防火墙技术

开篇：润墨网以专业的文秘视角，为您筛选了一篇防火墙技术范文，如需获取更多写作素材，在线客服老师一对一协助。欢迎您的阅读与分享！

1 概述

防火墙是网络安全的第一道门户，可以实现内部网（信任网络）和外部不可信任网络之间，或者内部不同网络安全区域之间的隔离与访问控制，保证网络系统及网络服务的可用性。狭义的防火墙是指安装了防火墙的软件或路由器系统，而广义的防火墙还包括整个网络的安全策略和安全行为。防火墙一词来自建筑物中的同名机构，从字面意思上说，它可以防止火灾从建筑物的一部分蔓延到其他部分。Internet防火墙也要起到同样的作用，防止Internet上的不安全因素蔓延到自己企业或组织的内部网。

2 防火墙功能

本质上来讲，防火墙被认为是两个网络间的隔断，只允许所选定的一些形式的通信通过。防火墙另外一个重要特征是它自身抵抗攻击的能力：防火墙自身应当不易被攻入，因为攻入防火墙就给攻击者进入内部网一个立足点。从安全需求来看，理想的防火墙应具备以下功能：

1）能够分析进出网络的数据。

2）能够通过识别、认证和授权对进出网络的行为进行访问控制。

3）能够封堵安全策略禁止的业务。

4）能够审计跟踪通过的信息内容和活动。

5）能够对网络入侵行为进行检测和报警。

6）能够对需要保密的信息进行授权的加密和解密。

7）能够对接收到的数据进行完整性校验。

通过选择优秀的防火墙产品，制定合理的安全策略，内部网络可以在很大程度上避免受到攻击。但是需要指出的是，当前流行的许多错误概念和观点经常误导用户。那就是过分夸大某些产品的功能，认为所有的网络安全问题可以通过简单地配置防火墙来达到。虽然当单位将其网络互联时，防火墙是网络安全的重要一环，但并非全部。许多危险是在防火墙能力范围之外的。

3 防火墙的结构

3.1 包过滤性防火墙

说明：对进出内部网络的所有信息进行分析，并按照一定的安全策略对进出内部网络的信息进行限制。

优点：处理速度快、费用低、对用户透明。

缺点：维护比较困难，只能阻止少部分IP欺骗，不支持有效地用户认证，日志功能有限。过滤规则增加会大大降低吞吐量，无法对信息提供全面控制。

3.2 双宿网关防火墙

说明：由一台至少装有两块网卡的堡垒主机作为防火墙，位于内外网络之间，分别与内外网络相离，实现物理上的隔开。服务方式，一是用户直接登录到双宿主机上，二是在双宿主机运行服务器。

优点：安全性比屏蔽路由器高。

缺点：入侵者一旦得到双宿主机的访问权，内部网络就会被入侵，因此需要具有强大的身份认证系统，才能阻挡来自外部的不可信网络的非法入侵。

3.3 屏蔽主机防火墙

说明：强迫所有的外部主机与一个堡垒主机相连接，不让他们直接与内部主机相连接。它是由包过滤路由器和堡垒主机组成的。

优点：实现了网络层安全和应用层安全，因此安全等级比屏蔽路由器要高。

缺点：堡垒主机可能被绕过，堡垒主机与其他内部主机之间没有任何保护网络安全的物质存在，一旦被攻破，内网就将完全暴露。

3.4 屏蔽子网防火墙

说明：用了两个屏蔽路由器和一个堡垒主机，也称为“单DMZ”防火墙结构。

优点：在定义了“非军事区（DMZ）”网络后，它支持网络层和应用层安全功能，这也是最安全的防火墙系统。

缺点：通常情况下的屏蔽子网防火墙比较小，处于internet

和内部网络之间。一般情况下，将其配置成使用internet和内部网络系统对其访问会受限制的系统，例如：堡垒主机、信息服务器、modem组以及其他公用服务器。

3.5 其他防火墙结构

在实际应用中，经常在前四种基本结构的基础上进行组合。

1）合并“非军事区”的外部路由器和堡垒主机结构（也是单DMZ结构）：由双穴堡垒主机执行原来外部路由器的功能，但会缺乏专用路由器的灵活性和性能，出了需注意保护堡垒主机外，与屏蔽子网防火墙结构相比没有明显弱点。

2）合并内部路由器和堡垒主机结构（也是单DMZ）：这种结构并不提倡，因为一旦堡垒主机被入侵，内部网络没有安全保护。

3）合并DMZ的内部路由器和外部路由器结构：只有当拥有功能强大的路由器的时候，才考虑合并内、外路由器。这种结构与屏蔽主机结构一样，路由器容易受到伤害。

4）两个堡垒主机和两个非军事结构：也就是使用两台双穴主机，设立两个非军事区，从而将网络分成内网、外网、内DMZ、外DMZ四个部分。通常将不是很机密的服务器放在内DMZ网络上，有机密信息的敏感主机放在内部网络中。另外值得一提的是，在这种结构中，可以在外部DMZ放置一些公共信息服务主机（如FTP、WWW），而堡垒主机对这些主机不予信任，这类主机称为“牺牲主机”。