP 层和TCP层，根据防火墙的规则表，来检测攻击行为。处理包的速度比应用型防火墙快，且提供透明的服务，用户不用改变客户端程序。但因只涉及到TCP层，因此提供的安全级别较低;而且不支持用户认证;不提供日志功能。目前在广大中小型企业中应用最广，主要是价格便宜，性能也不错。安全性不足的缺点在这类企业中表现的不明显。

　　2.3.2 应用代理型防火墙。应用代理型防火墙是目前最为主流的防火墙技术，也是应用最广的防火墙类型。特别是在一些中型或中型以上的网络中。有非常全面的安全防护技术和措施，可以为企业提供全方位的安全防护和管理，但价格比包过滤型要贵许多。明显缺点是速度比包过滤型慢。

　　2.3.3 状态包过滤型防火墙。这类防火墙属于混合型防火墙，具有包过滤和应用代理两种技术的优势。传输速率和安全性得到进一步提高。尚处于发展之中，只是一些较大型企业或应用复杂的网络中采用，如WEB服务器、数据库应用、电子商务应用等。

　　2.4 防火墙使用参考

　　2.4.1 小型办公和家用网络。小型办公和家用网络(small office home office.SOHO)要管理的用户和机器比较少，且只需要访问极少量的网络服务，如电子邮件、web以及有时需要的流媒体。在这种情况下，简单的数据包过滤防火墙就可以了。现在大部分的SOHO路由器都具有防火墙、、地址映射、端口映射、DHCP服务、自动拨号、支持虚拟服务器以及动态DNS功能。

　　华为Quidway R1600，清华同方D-link、Netgear，3Com等公司的宽带路由。Cisco和check point也提供小型办公版本的PIX和FireWall-1，但价格要高一些。