防火墙在企业中的应用

防火墙在企业中的应用（精选8篇）

防火墙在企业中的应用 篇1

防火墙技术在企业财务管理系统中的应用

2010-06-10 09:02:02 作者：韩晓 来源：万方数据 分享 | 摘要： 目前企业局域网上存在的安全隐患中，黑客恶意攻击和病毒感染的威胁最大，造成的破坏也最大。针对局域网中存在的众多隐患，企业必须实施了安全防御措施。主要包括防火墙技术，数据 关键词： 防火墙企业防火墙防火墙功能信息安全代理服务器

目前企业局域网上存在的安全隐患中，黑客恶意攻击和病毒感染的威胁最大，造成的破坏也最大。针对局域网中存在的众多隐患，企业必须实施了安全防御措施。主要包括防火墙技术，数据加密技术、认证技术等，其中应用最为广泛、实用性最强、效果最好的就是防火墙技术。本文就防火墙技术在财务管理信息系统中的应用进行较为深入的探讨。

1、防火墙技术

1.1防火墙的基本概念

防火墙是保护内部网络安全的一道防护墙。从理论上讲，网络防火墙是用来防止外部网上的各类危险程序传播到某个受保护网内，财务上主要用于保护计算机和服务器不受攻击。确保数据安全。从逻辑上讲，防火墙是分离器，限制器和分析器；从物理角度看，各个防火墙的物理实现方式可以有所不同，但它通常是1组硬件设备(路由器、主机)和软件的多种组合，而从本质上看防火墙是1种保护装置，用来保护网络数据、资源和用户的声誉，从技术上来说，网络防火墙是1种访问控制技术，在某个机构的网络和不安垒的网络之间设置障碍，阻止对信息资源的非法访问，所以防火墙是一道门槛，控制进出2个方向的通信，防火墙主要用来保护安全网络免受来自不安全网络的入侵。

1.2防火墙的工作原理

防火墙的工作原理是按照事先规定好的配置和规则，监控所有通过防火墙的数据流，只允许授权的数据通过，同时记录有关的链接来源，服务器提供的通信量以及试图闯入者的任何企图，以方便管理员的监测和跟踪。

1.3防火墙的功能

防火墙主要有以下四种功能：(1)能够防止非法用户进入内部网络；(2)可以很方便地监视网络的安全性，并报警；(3)可以作为部署NAT(Network Address Translation，网络地址变换)的地点，利用NAT技术，将有限的IP地址动态或静态地与内部的IP地址对应起来。用来缓解地址空间短缺的问题；(4)可以连接到1个单独的网段上，从物理上和内部网段隔开，并在此部署）原创之作品（文字、图片、图表），转载请务必注明出处，违者本网将依法追究责任。

防火墙在企业中的应用 篇2

防火墙就是一个位于计算机和它所连接的网络之间的软件。该计算机流入流出的所有网络通信均要经过防火墙。它对流经它的网络通信进行扫描, 这样能够过滤掉一些攻击, 以免其在目标计算机上被执行, 还能禁止特定端口的流出通信, 封锁特洛伊木马, 禁止来自特殊站点的访问, 从而防止来自不明入侵者的所有通信。防火墙一般安装在内部网络与外部网络之间, 集中所有互联网流量, 因此对其要求极高, 一旦发生故障必须能迅速恢复。

二、选择防火墙需要注意的问题

作为企业信息安全保护最基础的硬件, 防火墙在企业整体防范体系中占据至关重要的地位。一款反应和处理能力不强的防火墙, 不但保护不了企业的信息安全, 反而会成为安全的最大隐患, 所以, 选择防火墙必须谨慎。

1.应购买具有品牌优势、质量信得过的产品。厂商的持续开发能力以及升级和维护能力非常重要。目前对国内安全产品的认证有四种:中国信息安全产品测评认证中心的认证 (针对企业应用) , 国家保密局测评认证中心的认证 (针对政府涉密网应用) 、公安部计算机信息安全产品质量监督检验中心 (获得销售许可) , 以及中国人民解放军信息安全测评认证中心 (针对军队使用) 。

2.在性能方面只选适合的, 不一定选最高的, 除了要考虑产品本身应该安全可靠, 还要考虑防火墙性能的稳定, 并应有良好的扩展性与适应性, 方便管理和控制也是必须考虑的。除此之外还要注意防火墙的基本性能, 如效率与安全防护能力、网络吞吐量、提供专业代理的数量, 以及与其他信息安全产品的联动等问题。

3.价格并非越贵越好。不同价格的防火墙保证的安全程度也不同。硬件防火墙因为比软件防火墙稳定和效率更高, 一般价格也要高一些。对于有条件的企业来说, 最好选择整套企业级的防火墙解决方案。

4.用户在选择防火墙时, 除了考虑性能与价格外, 还应考虑厂商提供的售后服务。一旦使用中遇到用户解决不了的问题或故障时, 厂商应及时响应、快速解决问题。

三、防火墙的分类

防火墙有很多种分类方法:依据采用的技术的不同, 防火墙产品可分为软件防火墙、硬件防火墙和软硬一体化防火墙;按照应用对象的不同, 防火墙产品可分为企业级防火墙与个人防火墙;根据防御方式的不同, 防火墙产品又可分为包过滤型 (Packet Filtering) 防火墙、应用级网关型 (Application Level Gateway) 防火墙和代理服务型 (Proxy Service) 防火墙, 等等。

四、应对企业中的网络安全隐患

拥有诸多用户和诸多有问题的复杂服务的大企业更具挑战性。“有问题的”服务是指貌似简单但实际上需要防火墙开放多个端口的服务, 譬如VoIP和NetMeeting。这两种服务都需要为25种以上的不同服务开放端口, 所以就应该使用应用网关防火墙, 或者仅限于严格控制的环境 (譬如, 从内部网络、某一组IP地址启动服务、只在特定时间段进行) 。此外, 如果在复杂的大型环境安装防火墙, 应该使用支持集中式防火墙管理和配置功能的防火墙, 譬如PIX、CyberGuard、Firebox、FireWall-1、NetScreen和Sidewinder G2。

对应用层数据进行加密, 已经被广泛地应用于各种场合, 以提高数据的安全性。如在邮箱系统中, 就采用了SSL的加密机制。用户可以选择是否要对邮件的内容进行加密。若用户选择SSL加密的话, 则在邮件发送的时候, 邮箱系统会自动对整封邮件在应用层面上进行加密。

这就对深度检测防火墙提出了新的挑战, 防火墙必须有对应用层数据进行加密、解密的能力。因为像一些病毒邮件, 其往往隐藏在邮件的附件中, 也就是隐藏在应用层的数据中。而因为对应用层的数据采取了加密处理, 所以一般防火墙不能够辨别应用层数据中是否存在着病毒文件。只有防火墙能够对应用层数据进行解密、加密的能力, 才能够判断数据包中是否含有应用层的攻击信息。所以, 如果防火墙的深度检测功能不能够对企业中的关键应用, 如邮件系统, 提供深度检测安全性的话 (即对应用层数据进行解密后的检测) , 则整个深度检测就会失去其存在的意义。换句话说, 深度检测只能够检测未经过加密处理的应用层数据, 其效果就会大大的打折扣。

在企业的关键应用中, 一般邮件系统中会实现应用层的数据加密。除了这个应用外, 企业可能在VPN、FTP服务器、OA服务器中也实现了类似SSL的加密机制。根据了解, 只要能够在互联网上进行访问的信息化应用, 一般都会在应用层上对数据加密, 以提高数据的安全性。通过对应用层数据加密, 可以有效地防止攻击者通过网络侦听的手段窃取公司的机密数据。

1.能否有效解决应用层字符串匹配问题

在针对应用层的攻击中, 很多是通过字符串的匹配不当来实现的。如典型的欺骗IDS攻击, 就是通过这个字符串不匹配而完成的。

有时候为了了解某种请求的安全策略是否被启用, 防火墙通常会根据请求的信息与自身的安全策略来进行匹配。一旦条件匹配, 防火墙就采用对应的安全策略。非法攻击者会利用各种手段, 对用户的请求信息进行伪装, 企图让字符串不匹配, 以达到越过安全设备的目的。可以简单一点来理解:当客户端想通过防火墙的时候, 客户端的数据会向防火墙发送一个请求。在这个请求信息中, 会包含是否需要采用某种安全策略的信息, 而这些信息都是通过一些特定的字符串来表示的。当防火墙收到请求信息时, 就会把这些字符串跟自身的进行对比。若符合, 则采取某种安全策略, 如加密等;若不符合, 则不会采用安全策略, 而以普通的方式转发。

如此, 只要攻击者对请求者的请求信息进行随意的更改, 就可能导致请求信息字符串与防火墙中的字符串不匹配, 从而绕过安全设备, 进行一些非法的勾当。为了解决这个字符串匹配问题, 深度检测技术设计了一种“正常化技术”。通过这种技术, 能够让深度检测识别隐藏在URL编码、Unicode数据中的应用层攻击行为, 以提高应用层数据的安全性。

2.能否判断协议的一致性

数据要在网络上传输, 都必须遵守一定的规范。在网络上, 数据的交通法规就是各种应用层协议, 如HTTP、SMTP、FTP协议等。这些协议都有全球统一的规范。如果员工发送一封邮件, 则应用层的数据必须符合SMTP协议的规范。

但是, 很多攻击者就利用这些规范来对企业网络进行攻击。如在邮件中, 会插入FTP协议的内容。当用户查看邮件内容的时候, 在不知情的情况下, 系统自动从FTP服务器上下载木马、病毒等非法软件, 实现应用层的攻击。所以, 深度检测技术既然能够检测应用层的数据, 则我们就希望它好事做到底, 能够进一步判断协议的一致性。也就是说, 其应用层中的数据所采用的协议跟其所声明的协议类型是否一致。如果不一致的话, 则防火墙就需要过滤这个数据包, 并向管理员提出警告。如果一致的话, 就顺利转发。

3.PIX防火墙

为了在组织中高效使用防火墙, 需要一个安全策略来确认被保护网络的所有数据包只能通过防火墙传递到非保护网络。这样就能控制谁能访问网络, 访问什么服务, 及如何利用PIX防火墙的功能实现你的安全策略。

图1显示了PIX防火墙如何保护内部网络安全地访问Internet。

在这个结构中, PIX防火墙在被保护网络和非保护网络之间形成了一个边界。被保护网络和非保护网络之间的所有数据包流量必须经过防火墙以遵循一定的安全策略。被保护网络通常能访问Internet。PIX防火墙让你将诸如Web、SNMP、E-mail等服务放置在被保护网络中, 以控制外部用户的对这些服务的访问。

服务系统也能放置在Perimeter网络中 (图1) 。PIX防火墙也能控制和监视Inside网络或Outside网络对这些服务系统的访问。

典型的Inside网络就是一个组织自己的内部Intranet网络, 外部网络就是Internet。但是, PIX防火墙也能在Intranet网络中使用以隔离或保护一组内部的计算机系统。Perimeter网络能和Inside网络一样进行安全配置。PIX防火墙的Inside、Perimeter和Outside接口能监听RIP路由更新消息, 如果需要, 所有的接口能广播一个缺省的RIP路由。

PIX防火墙能在两个或多个网络之间防止非授权的连接, 即PIX防火墙能保护一个或多个网络, 与外部的、非保护的网络隔离, 防止非授权访问。这些网络间的所有连接都能被PIX防火墙控制。

当向外连接的数据包 (Outbound Packets) 到达PIX防火墙的被保护接口时 (Inside Interface) , PIX防火墙检查先前的数据包是否是来自此主机。如果没有, PIX防火墙就在它的状态表为新的连接建立一个转换槽 (translation slot) 。通过网络地址转换 (NAT) 或端口地址转换 (PAT) 的分配, 这个槽包括内部IP地址和一个唯一的全局IP地址。PIX防火墙这时转换这个数据包的源IP地址 (source IP) 为这个唯一的全局IP地址, 并按需修改其他字段, 然后转发这个数据包到合适的非保护接口。

当向内连接的数据包 (Inbound Packets) 到达PIX防火墙的非保护接口时 (Outside Interface) , 它必须先经过PIX防火墙的安全检查。如果数据包检查通过, 则PIX防火墙移走这个数据包的目的IP地址 (Destination IP) , 插入内部的IP地址。这样, 这个数据包被转发到被保护接口。

转换内部地址, 动态转换对在Internet上不需要固定地址的桌面计算机是非常有用的。使用非NIC (Network Information Center) 注册的IP地址的内部网络主机通过在PIX防火墙中的地址转换能直接访问Internet上的标准TCP/IP程序, 而不需要特定的客户程序。PIX防火墙支持能为每个内部主机提供一个全局唯一网络地址的网络地址转换 (NAT) , 和为许多内部主机提供一个共享的全局唯一网络地址的端口地址转换 (PAT) 。NAT和PAT能转换为多达64K主机地址。

PIX防火墙中的另一个地址转换是静态转换。静态转换能有效地移动一个内部的、非注册主机到防火墙中的虚网。这对一个需要映射到外部Internet网关的内部主机是非常有用的, 如SMTP服务器。

防火墙在网络中是一个逻辑装置, 用来保护内部的网络不受来自Internet的侵害。严格意义的防火墙, 就是一个或一组系统, 用来在两个或多个网络间加强访问控制。它的目的在于把那些不信任的网络隔离在特定的网络之外, 但又不影响正常工作。其核心思想就是在不安全的网间网环境中构造一个相对安全的子网环境。因此当我们掌握一定技术后, 便可以充分利用防火墙的技术, 阻止一切危害企业网安全的隐患, 使企业网络正常运行, 信息安全得到保证。

参考文献

[1]刘晓辉.网络基础.机械工业出版社, 2007.

[2]马亮, 杜恺琳.局域网组网技术与维护管理.电子工业出版社, 2009.

防火墙在企业中的应用 篇3

【关键词】分布式防火墙 网络安全 应用

【中图分类号】TP393.08 【文献标识码】A 【文章编号】1672-5158（2013）01—0138-01

0 引言

近几年来，随着互联网应用的飞速发展，许多政府机构、企事业单位及各类学校都纷纷建成了诸如城域网、企业网、校园网等内部互联网。但人们在享受网络带来的诸多便利的同时，也正在面临着日益严重的网络安全问题。能否确保内部网不被来自网内外的用户非法登陆及恶意攻击，使政务、商务等信息系统能正常运行，将成为影响企业利益、国家安全和社会稳定的重要因素。因此，作为新一代的网络安全技术，分布式防火墙技术已应运而生，并逐渐取代传统防火墙技术，成为目前网络安全应用的主流。

1 分布式防火墙技术的主要优势

1.1 增强的系统安全性

分布式防火墙增加了针对主机的入侵检测和防护功能，加强了对来自网络内部的攻击防范，可以实施全方位的安全策略。

1.2 提高了系统性能

传统防火墙由于具有单一的接入控制点，无论对网络的性能还是对网络的可靠性都有不利的影响。分布式防火墙则从根本上抛弃了单一的接入点，而使这一问题迎刃而解。另一方面，分布式防火墙可以针对各个服务器及终端计算机的不同需要，对防火墙进行最佳配置，配置时能够充分考虑到这些主机上运行的应用，如此便可在保障网络安全的前提下大大提高网络运行效率。

1.3 系统的可扩展性

因为分布式防火墙分布在整个企业的网络或服务器中，所以它具有无限制的扩展能力。随着网络的增长，它们的处理负荷也在网络中进一步分布，因此它们的高性能可以持续保持住。而不会像边界式防火墙一样随着网络规模的增大而不堪重负。

1.4 实施主机策略

传统防火墙大多缺乏对主机意图的了解，通常只能根据数据包的外在特性来进行过滤控制。虽然代理型防火墙能够解决该问题，但它需要对每一种协议单独地编写代码，其局限性也是显而易见的。在没有上下文的情况下，防火墙是很难将攻击包从合法的数据包中区分出来的，因而也就无法实施过滤。分布式防火墙由主机来实施策略控制，毫无疑问主机对自己的意图有足够的了解，所以分布式防火墙依赖主机作出合适的决定就能很自然地解决这一问题，对网络中的各节点可以起到更安全的防护。

1.5 支持VPN通信

分布式防火墙最重要的优势在于它能够保护物理拓扑上不属于内部网络，但位于逻辑上的“内部”网络的那些主机，这种需求随着VPN的发展越来越多。对这个问题的传统处理方法是将远程“内部”主机和外部主机的通信依然通过防火墙隔离来控制接人，而远程“内部”主机和防火墙之间采用“隧道”技术保证安全性。这种方法使原本可以直接通信的双方必须经过防火墙，不仅效率低而且增加了防火墙过滤规则设置的难度。与此相反，分布式防火墙从根本上防止了这种情况的发生，因为它本身就是基于逻辑网络的概念，对它而言，远程“内部”主机与物理上的内部主机没有任何区别。

2 分布式防火墙技术的应用

2.1 利用分布式防火墙查杀病毒

企业级防火墙作为企业网络安全的“门神”，有着不可替代的作用。但实践证明，企业级防火墙也不能令人完全满意。与企业级防火墙相比，个人防火墙（主机防火墙）可以有效地阻止内部网络攻击，并且由于防护节点在主机，可以大大减轻对网络带宽和资源的影响。但个人防火墙在企业网络中的应用和防病毒软件的应用一样面临管理的问题，没有统一整体的管理，个人防火墙也不会起到应有的作用。

分布式防火墙技术的出现，有效地解决了这一问题。以北京安软天地科技的EVERLINK分布式防火墙为例，它不仅提供了个人防火墙、入侵检测、脚本过滤和应用程序访问控制等功能，最主要的是提供了中央管理功能。利用EVERLINK分布式防火墙中央管理器，可以对网络内每台计算机上的防火墙进行配置、管理和更新，从宏观上对整个网络的防火墙进行控制和管理。这种管理可以在企业内部网中进行，也可以通过Iternet实现远程管理。另外，对于应用较简单的局域网，网络杀毒和分布式防火墙的组合是比较易于部署且维护方便的安全解决方案。

2.2 利用分布式防火墙堵住内网漏洞

随着网络安全技术的不断发展，传统边界防火墙逐渐暴露出一些弱点，具体表现在以下几个方面。

（1）受网络结构限制边界防火墙的工作机理依赖于网络的拓扑结构。随着越来越多的用户利用互联网构架跨地区企业网络，移动办公和服务器托管日益普遍，加上电子商务要求商务伙伴之间在一定权限下可以彼此访问，企业内部网和网络边界逐渐成为逻辑上的概念，边界防火墙的应用也受到越来越多的限制。

（2）内部不够安全边界防火墙设置安全策略是基于这样一个基本假设：企业网外部的人都是不可信的，而企业网内部的人都是可信的。事实上，接近80%的攻击和越权访问来自于企业网内部，边界防火墙对于来自企业网内部的攻击显得力不从心。分布式防火墙把Internet和内部网络均视为不“友好”的。它们对个人计算机进行保护的方式如同边界防火墙对整个网络进行保护一样。对于Web服务器来说，分布式防火墙进行配置后能够阻止一些不必要的协议通过，从而阻止了非法入侵的发生。

（3）效率不高与故障点多边界防火墙把检查机制集中在网络边界的单点上，由此造成网络访问瓶颈，并使得用户在选择防火墙产品时首先考虑检测效率，其次才是安全机制。安全策略过于复杂也进一步降低了边界防火墙的效率。

针对传统边界防火墙存在的缺陷，专家提出了分布式防火墙方案。该方案能有效地消除前面提到的各种内网漏洞。正是由于分布式防火墙这种优越的安全防护体系，并且符合未来的发展趋势，所以使得这一技术刚出现便为许多用户所接受，成为目前公认的最有效的网络安全解决方案。

3 结束语

防火墙技术从边界防火墙逐渐演变到主机防火墙、分布式防火墙，并日益与IDS（入侵检测系统）相融合，分布式防护的理念已逐渐被主流安全厂商所拥护，也逐步得到使用者的认可。但大多数的企业网络都非常复杂，要保护它们免受当今难以捉摸且快速传播的混合威胁，是一件非常不容易的事。“集中式管理、分布式防护”是近年来提出的一个新话题，它能真正解决高速网络带来的入侵检测困难的问题。网络安全技术未来的发展目标，势必是各种分布式安全模块在统一的网络管理软件框架内的融合，共同构架起一个从内到外、安全无处不在的大安全体系，使企业尽可能地全面保护自己的网络信息安全。

参考文献

[1]John Viga，Gary McGraw[美]，Building Secure Software[M]，北京：清华大学出版社，2003，160-162

[2]王伟，曹元大，分布式防火墙下主机防火墙Agent技术[J]，计算机工程，2004，30（8）

[3]叶丹，网络安全实用技术[M]，北京：清华大学出版社，2003，85-86

[4]曹宇，分布式防火墙构建网络屏障[J]，网络安全技术与应用，2004（2）

防火墙在企业中的应用 篇4

时空预测技术在森林防火中的应用研究

构建了一个随机的时间序列模型获得每一个空间上相互独立部分的时间预测,然后建立动态回归神经网络(DRNN)发现隐藏的空间关系,最后用统计回归方法把单个时间和空间预测整合起来产生最终预测.实验结果表明,提出的`方法能对森林火灾面积进行准确有效的预测.通过对时空预测结果的准确性和训练精度进行讨论,分析了时空预测方法在林火预测中的可行性,证明时空变化预测方法在林火预测中的应用价值.

作 者：王佳G 程涛 WANG Jia-qiu CHENG Tao 作者单位：中山大学地理科学与规划学院,广东,广州,510275刊 名：中山大学学报(自然科学版) ISTIC PKU英文刊名：ACTA SCIENTIARUM NATURALIUM UNIVERSITATIS SUNYATSENI年，卷(期)：46(2)分类号：P208关键词：时空预测 森林火灾 动态回归神经网络

企业内部网中防火墙的应用与发展 篇5

3.1.1 包过滤（packet Filtering）技术

包过滤技术是一种简单、有效的安全控制技术，它通过在网络间相互连接的设备上加载允许、禁止来自某些特定的源地址、目的地址和TCP端口号等规则，对通过设备的数据包进行检查，限制数据包在内部网络的进出。由于包过滤技术要求内外通信的数据包必须通过使用这项技术的计算机，才能进行过滤，因而，包过滤技术必须用在路由器上。它通常由包过滤路由器对IP包进行选择，允许或拒绝特定的包通过。包过滤技术具有数据包过滤对用户透明、一个过滤路由器能协助保护整个网络、过滤路由器速度快、效率高等优点。

包过滤技术的缺点：配置访问控制列表比较复杂，要求网络管理员对Interne服务有深入了解，其性能随访问控制列表的长度的增加而呈指数下降，没有跟踪记录能力，不能从日志记录中发现黑客的攻击记录，不能在用户级别上进行过滤，即不能鉴别不同的用户和防止IP地址盗用，只检查地址和端口，对通过网络应用链路层协议实现的威胁无防范能力，无法抵御数据驱动型攻击不能理解特定服务的上下文环境和数据包过滤防火墙技术虽然能实现定的安全保护，但有许多优点，但是包过滤毕竟是第一代防火墙技术，本身存在较多缺陷，不能提供较高的安全性。在实际应用中，很少把包过滤技术当作单独的安全解决力案，而是把它与其他防火墙技术结合在一起使用。

TCP/IP是一种端对端协议，每个网络节点都具有唯一的地址。网络节点的应用层也是这样，处于应用层的每个应用程序和服务都具有自己的对应“地址”，也就是端口号。地址和端口都具备了才能建立客户机和服务器的各种应用之间的有效通信联系。比如（如图3-4），telnet服务器在端口23侦听入站连接。同时telnet客户机也有一个端口号，否则客户机的IP栈怎么知道某个数据包是属于哪个应用程序的呢？ 由于历史的原因，几乎所有的TCP/IP客户程序都使用大于1023的随机分配端口号。只有UNIX计算机上的root用户才可以访问1024以下的端口，而这些端口还保留为服务器上的服务所用。所以，除非我们让所有具有大于1023端口号的数据包进入网络，否则各种网络连接都没法正常工作。

还有一种情况，你可以命令防火墙拒绝那台PC机的信息，别人的数据包都让过就它不行。这正是防火墙最基本的功能：根据IP地址做转发判断。但由于黑客们可以采用IP地址欺骗技术，伪装成合法地址的计算机就可以穿越信任这个地址的防火墙了。不过根据地址的转发决策机制还是最基本和必需的。另外要注意的一点是，不要用DNS主机名建立过滤表，对DNS的伪造比IP地址欺骗要容易多了。3.2.2.2 服务器TCP/UDP 端口过滤

仅仅依靠地址进行数据过滤在实际运用中是不可行的，还有个原因就是目标主机上往往运行着多种通信服务，比方说，我们不想让用户采用 telnet的方式连到系统，但这绝不等于我们非得同时禁止他们使用SMTP/POP邮件服务器吧？所以说，在地址之外我们还要对服务器的TCP/ UDP端口进行过滤。

图3-3 服务器的TCP/ UDP端口过滤

这对防火墙而言可就麻烦了，如果阻塞入站的全部端口，那么所有的客户机都没法使用网络资源。因为服务器发出响应外部连接请求的入站（就是进入防火墙的意思）数据包都没法经过防火墙的入站过滤。反过来，打开所有高于1023的端口就可行了吗？也不尽然。由于很多服务使用的端口都大于1023，比如X client、基于RPC的NFS服务以及为数众多的非UNIX IP产品等（NetWare/IP）就是这样的。那么让达到1023端口标准的数据包都进入网络的话网络还能说是安全的吗？连这些客户程序都不敢说自己是足够安全的。

图3-4 客户端的TCP/ UDP端口过滤 3.2.2.4 双向过滤

防火墙在企业中的应用 篇6

1电子商务概述 1.1电子商务的基本概念

电子商务源于英文Electronic Commerce，简写为EC。是指利用计算机技术网络技术和远程通信技术，实现整个商务(买卖)过程中的电子化数字化和网络化。人们不再是面对面的看着实实在在的货物靠纸介质单据(包括现金)进行买卖交易。而是通过网络，通过网上琳琅满目的商品信息完善的物流配送系统和方便安全的资金结算系统进行交易(买卖)。电子商务的核心是商务；本质上是创造更多商机提供更好商业服务的一种电子交易智能化手段。眼下，电子商务的含义已不仅仅是单纯的电子购物，电子商务以数据（包括文本声音和图像）的电子处理和传输为基础，包含了许多不同的活动（如商品服务的电子贸易数字内容的在线传输电子转账商品拍卖协作在线资源利用消费品营销和售后服务）。它涉及产品（消费品和工业品）和服务（信息服务财务与法律服务）；它包含了使用Internet和Web技术进行的所有的商务活动。1.2电子商务发展简史

信息技术（Information Technology，简称为IT）是指20世纪后半叶发展起来的两项电子技术，即集成电路技术和数据网络通信技术，为电子商务的发展奠定了技术基础。按照各个时期有代表性的不同技术，我们可以将电子商务的发展历程划分成四个阶段：

第一阶段：EFT时代

20世纪70年代，银行间电子资金转账(EFT）开始在安全的专用网络上推出，它改变了金融业的业务流程。电子资金转账是指通过企业间通讯网络进行的账户交易信息的电子传输，由于它以电子方式提供汇款信息，从而使电子结算实现了最优化。这是电子商务最原始的形式之一，也是最普遍的形式。

第二阶段：电子报文传送技术

从20世纪70年代后期到80年代早期，电子商务以电子报文传送技术(如电子数据交换 EDI)的形式在企业内部得到推广。电子报文传送技术减少了文字工作并提高了自动化水平，从而简化了业务流程。电子数据交换(EDI)使企业能够用标准化的电子格式与供应商之间交换 商业单证(如订单）。例如，如果将电子数据交换与准时化(JIT)生产相结合，供应商就能将零件直接送到生产现场，节约了企业的存货成本仓储成本和处理成本。

20世纪80年代晚期到90年代早期，电子报文传送技术成为工作流技术或协作计算系统(也称为群件)中不可分割的部分。Lotus otes是这种系统的代表。群件的主要功能就是将现有的非电子方法“嫁接”到电子平台上去，以提高业务流程的效率。

第三阶段：联机服务 在20世纪80年代中期，联机服务开始风行，它提供了新的社交交互形式(如聊天室)，还提供了知识共享的方法（如新闻组和FIP)。这就为互联网用户创造了一种虚拟社区的感觉，逐渐形成了 “地球村”的概念。同时，信息访问和交换的成本已降得很低，而且范围也在空前扩大，全世界的人都可以相互沟通。

第四阶段：mon Gateway Inter——face的简称。是World Wide Web主机和CGI程序间传输资讯的定义。

5检测后门木马及其网络蠕虫。指采用某种方法定义出一个特殊的端口并依靠某种程序在机器启动之前自动加载到内存，强行控制机器打开那个特殊的端口的程序。3.3.3拟专网功能

指在公共网络中建立专用网络，数据通过安全的“加密通道”在公共网络中传播。VPN的基本原理是通过IP包的封装及加密认证等手段，从而达到安全的目的。3.4防火墙的未来发展趋势

尽管罗列了这么多防火墙技术的局限性，但防火墙在网络安全中所扮演的重要角色是不可撼动的。未来的防火墙发展朝高速多功能化更安全的方向发展。实现高速防火墙，可以应用ASIC硬件加速技术FPGA和网络处理器等方法。其中以采用网络处理器最好，因为网络处理器采用微码编程，可以根据需要随时升级，甚至可以支持IPv6；并且网络处理器中集成了很多硬件协处理单元，通过算法也比较容易实现高速。防火墙将会集成更多的网络安全功能，入侵检测防病毒防御拒绝服务攻击等安全技术都可以模块形式安装到防火墙的机箱内。既节省宝贵的机柜空间，又能为企业节约一部分安全支出，更主要的是可以实现网络安全设备之间的联动。防火墙将会更加的行业化。

任何一种防火墙只是为内部网络提供安全保障，但网络安全不能完全依赖于防火墙，还需要加强内部的安全管理，完善安全管理制度，提高用户的安全意识，从而形成全方位的安全防御体系。4防火墙的简介与体系结构 4.1防火墙的简介

一个防火墙（作为阻塞点控制点）能极大地提高一个内部网络的安全性，并通过过滤不安全的服务而降低风险。防火墙同时可以保护网络免受基于路由的攻击。

防火墙是为防止非法访问或保护专用网络而设计的一种系统。它是不同网络或网络安全域之间信息的唯一出入口，能根据企业的安全政策控制（允许拒绝监测）出入网络的信息流，且本身具有较强的抗攻击能力。它是提供信息安全服务，实现网络和信息安全的基础设施。

防火墙可用于硬件软件或二者的组合。防火墙常常被用于阻止非法的互联网用户访问接入互联网的专用网络。所有的数据在进入或离开内部网络时都要经过防火墙，防火墙会检查每个数据包，并且阻止那些不符合指定安全标准的数据包。

一般来说，配置防火墙是为了防止外部无权限的交互式登录。这有助于防止“黑客”从机器登录到你的网络。更复杂的防火墙能够阻止从外部到内部的流量，但允许内网用户更自由的与外部交流。

防火墙非常重要因为它可以提供单一的阻止点,在这一点上可以采取安全和审计措施。防火墙提供了一个重要的记录和审计功能；它们经常为管理员提供关于已处理过的流量类型和数值的摘要。这是个非常重要的“点”，因为阻止点在网络中的作用相当于警卫保卫财产。

从理论上说，有两种类型的防火墙：应用层防火墙和网络层防火墙

它们的区别可能与你所想的不一致。二者的区别取决于防火墙使用的使流量从一个安全区到另一个安全区所采用的机制。国际标准化组织（ISO）开放系统互联(OSI)模型把网络分成七层，每一层都为上一层服务。更重要的是要认识到转发机制所在的层次越低，防火墙的检查就越少。

1应用层防火墙

应用层防火墙通常是代理服务器运行的主机，它不允许网络之间直接的流量，并在流量通过时做详细的记录和检查。由于代理应用程序只是防火墙上运行的软件，所以可在这做大量的记录和访问控制。应用层防火墙可用于网络地址转换，是因为在应用程序有效地伪装初始连接的来源之后流量可以从一边进入，另一边出去。

在某些情况下，有一个应用程序的方式可能会影响防火墙的性能，并可能会使防火墙降低透明度。早期的应用层防火墙对终端用户不是特别透明，并且还可能需要进行一些培训。然而，许多现代应用层防火墙是完全透明的。与网络层防火墙相比，应用层防火墙趋于提供更细化的审计报告，实行更保守的安全模型。

2网络层防火墙

这种类型决定了它的判定一般是基于源地址目的地址及独立IP包中的端口。一个简单的路由器就是一个传统意义上的网络层防火墙，因为它不能做出复杂的判断，如数据包的发送目标和来源。现代的网络层防火墙变得更复杂得多，并且会随时关注通过防火墙的连接状态的信息。

另一个重要的不同于许多网络层防火墙的是它们可使流量直接通过，因此在使用时，你需要一个有效分配的IP地址块，或者是专用网络地址块。网络层防火墙的发展很迅速，对于用户来说几乎是透明的。

未来的防火墙将处于应用层防火墙和网络层防火墙之间。网络层防火墙可能会逐渐意识到经过它们的信息，应用层防火墙可能会变得越来越透明。最终将会是一种在数据通过时进行记录和检查的快速分组筛选系统。

在逻辑上，防火墙是一个分离器，一个限制器，也是一个分析器，有效地监控了内部网和Internet之间的任何活动，保证了内部网络的安全。防火墙可以是硬件型的，所有数据都首先通过硬件芯片监测，也可以是软件类型，软件在电脑上运行并监控，其实硬件型也就是芯片里固化了的软件，但是它不占用计算机CPU处理时间，可以功能作的非常强大处理速度很快，对于个人用户来说软件型更加方便实在。4.2防火墙的体系结构

防火墙对于企业网络的防御系统来说，是一个不可缺少的基础设施。在选择防火墙防火墙时，我们首先考虑的就是需要一个什么结构的产品，防火墙发展到今天，很多产品已经越来越象是一个网络安全的工具箱，工具的多少固然很重要，但系统的结构却是一个起决定性作用的前提。因为防火墙的结构决定了这些工具的组合能力，决定了当你在某种场合需要一个系统声称提供的功能的时候是不是真的能够用得上。

防火墙的基本结构可以分为包过滤和应用代理两种。包过滤技术关注的是网络层和传输层的保护，而应用代理则更关心应用层的保护。

包过滤是历史最久远的防火墙技术，从实现上分，又可以分为简单包过滤和状态检测的包过滤两种。

简单包过滤是对单个包的检查，目前绝大多数路由器产品都提供这样的功能，所以如果你已经有边界路由器，那么完全没有必要购买一个简单包过滤的防火墙产品。由于这类技术不能跟踪TCP的状态，所以对TCP层的控制是有漏洞的，比如当你在这样的产品上配置了仅允许从内到外的TCP访问时，一些以TCP应答包的形式进行的攻击仍然可以从外部通过防火墙对内部的系统进行攻击。简单包过滤的产品由于其保护的不完善，在99年以前国外的防火墙市场上就已经不存在了，但是目前国内研制的产品仍然有很多采用的是这种简单包过滤的技术，从这点上可以说，国内产品的平均技术水准至少比国外落后2到3年。

状态检测的包过滤利用状态表跟踪每一个网络会话的状态，对每一个包的检查不仅根据规则表，更考虑了数据包是否符合会话所处的状态。因而提供了更完整的对传输层的控制能力。同时由于一系列优化技术的采用，状态检测包过滤的性能也明显优于简单包过滤产品，尤其是在一些规则复杂的大型网络上。

顺便提一下免费软件中的包过滤技术，比较典型的是OpenBSD 和Linux中的IP Filter和IP Chains。一些有较强技术能力的网络管理人员喜欢利用这样的软件自己配置成防火墙。但是从实现的原理上分析，虽然它们提供了对TCP状态位的检查，但是由于没有跟踪TCP的状态，所以仍然是简单包过滤。值得关注的是Linux2.4中的IP Table，从其名称就可以看出，它在进行过滤时建立了一个用来记录状态信息的Table，已经具备了状态检测技术的基本特征。

包过滤结构的最大的优点是部署容易，对应用透明。一个产品如果保护功能十分强大，但是不能加到你的网络中去，那么这个产品所提供的保护就毫无意义，而包过滤产品则很容易安装到用户所需要控制的网络节点上，对用户的应用系统则几乎没有影响。特别是近来出现的透明方式的包过滤防火墙，由于采用了网桥技术，几乎可以部署在任何的以太网线路上，而完全不需要改动原来的拓扑结构。

包过滤的另一个优点是性能，状态检测包过滤是各种防火墙结构中在吞吐能力上最具优势的结构。

但是对于防火墙产品来说，毕竟安全是首要的因素，包过滤防火墙对于网络控制的依据仍然是IP地址和服务端口等基本的传输层以下的信息。对于应用层则缺少足够的保护，而大量的网络攻击是利用应用系统的漏洞实现的。

应用代理防火墙可以说就是为防范应用层攻击而设计的。应用代理也算是一个历史比较长的技术，最初的代表是TIS工具包，现在这个工具包也可以在网络上免费得到，它是一组代理的集合。代理的原理是彻底隔断两端的直接通信，所有通信都必须经应用层的代理转发，访问者任何时候都不能直接与服务器建立直接的TCP连接，应用层的协议会话过程必须符合代理的安全策略的要求。针对各种应用协议的代理防火墙提供了丰富的应用层的控制能力。可以这样说，状态检测包过滤规范了网络层和传输层行为，而应用代理则是规范了特定的应用协议上的行为。对于使用代理防火墙的用户来说，在得到安全性的同时，用户也需要付出其它的代价。代理技术的一个主要的弱点是缺乏对应用的透明性，这个缺陷几乎可以说是天生的，因为它只有位于应用会话的中间环节，才会对会话进行控制，而几乎所有的应用协议在设计时都不认为中间应该有一个防火墙存在。这使得对于许多应用协议来说实现代理是相当困难的。代理防火墙通常是一组代理的集合，需要为每一个支持的应用协议实现专门的功能，所以对于使用代理防火墙的用户来说经常遇到的问题是防火墙是不支持某个正在使用的应用协议，要么放弃防火墙，要么放弃应用。特别是在一个复杂的分布计算的网络环境下，几乎无法成功的部署一个代理结构的防火墙，而这种情况在企业内部网进行安全区域分割是尤其明显。

代理的另一个无法回避的缺陷是性能很差。代理防火墙必须建立在操作系统提供的socket服务接口之上，其对每个访问实例的处理代价和资源消耗接近于Web服务器的两倍。这使得应用代理防火墙的性能通常很难超过45Mbps的转发速率和1000个并发访问。对于一个繁忙的站点来说，这是很难接受的性能。

代理防火墙的技术发展远没有包过滤技术活跃，比较一下几年以前的TIS和现在的代理类型的商用产品，在核心技术上几乎没有什么变化，变化的主要是增加了协议的种类。同时为了克服代理种类有限的局限性，很多代理防火墙同时也提供了状态检测包过滤的能力，当用户遇到防火墙不能支持的应用协议时，就以包过滤的方式让其通过。由于很难将这两者的安全策略结合在一起，所以混合型的产品通常更难于配置，也很难真正的结合两者的长处。

状态检测包过滤和应用代理这两种技术目前仍然是防火墙市场中普遍采用的主流技术，但两种技术正在形成一种融合的趋势，演变的结果也许会导致一种新的结构名称的出现。我们在NetEye防火墙中以状态检测包过滤为基础实现了一种我们暂时称之为“流过滤”的结构，其基本的原理是在防火墙外部仍然是包过滤的形态，工作在链路层或IP层，在规则允许下，两端可以直接的访问，但是对于任何一个被规则允许的访问在防火墙内部都存在两个完全独立的TCP会话，数据是以“流”的方式从一个会话流向另一个会话，由于防火墙的应用层策略位于流的中间，因此可以在任何时候代替服务器或客户端参与应用层的会话，从而起到了与应用代理防火墙相同的控制能力。比如在NetEye防火墙对SMTP协议的处理中，系统可以在透明网桥的模式下实现完全的对邮件的存储转发，并实现丰富的对SMTP协议的各种攻击的防范功能。

“流过滤”的另一个优势在于性能，完全为转发目的而重新实现的TCP协议栈相对于以自身服务为目的的操作系统中的TCP协议栈来说，消耗资源更少而且更加高效，如果你需要一个能够支持几千个，甚至数万个并发访问，同时又有相当于代理技术的应用层防护能力的系统，“流过滤”结构几乎是唯一的选择。

防火墙技术发展这么多年，已经成为了网络安全中最为成熟的技术，是安全管理员手中有效的防御工具。但是防火墙本身的核心技术的进步却从来没有停止过，事实上，任何一个安全产品或技术都不能提供永远的安全，因为网络在变化，应用在变化，入侵的手段在变化。对于防火墙来说，技术的不断进步才是真实的保障。5防火墙主要技术和类型 5.1防火墙使用的技术

防火墙从原理上主要有三种技术：包过滤技术代理服务技术和状态检测技术。按照实现形式，可以将防火墙分为软件防火墙和硬件防火墙。无论是哪种防火墙，从实现技术看，都使用了一种或者是多种技术。

1防火墙的包过滤

包过滤是一种安全筛选机制，它控制哪些数据包可以进出网络而哪些数据包应被网络拒绝。

包过滤防火墙是用一个软件查看所流经的数据包的包头（header），由此决定整个包的处理。丢弃（DROP）这个包或接受（ACCEPT）这个包（让这个包通过），也可能执行其它更复杂的动作。

它通常安装在路由器上。路由器是内部网络与Internet连接必不可少的设备，因此在原有网络上增加这样的防火墙几乎不需要任何额外的费用。

防火墙包过滤技术

2包过滤性能 包过滤优点：  处理速度快

 提供透明的服务，与应用层无关，用户不用改变客户端程序，无需用户名密码登录。 成本低，路由器通常集成了简单包过滤的功能，基本不再需要单独的实现包过滤功能的防火墙设备 3防火墙的应用代理技术

代理服务是运行在防火墙主机上的一些特定的应用程序或者服务程序。防火墙主机可以是有一个内部网络接口和一个外部网络接口的双重宿主主机，也可以是一些可以访问因特网并可被内部主机访问的堡垒主机。这些程序接受用户对因特网服务的请求(如文件传输FTP和远程登录Telnet等)，并按照安全策略转发它们到实际的服务。所谓代理就是一个提供替代连接并且充当服务的网关。代理也称之为应用级网关。代理服务位于内部用户(在内部的网络上)和外部服务(在因特网上)之间。代理在幕后处理所有用户和因特网服

务之间的通信以代替相互间的直接交谈.代理的实现过程

代理技术的优点：

 可以识别并实施高层的协议，如http等，安全级别高于包过滤防火墙，同时也能处理数据包

 代理服务型防火墙可以配置成唯一的可被外边看见的主机，以保护内部主机免受外部的攻击  可以强制执行用户认证

 代理工作在客户机和真实服务器之间，可记录和控制所有进出流量，能提供较详细的审计日志 4状态检测技术

状态检测，又叫状态包检查，它是动态包过滤的一种。传统的包过滤防火墙只能通 过检测正包头的相关信息来决定数据流的通过或拒绝，而状态检测技术采用的是一种基于连接的状态检测机制，将属于同一连接的所有包作为一个整体的数据流看待，构成连接状态表，通过规则表与状态表的共同配合，对表中的各个连接状态因素加以识别。与传统包过滤防火墙的静态过滤规则表相比，它具有更好的灵活性和安全性。

状态检测技术

状态检测技术的优点 ：

 指定对连接的控制，例如允许或拒绝基于服务器IP地址的访问，或者是允许或拒绝基于用户所请求连接的IP地址的访问。

 通过限制某些协议的传出请求，来减少网络中不必要的服务。

 大多数代理防火墙能够记录所有的连接，包括地址和持续时间。这些信息对追踪攻击和发生的未授权访问的事件事很有用的。

5.2防火墙的基本类型

根据防火墙所采用的技术不同,我们可以将它分为四种基本类型:包过滤型网络地址转换—NAT代理型和监测型。

1包过滤型

包过滤型产品是防火墙的初级产品,其技术依据是网络中的分包传输技术。网络上的数据都是以“包”为单位进行传输的,数据被分割成为一定大小的数据包,每一个数据包中都会包含一些特定信息,如数据的源地址目标地址TCP/UDP源端口和目标端口等。防火墙通过读取数据包中的地址信息来判断这些“包”是否来自可信任的安全站点 ,一旦发现来自危险站点的数据包,防火墙便会将这些数据拒之门外。系统管理员也可以根据实际情况灵活制订判断规则。包过滤技术的优点是简单实用,实现成本较低,在应用环境比较简单的情况下,能够以较小的代价在一定程度上保证系统的安全。

但包过滤技术的缺陷也是明显的。包过滤技术是一种完全基于网络层的安全技术,只能根据数据包的来源目标和端口等网络信息进行判断,无法识别基于应用层的恶意侵入,如恶意的Java小程序以及电子邮件中附带的病毒。有经验的黑客很容易伪造IP地址,骗过包过滤型防火墙。

2网络地址转化—NAT 网络地址转换是一种用于把IP地址转换成临时的外部的注册的IP地址标准。它允许具有私有IP地址的内部网络访问因特网。它还意味着用户不许要为其网络中每一台机器取得注册的IP地址。

在内部网络通过安全网卡访问外部网络时，将产生一个映射记录。系统将外出的源地址和源端口映射为一个伪装的地址和端口，让这个伪装的地址和端口通过非安全网卡与外部网络连接，这样对外就隐藏了真实的内部网络地址。在外部网络通过非安全网卡访问内部网络时，它并不知道内部网络的连接情况，而只是通过一个开放的IP地址和端口来请求访问。OLM防火墙根据预先定义好的映射规则来判断这个访问是否安全。当符合规则时，防火墙认为访问是安全的，可以接受访问请求，也可以将连接请求映射到不同的内部计算机中。当不符合规则时，防火墙认为该访问是不安全的，不能被接受，防火墙将屏蔽外部的连接请求。网络地址转换的过程对于用户来说是透明的，不需要用户进行设置，用户只要进行常规操作即可。

3代理型

代理型防火墙也可以被称为代理服务器,它的安全性要高于包过滤型产品,并已经开始向应用层发展。代理服务器位于客户机与服务器之间,完全阻挡了二者间的数据交流。从客户机来看,代理服务器相当于一台真正的服务器;而从服务器来看,代理服务器又是一台真正的客户机。当客户机需要使用服务器上的数据时,首先将数据请求发给代理服务器,代理服务器再根据这一请求向服务器索取数据,然后再由代理服务器将数据传输给客户机。由于外部系统与内部服务器之间没有直接的数据通道,外部的恶意侵害也就很难伤害到企业内部网络系统。

代理型防火墙的优点是安全性较高,可以针对应用层进行侦测和扫描,对付基于应用层的侵入和病毒都十分有效。其缺点是对系统的整体性能有较大的影响,而且代理服务器必须针对客户机可能产生的所有应用类型逐一进行设置,大大增加了系统管理的复杂性。

4监测型

监测型防火墙是新一代的产品,这一技术实际已经超越了最初的防火墙定义。监测型防火墙能够对各层的数据进行主动的实时的监测,在对这些数据加以分析的基础上,监测型防火墙能够有效地判断出各层中的非法侵入。同时,这种检测型防火墙产品一般 还带有分布式探测器,这些探测器安置在各种应用服务器和其他网络的节点之中,不仅能够检测来自网络外部的攻击,同时对来自内部的恶意破坏也有极强的防范作用。据权威机构统计,在针对网络系统的攻击中,有相当比例的攻击来自网络内部。因此,监测型防火墙不仅超越了传统防火墙的定义,而且在安全性上也超越了前两代产品

虽然监测型防火墙安全性上已超越了包过滤型和代理服务器型防火墙,但由于监测型防火墙技术的实现成本较高,也不易管理,所以目前在实用中的防火墙产品仍然以第二代代理型产品为主,但在某些方面也已经开始使用监测型防火墙。基于对系统成本与安全技术成本的综合考虑,用户可以选择性地使用某些监测型技术。这样既能够保证网络系统的安全性需求,同时也能有效地控制安全系统的总拥有成本。

实际上,作为当前防火墙产品的主流趋势,大多数代理服务器(也称应用网关)也集成了包过滤技术,这两种技术的混合应用显然比单独使用具有更大的优势。由于这种产品是基于应用的,应用网关能提供对协议的过滤。例如,它可以过滤掉FTP连接中的PUT命令,而且通过代理应用,应用网关能够有效地避免内部网络的信息外泄。正是由于应用网关的这些特点,使得应用过程中的矛盾主要集中在对多种网络应用协议的有效支持和对网络整体性能的影响上。6常用的防火墙实例 6.1 360防火墙

360防火墙是一款保护用户上网安全的产品，奇虎公司研发的防火墙产品。在您浏览网页玩网络游戏聊天时，它可以阻截各类网络风险。360防火墙拥有云安全引擎，解决了传统网络防火墙频繁拦截识别能力弱的问题，轻巧快速保护上网安全。

6.2 360的主要功能 360网络防火墙加入了云防御监控，这样可疑动作通过云端校验，安全性肯定加强不少。

2上网信息中包括共享资源保护，地位端口保护，端口扫描检测，ping扫描防护，主机名称防泄漏等，这些应该是对网络安全是一个比较全面的防护了。

3入侵检测，该功能开启我估计如果没有设置规则的话，应该会有不少弹窗来给用户判断的。当然如果前面的云监控及时达到效果的话，可以避免太多弹窗的。ARP防火墙也加入到了网络防火墙中。其实我这里想考虑一个问题了，如果和360安全卫士同时使用的话，那安全卫士中的ARP防火墙和网络防火墙中的ARP防火墙如何协调的。

5另外还有网络流量监控等功能。

主界面显示4个状态，分为网络访问云监控上网信息保护入侵检测ARP防火墙 1连入监控：管理程序访问网页下载传送消息时发起的网络请求，可通过“管理”选项控制程序的上网访问。包括，检测连入网络进程，协议，本地端口远程端口，状态（监听，等待，已关闭），上传下载流量

2入侵检测：解决常见的网络攻击，让电脑不受黑客侵害。

3程序规则：通过云安全引擎，智能分析程序上网行为，对可疑网络行为进行拦截，提高看网页玩网络游戏聊天的安全性。可通过添加规则设置。

4网络连接规则：封堵系统中存在的网络漏洞，保护共享图片/文档系统信息安全。包括上网信息保护和自定义网络规则

上网信息保护：包括主机名称防泄漏保护共享资源防止Ping扫描允许Ping方式探测其他主机

6.3 Windows防火墙设置

①“控制面板”窗口，双击“网络连接”图标，如图1-26所示。

②“网络连接”窗口中右击“本地连接”图标，在弹出的快捷菜单中选择“属性”命令，如图1-27所示。

图1-26 控制面板中的网络连接 图1-27 本地连接属性 ③弹出的“本地连接属性”对话框中选择“高级”选项卡，切换至“高级”选项卡，单击“设置”按钮，如图1-28所示。

④出“Windows防火墙”对话框，选择“启用Windows防火墙”，如图1-29所示。

图1-28 本地连接属性中的高级标签选项卡 图1-29 启动防火墙 ⑤换至图1-29 中的“例外”选项卡，在“程序和服务”列表框中勾选允许通过防火墙的程序，可单击“编辑”按钮或“删除” 按钮对程序进行设置，如图1-30所示。

图1-30 通过防火墙程序列表

当有程序需要往外访问，系统会提示是否允许它通过防火墙。如果确定这个程序是安全的程序，就可以允许它通过防火墙，系统会把该程序记录在允许列表中。

通过以上设置，计算机就可以在网络中处在相对安全的区域了。7防火墙的选择

网络防火墙技术的作为内部网络与外部网络之间的第一道安全屏障，是最先受到人们重视的网络安全技术，就其产品的主流趋势而言，大多数代理服务器（也称应用网关）也集成了包滤技术，这两种技术的混合应用显然比单独使用更具有大的优势。那么我们究竟应该在哪些地方部署防火墙呢?首先,应该安装防火墙的位置是公司内部网络与外部Internet的接口处,以阻挡来自外部网络的入侵;其次,如果公司内部网络规模较大, 并且设置有虚拟局域网(VLAN),则应该在各个VLAN之间设置防火墙;第三,通过公网连接的总部与各分支机构之间也应该设置防火墙,如果有条件,还应该同时将总部与各分支机构组成虚拟专用网(VPN)。

安装防火墙的基本原则是:只要有恶意侵入的可能,无论是内部网络还是与外部公网的连接处,都应该安装防火墙。选择防火墙的标准有很多,但最重要的是以下几条:（1）总拥有成本防火墙产品作为网络系统的安全屏障,其总拥有成本(TCO)不应该超过受保护网络系统可能遭受最大损失的成本。以一个非关键部门的网络系统为例,假如其系统中的所有信息及所支持应用的总价值为10万元,则该部门所配备防火墙的总成本也不应该超过10万元。当然,对于关键部门来说,其所造成的负面影响和连带损失也应考虑在内。如果仅做粗略估算,非关键部门的防火墙购置成本不应该超过网络系统的建设总成本,关键部门则应另当别论。

（2）防火墙本身是安全的。作为信息系统安全产品,防火墙本身也应该保证安全,不给外部侵入者以可乘之机。如果像马其顿防线一样,正面虽然牢不可破,但进攻者能够轻易地绕过防线进入系统内部,网络系统也就没有任何安全性可言了。

通常,防火墙的安全性问题来自两个方面:其一是防火墙本身的设计是否合理,这类问题一般用户根本无从入手,只有通过权威认证机构的全面测试才能确定。所以对用户来说,保守的方法是选择一个通过多家权威认证机构测试的产品。其二是使用不当。一般来说,防火墙的许多配置需要系统管理员手工修改,如果系统管理员对防火墙不十分熟悉,就有可能在配置过程中遗留大量的安全漏洞。

（3）管理与培训。管理和培训是评价一个防火墙好坏的重要方面。我们已经谈到,在计算防火墙的成本时,不能只简单地计算购置成本,还必须考虑其总拥有成本。人员的培训和日常维护费用通常会在TCO中占据较大的比例。一家优秀秀的安全产品供应商必须为其用户提供良好的培训和售后服务。

（4）可扩充性。在网络系统建设的初期,由于内部信息系统的规模较小,遭受攻击造成的损失也较小,因此没有必要购置过于复杂和昂贵的防火墙产品。但随着网络的扩容和网络应用的增加,网络的风险成本也会急剧上升,此时便需要增加具有更高安全性的防火墙产品。如果早期购置的防火墙没有可扩充性,或扩充成本极高,这便是对投资的浪费。好的产品应该留给用户足够的弹性空间,在安全水平要求不高的情况下,可以只选购基本系统,而随着要求的提高,用户仍然有进一步增加选件的余地。这样不仅能够保护用户的投资,对提供防火墙产品的厂商来说,也扩大了产品覆盖面。

（5）防火墙的安全性。防火墙产品最难评估的方面是防火墙的安全性能,即防火墙是否能够有效地阻挡外部入侵。这一点同防火墙自身的安全性一样,普通用户通常无法判断。即使安装好了防火墙,如果没有实际的外部入侵,也无从得知产品性能的优劣。但在实际应用中检测安全产品的性能是极为危险的,所以用户在选择防火墙产品时,应该尽量选择占市场份额较大同时又通过了权威认证机构认证测试的产品。8结论

安全是保证电子商务健康有序发展的关键因素。相信，随着电子商务的快速健康发展，防火墙技术必将在电子商务安全方面着发挥更加积极的作用和重要价值。

致 谢

本课题是在我的导师肖武德老师的亲切关怀和悉心指导下完成的。他严肃认真的科学态度，严谨的治学精神，精益求精的工作作风，深深地感染和激励着我。从课题的选择到项目的最终完成，老师始终给予我细心的指导和不懈的支持，在此谨向肖老师致以诚挚的谢意和崇高的敬意。另外，在校图书馆查找资料的时候，图书馆的老师也给我提供了很多方面的支持与帮助。在此向帮助和指导过我的各位老师表示最中心的感谢！

感谢这篇论文所涉及到的各位学者。本文引用了数位学者的研究文献，如果没有各位学者的研究成果的帮助和启发，我将很难完成本篇论文的写作。

感谢我的同学和朋友，在我写论文的过程中给予我了很多相关素材，还在论文的撰写和排版灯过程中提供热情的帮助。

在论文即将完成之际，我的心情无法平静，从开始进入课题到论文的顺利完成，有多少可敬的师长同学朋友给了我无言的帮助，在这里请接受我诚挚的谢意！

由于我的学术水平有限，所写论文难免有不足之处，恳请各位老师和学友批评和指正！【参考文献】

1《电子商务》 翟才喜 杨敬 电子工业出版社 2002.2 2《中国电子商务年鉴》2003 卷

3《防火墙体系结构及功能分析》艾军 电脑知识与技术 2004.4 4《防火墙原理入门企业》 郑林 清华大学出版社2000.5 5《防火墙技术分析》王卫平陈文惠 朱卫未 东北财经大学出版社2006.7，6《防火墙在网络安全中的应用》白斌，2007年第35期． 7《防火墙包过滤规则问题的研究》 高峰，2003.4.8郑树申．《浅谈网络安全的防火墙技术》

9《网络安全与防火墙技术》王睿 北京大学出版社 2000.8 10防火墙原理与技术》 阎慧 机械工业出版社 2004.2 11《论电子商务发展前景》滕秀荣 科技创新导报，2009年第31期 《我国电子商务发展前景展望》张元慧 李少伟，许丽红 科技创新导报

防火墙在网络安全中的应用研究 篇7

在众多网络安全技术中,防火墙技术是最常见、最实用、最有效的。在本文中,笔者在研读许多相关文献的基础上,结合自己的理解,论述防火墙的技术的一些内容,更清楚防火墙的构造、原理、功能,以致于达到更有效地根据网络当前状态研制开发防火墙,使它适应瞬息万变的时代,解决更多的安全问题。

2 防火墙概述

所谓防火墙是指一种将内部网和公众网络分开的方法,它实际上是一种隔离技术。防火墙是在两个网络通信时执行的一种访问控制手段,最大限度地阻止网络中的黑客来访问你的网络,防止他们更改、复制和毁坏你的重要信息。

2.1 防火墙的功能

1)防火墙可以作为网络安全策略的焦点。把防火墙作为网络通信的阻塞点,所有进出网络的信息都必须通过这个唯一的阻塞点。防火墙为网络安全起到了把关的作用,它让我们把安全防范集中在内外网络连接的阻塞点上。

2)防火墙能强化安全策略。因为Internet每天都有上百万人在那里收集、交换信息,不可避免会出现个别品德不良或违反规则的人。防火墙是为了防止不良现象发生的“交通警察”它执行站点的安全策略,仅仅容许(认可的)和符合规则的请求通过。

3)防火墙能有效的记录网络活动。因为所有的传输信息都会穿过防火墙,所以,防火墙很适合收集和记录关于系统和网络使用的多种信息。

4)防火墙可以用来掩盖内部网络的拓扑结构。防火墙能够将内部网络分为多个网段,限制访问等等。所以,它可以用来防止对内部网络的恶意探测。虽然防火墙可以对网络威胁起到很好的防范作用,但它不是安全解决方案的全部。防火墙也有其局限性,比如:防火墙不能防范恶意的知情者;不能防范不通过它的连接;不能防范病毒等。

2.2 防火墙的关键技术

防火墙的几种关键技术:包过滤技术、代理技术、地址翻译(NAT)技术、SOCKS技术、状态技术(State Specification)、VPN技术、内容检查技术等。在这里就着重论述包过滤技术。

2.2.1包过滤技术(IP Filtering or packet filtering)

(1)包过滤技术是防火墙中的一项主要安全技术,它通过防火墙对进出网络的数据流进行控制与操作。系统管理员可以设定一系列规则,允许指定哪些类型的数据包可以流入或流出内部网络,哪些类型数据包传输应该被拦截。现在的一些包过滤防火墙不仅根据IP数据包的地址、方向、协议、服务、端口、访问时间等信息来进行访问控制,同时还对任何网络连接和当前的会话状态进行分析和监控。

(2)所需载体及其控制作用:包过滤防火墙可以安装在一个路由器上或是一个双端口网关上,也可以安装在一台服务器上。

包过滤防火墙一般有一个包检查模块,数据包过滤可以根据IP数据包头中的各种信息来控制站点和站点、站点与网络、网络与网络之间相互访问。

但是包过滤防火墙不能控制传输数据的内容,因为内容是应用层数据,不是包过滤系统所能辨认的,如图1所示。

在图中,可以看到防火墙处于网络层和数据链路层之间,由于所处的位置较低,因此不具备应有层保护能力。

(3)包过滤防火墙一般工作原理:包过滤模块一般会在操作系统或路由器转发包之前拦截所有的数据包。验证这个包是否符合过滤规则,并记录数据包情况(比如:数据包到达或离开的接口)。对符合规则的包进行处理转发,对不符合的包进行报警或通知管理员。如果无匹配规则,那么,用户配置的缺省参数将决定此包是前行还是被舍弃。过滤规则指的是系统管理员依据本部门的安全策略起草的规则集。

(4)与传统防火墙对比:传统防火墙的包过滤只是与规则表进行匹配,对符合规则的数据包进行处理,不符合规则的丢弃。由于是基于规则的检查,属于同一连接的不同包毫无任何联系,每个包都要依据规则顺序过滤,这样随着安全规则的增加,势必会使防火墙的性能大幅度的降低,造成网络拥塞。甚至黑客会采用IP Spoofing UP欺骗)的办法将自己的非法包伪装成属于某个合法的连接。这样的包过滤既缺乏效率又容易产生安全漏洞。

3 构建基于Linux的防火墙

通过修改Linux的内核,实现一个透明的防火墙。此防火墙本身没有IP地址,用户和黑客无法感觉到它的存在,所以不用担心对防火墙本身的攻击。此防火墙系统工作在数据链路层,因此比运行在网络层的防火墙有更高的交换速率,使网络有更高的性能。

3.1 Linux内核网络接口分析

实现包过滤防火墙工作需要修改系统内核源码,所以对Linux系统内核源码的数据结构和网络实现需要非常清楚,对Linux系统内核的分析如下:

图1说明Linux把Internet协议的地址族实现为一系列的联接起来的软件层。BSD套接字由一般的只由BSD套接字相关的套接字管理软件支持。INet套接字层支持套接字管理,它管理的通信端点的IP是基于TCP和UDP协议的。UDP是一个无联接协议,而TCP是一个可靠的面向联接的协议。当发送UDP的包时,Linux既不知道也不关心他们是否安全到达了他们的目的地。TCP是有联接的,TCP联接的发送端都要确保发送的数据被正确的接收。IP层包括实现Internet协议的代码,这个代码命令IP层发送数据。在IP层的下面,由网络层支持所有的Linux网络,例如PPP和以太网。网络设备不全代表物理设备,如某些反馈设备就是纯软件设备。

分析数据结构和修正内核的源代码是系统实现的关键。网络层努力在它的设计中做到真正的面向对象,实际中的大部分Linux的内核数据结构关键对象是:设备或接口、协议、套接字、sk-buff。

3.2 构建过滤路由器防火墙的实例

本例中的包过滤防火墙基于数据包路由记录,它是在Linux系统中包过滤防火墙软件ip_fw.c和X/OS Experts的ipfwadm.c的基础上进行的改进,增加了检查数据包路由的功能。

本例中所用器材:

一台主机,配置两个网卡(需要两个网卡才能配置路由功能),实现路由兼作防火墙功能。

一条外部连线(1 OBase-T)可连到校园网,从而连入Internet。

一个l OM/l00M自适应8口的以太网集线器HUB,带有一批Windows95/98/XP/Linux台式机。

构建的具体过程:

1)修改Linux系统并没有支持IP数据包路由记录功能,因此首先必须修改Linux系统的TCP/IP内核源程序,再重新编译内核。

实现这一功能的程序是IF程序中的选项控制模块buildee options,所以应该修改/usr/src/linux/net/inet/ip.c,使其支持路由记录。

修改部分程序如下:

2)在Linux系统中安装双网卡,设置路由。

在Linux主机上配置路由功能要求在该主机内至少有两个以上的网络接口。因此,首先在Linux系统中安装好两个网卡。在具体操作时可能存在一个问题,就是在Linux系统中只有一块以太网卡会被缺省自动检测,这就需要对Linux系统进行一些修改。

有两种方法可以Linux实现系统自动检测多个网卡:

第一,在Linux加载程序配置文件etc/lilo.conf文件中设置:append=“ether=irq0,,io-port0,eth O ether=irql,io-portl,ethl”;

第二种方法修改Linux系统的内核源程序,修&usr/src/Linux/drivers/net/Space.c的eth I控制结构,用0代替Oxffe O.然后,用make config重新配置Linux的基本内核,主要选择如下:TCP/IP networking(CONFIG INET)[Y]IP forwarding/gatewaying(CONFIG IPJOR-WARD)[N]IP firewalling(CONFIG IP FIREWALL)[Y]IP accounting(CONFIG IP ACCT)[Y]对于Linux系统,它支持路由信息协议(RIP),由in.routed路由服务程序实现。

系统性能分析:

安全性能:系统由于不具备IP地址,所以能够很好的抵御来自各方面的入侵活动,使那些黑客根本没有办法破坏我们的系统。因此,大大提高了系统的安全性。

网络性能:包过滤防火墙系统在网络中起着网桥的作用,其运行机制和以太网网桥基本一致,包过滤操作也仅仅是对数据指针的移动并做比较的操作,对系统的性能没有影响。

使用的方便性:无论是对系统管理人员还是普通内部网络用户,本系统的使用都是非常简单的。对于普通拥护,他们根本不会感觉到我们的包过滤系统的存在。上面的透明包过滤防火墙对网络用户是真正的透明,安装设置本系统不需要更改任何设置,放置在合适的位置上,将网络联起来就可以使用本系统。

4 总结

随着网络技术的迅速发展,人们的工作和生活越来越离不开网络,网络的安全问题也就变得日趋严峻。随着网络的开放,因为安全问题而产生的数据丢失,网络瘫痪等事件时有发生;再加上INTERNET所采用的TCP/IP协议自身的一些缺陷,安全问题就更加突出。在考虑了多种防护手段后,应该来说防火墙是最简单也是最有效的解决方案。但是防火墙是死的,影响网络安全的问题却是在不断的变化的,如何能够用防火墙真正合理的解决网络问题,不是一个产品的简单选择问题,更为重要的是如何把产品的功能发挥出来,以适应不断变化的网络安全题。总之,应该注意的是防火墙不是解决所有网络安全问题的万能药方!而只是网络安全政策和策略中的一个组成部分。计算机网络安全问题是伴随计算机网络发展不可忽视的问题!不论从功能还是从性能来讲,防火墙技术的演进并不会放慢速度,反而产品的丰富程度和推出速度会不断的加快,这也反映了安全需求不断上升的一种趋势,但是,更值得我们关注的还是防火墙体系结构的发展以及安全产品标准的发布,这些变化不仅仅关系到某个环境的某个产品的应用情况,更关系到信息安全领域的未来。

参考文献

[1](美)Keith E.Strassberg.火墙技术大全[M].北京:机械工业出版社,2003.

[2](美)ANDRESS Mandy.计算机安全原理[M].北京:机械工业出版社,2002.

[3]江荣安,赵铭伟.网络安全教程[M].大连:大连理工大学出版社,2003.

[4]魏利华.防火墙技术及其性能研究[J].能源研究与信息,2004,(1):60-65.

[5](美)斯特拉斯伯格.防火墙技术大全[M].机械工业出版社,2003.

[6]杨晨光,李海霞.计算机网络安全[M].西安:西安电子科技大学出版社,2002.

[7]黄发文,徐济任,陈家松.计算机网络安全技术初探[J].计算机应用研究,2002,(5):46-48.

防火墙在企业中的应用 篇8

关键词：计算机；网络安全；防火墙技术；应用

中图分类号：TP393.08

1 计算机网络安全所面临的威胁

1.1 人为的无意失误。例如，操作人员不合理的安全配置导致安全漏洞的产生；用户安全意识薄弱；用户口令选择失误；用户随意将自己的账号转借或共享至他人，都会在一定程度上威胁到网络的安全。

1.2. 人为的恶意攻击方式。作为计算机网络安全所面临的一项做大威胁，计算机犯罪和敌手的攻击都属于人为恶意攻击方式。该类攻击又分为两种类型：一种为主动攻击，是通过各种方式对信息的有效性和完整性实施有选择地破坏。另一种则是被动攻击，主要是在不对网络正常工作造成影响的前提下对重要机密信息进行截获、破译及盗取。这两种攻击都会对计算机网络造成较大程度的危害，引发机密数据的泄露。

1.3 网络软件中存在的漏洞及“后门”。并不是所有网络软件都是百分之百无漏洞和无缺陷的。然而，这些漏洞和缺陷的存在往往为黑客的攻击提供条件。曾经有黑客攻入网络内部的事件产生，该类事件大多数都是由于不完善的安全措施造成的。所谓软件的“后门”，就是软件公司的设计编程人员为了自身的便利而进行设置的，通常不被人所知，一旦“后门”打开，会有不堪设想的后果产生。

2 防火墙技术的含义

对于网络环境来说，在网络信息交互过程中，防火墙的运用能够将从内到外、从外向内的保护得以实现。例如：外部信息从内部网络环境中通过时，防火墙能够对内部组件进行利用，开展高质量流通信息的检测，与内部网络要求相符时，防火墙即可对信息“放行”，若有危险信息出现，防火墙会主动将其与内部的联系产生隔断，然后形成安全日志，避免同类恶意信息对网络造成的再次攻击。所以，防火墙自身的运行系统质量较高。防火墙存在防御的性质，使限制信息的作用得到充分发挥，且防火墙干预的范围相对广阔，基本上能够对所控制的网络整体实施保护，不仅确保外界恶意信息不会对系统造成攻击，而且还会对内部信息的安全储存得到保障，避免信息出现泄露现象。同时，防火墙还发挥着隔离作用，一方面能够有效地对传递、运行的信息进行分析，另一方面，还会对信息来往产生制约，使防火墙独立的信息处理能力得到有效体现。

3 网络安全中防火墙的分类

网络通畅是时刻处于不同类型的变动状态内，防火墙必须将网络的变化特性摸清，使防御功能得到充分发挥。目前，对于不同网络的使用特性而言，防火墙出现了不同性质的类型。根据性质的不同，防火墙主要分为监测型、过滤型及代理型三种，其分析主要如下所述：

3.1 监测型防火墙。作为现阶段较高安全性能的一类，监测型防火墙支持后台维护，就是对正在运行的网络开展自动抽检和防护，且不会对任何网络造成负担，使网络是否有外来攻击存在进行监测，同时避免网络内部的自行攻击出现，与网络层次和机制相结合，对网络运行实施监测。

3.2 代理型防火墙。虽然代理型防火墙有较高效率存在，但安全性能有一定的不足，能够在内外交接的过程中，对内网实施有效掩藏，将内外连接切断，避免内网受到攻击，代理型防火墙主要是对木马、病毒以及其他恶意植入进行防止，该类防火墙在运用的过程中，必须对合理的服务器進行搭配，从而使防御的效率得到有效提升。

3.3 过滤型防火墙。通过该类防火墙在较大数据流通的网络中得到应用，数据流是其主要的作用对象。由于在维护上不会有较高的要求存在，因此作为防护基础，在基本网络环境中对该类防火墙实施安装。

4 计算机网络安全中防火墙技术的优势

与其他计算机网络安全技术相比，防火墙技术有明显的优势存在，在安全防护中发挥着极为重要的作用，使计算机网络的防护水平得到有效提升。

4.1 网络攻击的准确识别。计算机网络受到的安全攻击时从不同层次产生的，攻击种类的发展趋势呈现多样化，在不断变化的攻击行为中，防火墙技术对攻击路径和方式进行主动识别，并判断攻击行为的属性，提出有效的保护措施。防火墙技术处于升级、更新的状态，与较快变化的攻击行为相适应，将准确识别的优势得到体现，确保计算机网络始终保持在安全的环境内，优化计算机的运行，避免恶意对网络数据进行窃取和损坏。

4.2 网络系统的高效保护。在计算机网络安全中，防火墙技术有较高的保护能力存在，体现出高效的保护水平，供给者并不确定计算机网络运用的攻击行为，防火墙将具有危险性的攻击活动得到迅速觉察，在最短的时间内避免网络系统受到攻击，一方面对计算机网络系统的安全运行得到维持，另一方面是对计算机网络系统的整体性能得到保障，强化网络结构，使高效率的保护能力得到体现。

5 网络安全中防火墙技术的应用要点

防火墙在网络安全技术中作为一项不可缺少的重点应用部分。同时在对网络信息实施安全保护的过程中，会有诸多要点展现出来，只有将防火墙要点分析工作做好，才能使防火墙在实际的保护中得到充分发挥。

5.1 维护要点。结合攻击类型、特性，及时升级更新防火墙性能。在安装新防火墙后应及时的同步维护，防火墙的研发与对网络并非是一直能起到保护作用，必须进行有针对性的更新，使缺陷和防火墙使用中存在的问题降低，因此，实施有针对性的维修，用户必须的后期维护工作，防火墙的跟踪状态，确保防火墙一直保持在保护模式下的新的。

5.2 的防火墙规则的使用。在使用防火墙的规则设置方面，应坚持的策略，结合系统，规则和工作流程，在信息安全连接的基础上，对流增加，使信息保持真实性，将保护防火墙的功能是可以实现的，最重要的是这组规则。使防火墙的状态得到保障，使得防火墙始终保持在检查状态信息，如实记录，信息。

6 防火墙技术的发展趋势

6.1 智能化。网络安全所面临的主要问题包括以蠕虫为典型代表形式的病毒传播、以垃圾电子邮箱为主的内容控制以及以拒绝访问为目标的网络攻击等。这几个问题已经将绝大多数的网络安全问题包含进来。从传统意义上而言，防火墙对上述问题的解决存在十分有限的能力，但效果不佳。所以，作为一个新型防火墙研发趋势，只能防火墙发挥着极其重要的作用。

6.2 更好的扩展性。随着P2P、3G网络等网络新技术的发展成熟，防火墙的功能及规模也与网络技术和安全方略的改变自觉适应。未来防火墙技术的实现需要一项伸缩自如的模块化操作，包括从最基础的包过滤到加密后的VPN包过滤器，发展至一个单独的网关，使用户根据需要对防火墙系统进行设置。

6.3 高效化的使用性能。随着芯片技术及算法的发展，防火墙在应用层的分析、软件的精确过滤中得到更多地参与，进而通过软硬件兼具的方案，为用户进行可靠安全化性能服务的提供。

7 结束语

总之，防火墙软件是在运行系统基础上建立起来的，与网络构建安全的运行环境相结合，在网络安全中防火墙占据着极为重要的地位。所以，社会对大量的科研力量有所投入，重点对防火墙中的网络技术进行研究，不仅使网络能够有保护系统形成，而且还能对网络的安全效果有所提高，构建安全、可靠及稳定的网络环境，使企业发展中网络的利用度得到积极推进，进一步确保企业网络系统的有效运行。

参考文献：

[1]防火墙技术在网络安全中的应用[J].科技资讯，2012（09）：23.

[2]网络安全与防火墙技术的研究[J].网友世界，2011（25）：13-15.

[3]浅析防火墙技术在网络安全中的应用[J].云教育，2013（14）：112.