防火墙技术及应用

防火墙技术及应用（精选12篇）

防火墙技术及应用 篇1

随着计算机的应用由单机发展到网络, 网络面临着大量的安全威胁, 其安全问题日益严重, 日益成为广泛关注的焦点。大家纷纷为自己的内部网络“筑墙”, 防病毒与防黑客成为确保信息系统安全的基本手段。

1 防火墙的基本概念

防火墙是一个系统或一组系统, 它在企业内网与因特网间执行一定的安全策略, 所有从因特网流入或流向因特网的信息按照此策略来实施检查, 以决定网络之间的通信是否被允许。防火墙加强了网络之间访问控制, 防止外部网络用户以非法手段通过外部网络进入内部网络, 访问内部网络资源, 以保护内部网络操作环境的特殊网络互联设备。

2 目前的防火墙主要有以下三种技术

2.1 包过滤技术

这种防火墙可以用于禁止外部不合法用户对内部的访问, 也可以用来禁止访问某些服务类型。但包过滤技术不能识别有危险的信息包, 无法实施对应用级协议的处理, 也无法处理UDP、RPC或动态的协议。

2.2 代理技术

代理服务软件运行在一台主机上构成代理服务器, 负责截获客户的请求, 并且根据它的安全规则来决定这个请求是否允许。如果允许的话, 这个请求才传给真正的防火墙。状态检测技术:

状态监控防火墙的安全性能特别好, 它使用的软件引擎在网关来执行网络安全策略, 监控模块。不影响网络的安全, 正常工作的前提下, 提取相应的数据存储、更新状态数据及上下文信息、监控通信层。

3 防火墙技术在校园网中的应用

随着学院网络出口带宽不断加大, 应用服务系统逐渐增多, 校园网用户数烈剧上升, 网络的安全也就越来越严竣。

3.1 校园网防火墙部署

防火墙是网络安全的屏障。一个防火墙 (作为阻塞点、控制点) 能极大地提高一个内部网络的安全性, 并通过过滤不安全的服务而降低风险。在防火墙设置上我们按照以下原则配置来提高网络安全性:

(1) 根据校园网安全策略和安全目标, 规划设置正确的安全过滤规则, 严格禁止来自公网对校园内部网不必要的、非法的访问。总体上遵从“不被允许的服务就是被禁止”的原则。

(2) 将防火墙配置成过滤掉以内部网络地址进入路由器的IP包, 这样可以防范源地址假冒和源路由类型的攻击;过滤掉以非法IP地址离开内部网络的IP包, 防止内部网络发起的对外攻击。

(3) 在防火墙上建立内网计算机的IP地址和以C地址的对应表, 防止IP地址被盗用。

(4) 在局域网的入口架设千兆防火墙, 并实现VNP的功能, 在校园网络入口处建立第一层的安全屏障, VPN保证了管理员在家里或出差时能够安全接入数据中心。

(5) 定期查看防火墙访问日志, 及时发现攻击行为和不良上网记录。

(6) 允许通过配置网卡对防火墙设置, 提高防火墙管理安全性。

3.2 校园网防火墙配置

默认情况下, 所有的防火墙都是按以下两种情况配置的:

(1) 拒绝所有的流量, 这需要在你的网络中特殊指定能够进入和出去的流量的一些类型。

(2) 允许所有的流量, 这种情况需要你特殊指定要拒绝的流量的类型。

4 防火墙技术优点、缺点

4.1 使用防火墙系统的优点

(1) 可以对网络安全进行集中控制和管理。防火墙将受信任的专用网与不受信任的公用网隔离开来, 将承担风险的范围从整个内部网络缩小到组成防火墙系统的一台或几台主机上, 在结构上形成了一个控制中心, 大大加强了网络安全, 并简化了网络管理。

(2) 由于防火墙在结构上的特殊位置, 使其方便地提供了监视、管理与审计网络的使用及预警。

(3) 为解决IP的地址危机提供了可行方案。由于Internet的日益发展及其IP地址空间的有限, 使得用户无法获得足够的注册IP地址。防火墙系统则正处于设置网络地址转换NAT的最佳位置, NAT有助于缓和IP地址空间的不足, 并使得一个结构改变Internet服务提供商时而不必重新编址。

(4) 防火墙系统可以作为Internet信息服务器的安装地点, 对外发布信息。防火墙可作为企业向外部用户发布信息的中心联络点。防火墙可以配置允许外部用户访问这些服务器, 而又禁止外部未授权的用户对内部网络上的其它系统资源进行访问。

4.2 防火墙的缺点

(1) 防火墙不能防范不经由防火墙的攻击。例如:如果允许从受保护网内部不受限制地向外拨号。一些用户可以形成与Internet的直接连接, 从而绕过防火墙, 造成一个潜在的后门攻击渠道, 所以应该保证内部网与外部网之间通道的唯一性。

(2) 防火墙不能防止感染了病毒的软件或文件的传输.这只能在每台主机上装反病毒的实时监控软件。

(3) 防火墙不能防止数据驱动式攻击。当有些表面看来无害的数据被邮寄或复制到Internet主机上并被执行而发起攻击时, 就会发生数据驱动攻击。所以对于来历不明的数据要先进行杀毒或者程序编码辨证, 以防止带有后门程序。

5 结束语

随着计算机技术和通信技术的发展, 计算机网络将日益成为工业、农业、国防和教育等方面的重要信息交换手段, 渗透到社会生活的各个领域。因此, 认清网络的脆弱性和潜在威胁, 采取强有力的安全策略, 对于保障网络的安全性将变得十分重要。

参考文献

[1]陈柏良, 严国辉编著.电子商务[M].北京:北京理工大学出版社, 2011.

[2]吴秀梅主编, 毕烨, 王见, 傅嘉伟编著.防火墙及应用教程[M].北京:清华大学出版社, 2010.

[3]荣海迅.防火墙技术及其发展趋势剖析[J].淮北职业技术学院学报, 2008 (03) .

[4]阎慧等著.防火墙原理与技术[M].北京:机械工业出版社, 2004.

[5]陈翔, 高可用.强管理的新一代防火墙[J].计算机世界, 2006.

[6]魏利华.网络安全:防火墙技术研究[J].淮阴工业学院学报, 2003 (10) .

[7]郝玉洁, 常征.网络安全与防火墙技术[J].电子科技大学学报 (社科版) , 2002 (01) .

防火墙技术及应用 篇2

从林火预防、扑救、调查及绘图等方面分析了GPS技术在森林防火中的应用现状及意义,并展望了GPS在森林防火中的.应用前景.

作 者：魏国良 游玮 WEI Guo-liang YOU Wei 作者单位：魏国良,WEI Guo-liang(青海大学,农牧学院,青海,西宁,810003)

游玮,YOU Wei(山阳县林业局,陕西,山阳,726400)

浅谈办公网络中防火墙技术的应用 篇3

关键词：办公网络；防火墙技术；网络安全

中图分类号：TP393.082

办公自动化网络以其便利性和开放性普遍的应用于人们的日常办公中，但是正是由于开放性导致了其遭遇黑客入侵、病毒感染的风险。一旦处理不好，可能导致企业机密泄露、数据丢失等风险。而防火墙技术却能为办公网络提供一个良好的屏障，本文重点从数据过滤、服务器代理设计、防火墙系统拓扑结构设计等角度探讨和分析防火墙技术。

1 关于防火墙技术

1.1 基本概念

防火墙主要是防范网络外部的危险传到受保护的内部网络。防火墙逻辑上既为分离器和分析器，又可作限制器；但立足于物理视角，一般防火墙主要由路由器及主机等一些硬件类设备及各种不同的软件组合构成的，防火墙不同、其实现的方式也可以不同；就其实质而言，通常防火墙就是用来对网络的数据、资源及其用户的信誉进行保护的一种保护性的设施；就其技术层面而言，通常防火墙就是控制对网络进行访问的控制技术，也是一个保护的门槛，能够管控输入和输出两方面的信息传输，切实防范内部某个网络和不安全的外部网络进行沟通和交流。

1.2 基本原理分析

通常防火墙按先前明确的原则和规范对防火墙经过的数据流进行控制和监测。那些有授权的才能够让数据许可经过，同时要随时对服务器中的相应数据的源起、通信的总量以及任何希望进入网络的人员的目的与动机进行记录，以便于管理员完成好跟踪与检测等相关工作。除此以外，通常防火墙还应当具有阻止渗透的特定性功能。

1.3 功能简介

通常防火墙需要具有的主要功能有如下四类，一是阻止网络的非正常用户入侵入到网络内部；二是可以方便快捷地网络具有的安全性进行监测，同时随时地发出警报；三是能够具有对地质网络的变换进行调整的功能，能够把数量限定的IP类地址和内部网络IP类地址进行静动态联系，用来缓解网络地址的有限性矛盾；四是防火墙能够隔开内部的网络，和某一网段独立地连接起来，利用此网段对FTP与WWW两种服务器进行部署，将其当作向外部公布信息资源的地方。这就是通常在技术视角下会提到停火区，即DMZ区。

1.4 关于防火墙类型

通常防火墙主要可以分成过滤数据包类、服务代理类及复合类等三种类型。通常过滤数据包类防火墙工作于网络层与传输层，所以还被称作筛选型路由器或者网络类防火墙，主要是针对网络中单个的传输数据包实施相应的控制，依照接收数据包IP类的目的地址和源地址情况、UDP/TCP的目标与源起端口号情况、网络ICMP类消息情况以及数据包当中的协议的种类与标志等各类参数，将其与事先用户设置的控制管理访问内容做对比，来对数据内容是不是符合事前设定安全要求和标准做出判断，在此基础上进行过滤操作，研究相关数据包是进行转发还是进行丢弃。而服务代理类的防火墙还被称作应用类的防火墙，就是在主机上通过运行服务代理类程序，围绕特定性应用程序或用户直接提供相应的服务功能。服务代理类防火墙最为核心的是其主机上设置防火墙的代理类服务器部分，主要是帮助用户实现TCP、IP协议相应的功能。代理类服务器从实质上说是将两个不同网络相连接，用来达到网络特定性的应用目标的网关。对于复合类防火墙因为在网络的安全方面的要求较高，一般情况下需要将服务代理和过滤数据包的服务体系的功能与特点相结合，在此基础上建立复合类防火墙体系，其主机通常被称作是堡垒型主机。各种不同类别的防火墙均具有各自不同技术优点和不足，目前防火墙方面的单一产品完全无法适应网络应用要求的更高的安全水平，因此把现有各类防火墙应用技术相互结合，以便建立多层级、混合型防火墙体系，能够增强网络防火墙在灵活性与安全性方面的性能。

2 内部办公网防火墙体系设计

2.1 内部办公网防火墙体系的设计总体思路

2.1.1 建立内网的安全性对策

首先，在内部网络的安全要求上最重要是对任何没能经过允许的各类服务进行禁止。其次，在内部网的另一条安全原则是让未明令禁止的各项服务运行，于是防火墙在发送此类信息的过程当中逐项对未经许可的服务进行滤除。

2.1.2 明确过滤数据的原则要求

一方面，要处理IP类数据包的头部信息；另一方面，设计出过滤数据包的原则和要求，一般情况下，应当确定并实施过滤数据包原则的基本内容，进而作出具体性的要求设定。

2.1.3 加强对服务代理进行设计

代理类服务器当接收到网络外部节点提交的请求服务的时候，若接受到这一请求，则代理类服务器马上和实际的服务器建立相应的连接关系。服务代理的相关工作发生在应用的层面，所以能够利用网络安全密码、验证身份、跟踪审计、登录日志等各類网络技术，确保内部网安全运行，以便解决好过滤数据时求救应对的矛盾问题。

2.1.4 对防火墙体系统拓扑类结构进行设计

第一，设计网络防火墙体系的拓扑类结构必须确定出需要保护的这一办公网在安全运行上的级别要求。第二，最后在明确网络防火墙体系的拓扑类结构进，必须综合考虑该体系在安全措施上的实施、升级、维护、改造、重点资源信息保护及体系安全的管理成本等有关方面的因素。

2.1.5 对模块的功能进行定义并分散施行

网络防火墙通常是各类功能组合模块构成的，各种功能性模块主要包括代理类、过滤数据包、网络域名类、网络认证类等服务器及通信情况的监控器，这些模块是通过路由器与主机独立地实现功能的，而对模块功能分散进行处理，能够降低其实施过程的难度系数，但却增强了体系的可靠程度。

2.1.6 关于对维护和管理防火墙的工作方案

维护防火墙应当随时审计网络访问情况的记录，从中查找和发现网络中非法性的访问与入侵的有关情况。以此为基础全面评估防火墙在安全管理方面的相关情况，如果需要还应当做出必要的改进和完善。而管理防护墙是要按照网络安全对策措施及网络中拓扑类结构出现变动的情况，及时升级和修改防火墙的硬件与软件等方面的相关内容级。

2.2 网络数据包类防火墙的典型的设计方法

过滤数据包类防火墙的相关工作处在DOD类网络的层面，其核心的技术为逐个对通过网络防火墙的各类数据包均实施审查操作，同时分析数据包当中所含有的IP类的目的地址和源地址情况UDP/TCP的目标与源起端口号情况、网络ICMP类消息情况以及封装数据包的协议种类等，当判断同体系事前确定的网络安全对策是不是相符合以后，从而决定是不是让这些数据包通过、进入网络。

设计过滤数据包原则要求主要包含两方面的内容：一是有关服务的各种安检原则要求；二是对不同服务的安检原则要求。

3 结束语

网络防火墙技术虽然有着比较多的优势，然而也存在一些不足之处，特别是在网络安全上还会留下部分隐患。同时，设定防火墙也无法实现毕其功于一役，设定安全管理人员完成防火墙设定之后造成不能放松管理，应该时时具有居安思危的意识，努力把其他的一些安全防御技术与防火墙配合使用，以增强网络信息的安全性，使网络用户能更加放心地享用网络资源。

参考文献：

[1]王颖.论目前计算机网络安全所面临的威胁及防范措施[J].消费电子.

[2]史长琼，吴丹，肖瑞强.能抵抗拒绝服务攻击且高效的RFID安全认证协议[J].计算机工程与应用.

防火墙技术及应用 篇4

防火墙技术是网络安全的基础,是设置在被保护网络和外部网络之间的一道屏障,它能够通过控制和检测网络之间的信息交换和访问行为来实现对网络的安全管理,当内部网络连接到外部网络时,它能够对网络之间传输的数据包依照一定的安全策略进行检查,拒绝未经授权的用户访问,同时允许合法用户不受阻碍地访问网络资源,从而达到保护内部网络不受外部非授权用户访问。其工作原理是:按照事先规定好的配置与规则,监测并过滤通过防火墙的数据流,只允许授权的或者符合规则的数据通过。

2 防火墙技术

随着网络安全的逐渐升温,网络安全产品如防火墙、入侵检测、安全扫描等产品开始不断地涌现,网络防火墙是保护整个网络不被非法访问和入侵的一种网络设备,它能够有效地控制内部网络和外部网络的访问,还能过滤不良信息,是一种解决网络之间访问控制最有效的方法,通常是将防火墙的相关数据集成到硬件设备中,也称之为硬件防火墙。

2.1 基本特性

(1)内部网络和外部网络之间的所有网络数据流都必须经过防火墙,它应该是内部网络连接外部网络的唯一出口。

(2)只有符合安全策略的数据流才能通过防火墙,它能够防止外部用户非法使用内部网的资源,保护内部网络的设备不被破坏,防止内部网络的敏感数据被窃取,它必须可以决定哪些内部服务可以被外界访问,哪些不可以被访问以及哪些外部的服务可以被内部访问等[2]。

(3)防火墙自身应具有非常强的抗攻击免疫力,能够防止外部用户对防火墙的破坏,防火墙一旦被攻击者突破,就谈不上对内部系统的保护了。

2.2 分类

2.2.1 包过滤防火墙

包过滤防火墙能够提供完善的包过滤策略选项,以方便地设定访问控制策略,通过对所有流经防火墙信息包内的包头信息进行检查,决定数据包是否允许通过,从而实现对网络的安全控制。另外,它还能记录、会话和发起IP端口,阻止畸形报文和拒绝服务,防止外部IP欺骗,可禁止员工上班时间查阅与工作无关的信息。包过滤的速度很快,其功能也相对较普通,需要注意的是包过滤防火墙是针对TCP协议的,只能处理包头内容,无法处理基于应用层的内容过滤。

2.2.2 应用代理防火墙

应用代理是用来对TCP应用进行代理的服务器软件。应用代理防火墙可以接收客户的请求,把数据包先整合成应用层数据,然后根据数据内容分析客户数据,再以自己的地址向内容服务器提出请求,接受内容服务器的响应,最后传给客户。应用层防火墙比包过滤增加了许多工作量,效率没有包过滤的高。另外针对不同的应用层协议必须有单独的应用代理,因此应用代理不能支持所有网络应用,也不能自动地支持新的网络应用[3]。

2.3 基本功能

(1)访问控制功能。这是防火墙最基本也是最重要的功能。

(2)内容控制功能。通过控制可信任网络与不可信任网络之间的通信内容来保证信息的安全。

(3)全面的日志功能。防火墙需要完整地记录网络访问情况,对网络进行监控,一旦发生入侵或是遭到破坏,就可以对日志进行审计和查询。

(4)集中的管理功能。一个网络系统不是单个简单的计算机,防火墙也可能不只一台,所以防火墙必须易于集中管理,这样更方便,更人性化。

(5)自身的安全和可用性。防火墙首先要保证自身的安全,才能真正起到对整个安全体系的保护。

3 基于Linux的防火墙系统

3.1 发展

Linux下的包过滤系统经历了如下3个阶段[4]:

(1)在2.0的内核中,采用ipfwadm来操作内核包过滤规则,它提供了包过滤、地址伪装和透明代理等基本功能。

(2)在2.2的内核中,采用ipchains来控制内核包过滤规则,但是它处理数据包的方式复杂,不能够区分数据包是以该主机为目的地还是通过该主机中转,而且还不能提供传递数据包到用户空间的接口,更重要的是它的系统没有开放性结构,用户不能直接扩展它的功能。

(3)针对ipfwadm和ipchains中存在的缺陷,在Linux2.4内核中采用Netfilter来控制包过滤规则,比起以前的ipfwadm和ipchains在思路上清晰了很多,最新的Linux2.4.x内核具有Netfilter/iptables系统,这种内置的IP数据包过滤工具,使其用户可以完全控制防火墙配置和数据包过滤,允许为防火墙建立可定制化的规则来控制数据和过滤,使配置防火墙变得方便简单。

3.2 架构

Linux内核从1.1版本开始,就已经具备包过滤功能,后来发展到Linux2.4以后,内核防火墙的底层结构是Netfi1ter结构,位于Linux网络层防火墙内核功能模块之间,如图1所示。

在Linux2.4内核中通过Netfi1ter结构将防火墙对数据包的处理引入IP层中,防火墙的代码与实现IP层的代码完全分离,从而构成不同的模块,使网络层和防火墙在结构上很清晰,防火墙代码修改和功能扩充更加容易[5]。

3.3 动向和趋势

随着Linux操作系统的逐渐壮大,其防火墙架构也在不断地发展,从产品功能方面,可以得出它的一些动向和趋势:

(1)Linux防火墙从技术上讲更加综合,采用数据加密技术,强化身份验证等访问控制措施,增加防攻击、防扫描、防欺骗等技术,自动识别恶意数据流量,有效阻断恶意数据攻击,切断恶意病毒或木马的流量攻击。

(2)防火墙中过滤功能将不断扩展和加强,从目前的对地址、服务的过滤,发展到对数据包分片、数据包内容、连接状态的检查,从静态包过滤过渡到动态包过滤。

(3)防火墙需要带有入侵检测功能,完善安全管理工具,能够对网络进行监测并预警。

(4)防火墙将具备网络管理能力,它将具备集中网络管理功能,提供网络管理平台,具备配置管理、性能管理、故障管理、安全管理等管理能力,提供网络实时监控功能。

(5)防火墙中融合包擦洗和协议正常化技术,通过对TCP、IJDP、CMP等协议的擦洗,实现协议的正常化,消除潜在的协议风险和攻击[6]。

总之,未来的Linux防火墙技术将会全面考虑网络安全、操作系统、程序安全、用户安全等多方面的因素,成为包过滤技术、入侵检测技术、病毒检测防护技术、内容过滤技术和数据加密技术等多种技术的综合体。

4 结语

随着网络安全的逐渐升温,防火墙作为网络安全措施中的一个重要组成部分,而Linux操作系统凭借其稳定性、安全性、灵活性,使得在其上布置防火墙有了一个可靠的基石,它的内核中所内嵌的防火墙肯定也会得到广大用户的亲睐。对基于Linux防火墙的发展及应用作了简要分析,但是随Internet的发展,针对外来攻击的威胁也越来越大,必须不断发展针对不同的威胁设置不同的防火墙才能保护网络。但应当注意的是,防火墙可以在一定程度上保护网络,但并不完全能保护网络的安全,它必须按照实际应用合理配置,不正确的配置会导致安全漏洞,而过于严格的配置则会导致用户的不便,引起自行开辟新的出口现象,从而导致新的安全隐患,必要的时候需要对信息进行加密。

摘要：简要介绍了防火墙的的工作原理和应用,并对Linux防火墙的发展作了概述。

关键词：Linux,防火墙,应用分析

参考文献

[1]杨辉,吴昊.防火墙一网络安全解决方案.国防工业出版社,2001,9:34-87.

[2]王宏健,邵佩英,张籍.基于Linux内核防火墙Netfliter的安全应用的设计方法[J].小型微型计算机系统,20011,2(22):1517-1546.

[3]马征.基于本体的Web页面分类挖掘[D].长沙:中南大学,2004:10-11.

[4]张登银,周杰生.利用Netfilter/iptables抗御SYN Flood攻击方法研究[J].南京:南京邮电大学学报,2007:134-158.

[5]姚晓宇,赵晨.Linux内核防火墙Netfilter实现与应用研究[J].计算机课程,2003,8:112-114.

毕业论文(防火墙的技术与应用) 篇5

毕业论文

课题名称： 防火墙的技术与应用 作 者： 学 号： 系 别： 电子工程系 专 业： 指导教师：

20**年**月**日

中文摘要

防火墙的技术与应用

摘要

计算机网络安全已成为当今信息时代的关键技术。当前网络安全问题存在着计算机病毒，计算机黑客攻击等问题。网络安全问题有其先天的脆弱性，黑客攻击的严重性，网络杀手集团性和破坏手段的多无性，解决网络安全问题重要手段就是防火墙技术。走在中国特色的防火墙技术发展之路,是确保我国网络安全的有效途径。防火墙技术的核心思想是在不安全的网际网环境中构造一个相对安全的子网环境。本文重点介绍防火墙技术的基本概念和系统结构，讨论了实现防火墙的两种主要技术手段：一种是基于分组过滤技术(Packet filtering)，它的代表是在筛选路由器上实现的防火墙功能；一种是基于代理技术(Proxy)，它的代表是在应用层网关上实现的防火墙功能。

关键词：网络安全；防火墙；技术；功能

I 郑州电子信息职业技术学院2011届毕业论文

目 录

中文摘要.................................................................I 1 引言..................................................................1 2 网络安全概述..........................................................1 3 协议安全分析..........................................................2 3.1 物理层安全........................................................2 3.2 网络层安全........................................................2 3.3 传输层安全........................................................3 4 网络安全组件..........................................................3 4.1 防火墙............................................................3 4.2 扫描器............................................................3 4.3 防毒软件..........................................................3 4.4 安全审计系统......................................................3 4.5 IDS...............................................................4 5 网络安全的看法........................................................4 5.1 隐藏IP地址有两种方法.............................................5 5.2 更换管理及账户....................................................5 6 防火墙概述............................................................5 6.1 防火墙定义........................................................5 6.2 防火墙的功能......................................................5 6.3 防火墙技术........................................................6 6.4 防火墙系统的优点..................................................7 6.5 防火墙系统的局限性................................................7 7 结论..................................................................8 参考文献.................................................................9 致 谢..................................................................10 郑州电子信息职业技术学院2011届毕业论文 引言

随着网络技术的普遍推广，电子商务的开展，实施和应用网络安全已经不再仅仅为科学研究人员和少数黑客所涉足，日益庞大的网络用户群同样需要掌握网络安全知识。由于在早期网络协议设计上对安全问题的忽视，以及在管理和使用上的无政府状态，逐渐使Internet自身安全受到严重威胁，与它有关的安全事故屡次发生，一些黑客把先进的计算机网络技术，当成一种犯罪工具，不仅影响了网络的稳定运行和用户的正常使用,造成许多经济损失,而且还会威胁到国家的安全，一些国家的机密被黑客破坏造成网络瘫痪。如何更有效地保护重要信息数据，提高计算机网络的安全性已经成为世界各国共同关注的话题，防火墙可以提供增强网络的安全性，是当今网络系统最基础设施，侧重干网络层安全，对于从事网络建设与管理工作而言，充分发挥防火墙的安全防护功能和网络管理功能至关重要。网络安全概述

网络安全是指网络系统的硬件、软件及其系统中的数据受到了保护，不因偶然的或恶意的原因而遭受到破坏、更改、泄露、系统正常地运行网络服务不中断，网络安全的定义从保护角度来看，是指计算机及其网络系统资源和信息资源不受自然和人为有害因素的威胁和危害，从广义上来说，凡是涉及到计算机网络上信息的机密性，完整性、可用性、可控性、可审查性的相关技术和理论都是计算机网络安全的研究领域。

网络安全的具体含义会随着“角度”的变化而变化，比如：从个人的角度来说，凡是涉及到个人隐私的信息在网络上传输时受到机密性完整性和真实性的保护避免其他人利用窃听、冒充、篡改、抵赖等手段侵犯用户的利益和隐私。

网络安全应具有以下五个方面的特征：机密性：确保信息不暴露给未授权的实体或进程。完整性：只有得到授权的实体才能修改数据，并且能够判别出数据是否已被篡改。可用性：得到授权的实体在需要时可访问数据，即攻击者不能占用所有的资源而阻碍授权者的工作。可控性：可以控制授权范围内的信息流向及行为方式。可审查性：对出现的网络安全问题提供调查的依据和手段。

从管理者角度说网络信息的访问读写操作受到保护和控制避免病毒侵入，非法存取、非法占用、非法控制等威胁，防止网络黑客的攻击，对安全保密部门来说，对于非 郑州电子信息职业技术学院2011届毕业论文

法的有害的或涉及国家机密的信息进行过滤和防止，对社会造成危害，对国家造成巨大损失的机要信息的泄漏进行防止，做到杜绝。

现在全球普遍存在缺乏网络安全的重要性，这导致大多数网络存在着先天性的安全漏洞和安全威胁，使用TCP/IP协议的网络所提供的网络服务都包含许多不安全的因素，存在着一些漏洞网络的普及使信息共享达到了一个新的层次，信息被暴露的机会大大增多，特别是Internet网络就是一个不设防的开放大系统，近年来，计算机犯罪案件也急剧上升，计算机犯罪是商业犯罪中最大的犯罪类型之一，每年计算机犯罪造成的经济损失高达50亿美元，在信息安全的发展过程中企业和政府的的要求有一致的地方，也不有一致的地方，企业注重于信息和网络安全的可靠性，政府注重于信息和网络安全的可管性和可控性，在发展中国家，对信息安全的投入还满足不了信息安全的需求，同时投入也常常被挪用和借用。协议安全分析

3.1 物理层安全

物理层安全威胁主要指网络周边环境和物理特性引起的网络设备和线路的不可用而造成的网络系统的不可用，如：设备老化、设备被盗、意外故障，设备损毁等。由于以太局域网中采用广播方式，因此在某个广播域中利用嗅探器可以在设定的侦听端口侦听到所有的信息包，并且对信息包进分析，那么本广播域的信息传递都会暴露无遗，所以需将两个网络从物理上隔断同时保证在逻辑上两个网络能够连通。3.2 网络层安全

网络层的安全威胁主要有两类：IP欺骗和ICMP攻击。IP欺骗技术的一种实现方法是把源IP地址改成一个错误的IP地址，而接收主机不能判断源IP地址的正确性，由此形成欺骗，另外一种方法是利用源路由IP数据包让它仅仅被用于一个特殊的路径中传输，这种数据包被用于攻击防火墙。

ICMP在IP层检查错误和其他条件。ICMP信息、对于判断网络状况非常有用，例如：当PING一台主机想看它是否运去时，就产生了一条ICMP信息。远程主机将用它自己的ICMP信息对PING请求作出回应，这种过程在网络中普遍存在。然而，ICMP信息能够被用于攻击远程网络或主机，利用ICMP来消耗带宽从而有效地摧毁站点。

郑州电子信息职业技术学院2011届毕业论文

3.3 传输层安全

具体的传输层安全措施要取决于具体的协议，传输层安全协议在TCP的顶部提供了如身份验证，完整性检验以及机密性保证这样的安全服务，传输层安全需要为一个连接维持相应的场景，它是基于可靠的传输协议TCP的。由于安全机制与特定的传输协议有关所以像密钥管理这样的安全服务可为每种传输协议重复使用。现在，应用层安全已被分解成网络层、操作系统、数据库的安全，由于应用系统复杂多样不存在一种安全技术能够完全解决一些特殊应用系统的安全问题。网络安全组件

网络的整体安全是由安全操作系统、应用系统、防火墙、网络监控安全扫描、信息审计、通信加密、灾难恢复、网络反病毒等多个安全组件共同组成的，每一个单独的组件只能完成其中部分功能，而不能完成全部功能。4.1 防火墙

防火墙是指在两个网络之间加强访问控制的一整套装置，是软件和硬件的组合体，通常被比喻为网络安全的大门，在内部网和外部网之间构造一个保护层，用来鉴别什么样的数据包可以进出企业内部网。防火墙可以阻止基于IP包头的攻击和非信任地址的访问，但无法阻止基于数据内容的黑客攻击和病毒入侵，同时也无法控制内部网络之间的攻击行为。4.2 扫描器

扫描器是一种自动检测远程或本地主机安全性弱点的程序，通过使用扫描器可以自动发现系统的安全缺陷，扫描器可以分为主机扫描器和网络扫描器，但是扫描器无法发现正在进行的入侵行为，而且它也可以被攻击者加以利用。4.3 防毒软件

防毒软件可以实时检测，清除各种已知病毒，具有一定的对未知病毒的预测能力利用代码分析等手段能够检查出最新病毒。在应用对网络入侵方面，它可以查杀特洛伊木马和蠕虫等病毒程序，但不能有效阻止基于网络的攻击行为。4.4 安全审计系统

安全审计系统对网络行为和主机操作提供全面详实的记录，其目的是测试安全策略是否完善，证实安全策略的一致性，方便用户分析与审查事故原因，协助攻击的分析收 郑州电子信息职业技术学院2011届毕业论文

集证据以用于起诉攻击者。4.5 IDS 由于防火墙所暴露出来的不足，引发人们对IDS（入侵检测系统）技术的研究和开发。它被认为是防火墙之后的第二道安全闸门，在不影响网络性能的情况下对网络进行监测，从而提供对内部攻击，外部攻击和误操作的实时保护。

IDS的主要功能：监控、分析用户和系统的活动。核查系统配置和漏洞。评估关键系统和数据文件的完整性。识别攻击的活动模式，并向网管人员报警。对异常活动的统计分析。操作系统审计跟踪管理，识别违反政策的用户活动。评估重要系统和数据文件的完整性。

IDS可分为主机型和网络型两种：主机型入侵检测系统，主要用于保护运行关键应用的服务器，它通过监视与分析主机的审计记录和日志文件来检测入侵。网络型入侵检测系统主要用于实时监控网络关键路径信息，它通过侦听网络上的所有分组来采集数据、分析可疑现象。网络入侵检测系统通常利用一个运行在混杂模式下的网络适配器来实时监视并分析通过网络的所有通信业务。

由于每个网络安全组件自身的限制，不可能把入侵检测和防护做到一应俱全所以不能指望通过使用某一种网络安全产品实现绝对的安全，只有根据具体的网络环境，有机整合这些网络安全组件才能最大限度地满足用户的安全需求，在这个通信发达的时代，网络安全组件是不可缺少的，用户的安全要得到保障那就使用网络安全组件吧！它能给你带来意想不到的效果。网络安全的看法

随着互联网在家庭中的普及，家庭网络安全越来越受欢迎。家庭网络安全主要表现在两个方面，一是个人电脑中毒，二是被非法用户入侵。个人以为可以从“内”和“外”两个方面来解决。

从内的方面来讲“内”指用户本身，防止由于自己的疏忽而造成的损失。主要包括安装一些必要的软件，主要是防火墙、杀毒、防木马等安全软件。要有一个安全的工作习惯。积极备份。积极防范。打好补丁。这几种方法只是网络安全方面常用的方法，实际上保证安全从“内”的方面来说还包括很多方面，如操作不当造成软硬件损坏等。当然这些就不仅仅是网络安全方面了，实际上只要用户在以上所说的五个方面做得不错的 郑州电子信息职业技术学院2011届毕业论文

话，基本上网络安全方面可以放60%以上的心了。只不过许多用户在这些方面一般不太在意结果造成数据的损失。从外的方面来讲“外”指由外界而来的攻击，一般指黑客攻击。要防止黑客的攻击，我介绍几种简单容易上手同时效果也不错的方法供大家参考。5.1 隐藏IP地址有两种方法

代理服务器的原理是在客户机和远程服务器之间架设一个“中转站”，当客户机向远程服务器提出服务要求后，代理服务器首先截取用户的请求，然后代理服务器将服务请求转交远程服务器，从而实现客户机和远程服务器之间的联系。使用代理服务器后，其它用户只能探测到代理服务器的IP地址而不是用户的IP地址，这就实现了隐藏用户IP地址的目的，保障了用户上网安全。二是使用一些隐藏IP的软件，如赛门铁克公司的Norton Internet security,不论黑客使用哪一个IP扫描工具，都会告诉你根本没有这个IP地址，黑客就无法攻击你的计算机了。5.2 更换管理及账户

Administrator账户拥有最高的系统权限，一旦该账户被人利用，后果不堪设想。黑客入侵的常用手段之一就是试图获得Administrator账户的密码，所以我们要重新配置Administrator账户首先为Administrator账户设置一个强大复杂的密码，然后我们重命名Administrator账户再创建一个没有管理员权限，也就在一定程度上减少了危险。在WINDOWSXP系统中打开控制面板，单击“用户帐户/更改帐户”，弹出“用户帐户”窗口，再点“禁用来宾账户”即可。防火墙概述

6.1 防火墙定义

在计算机网络中，防火墙是指一种将内部网和公众访问网分开的方法，它实际是一种隔离技术，它允许“可以访问”的人和数据进入网络，同时将“不允许访问”的人和数据拒之门外，最大限度地阻止网络中的黑客来访问网络，如果不通过防火墙，人们就无法访问Internet，也无法和其它人进行通信，它具有较强的抗攻击能力，提供信息安全服务，实现网络和信息安全的基础设施。6.2 防火墙的功能

防火墙的访问控制功能；访问控制功能是防火墙设备的最基本功能，其作用就是对经过防火墙的所有通信进行连通或阻断的安全控制，以实现连接到防火墙上的各个网段 郑州电子信息职业技术学院2011届毕业论文 的边界安全性，为实施访问控制功能，可以根据网络地址、网络协议以及TCP UDP端口进行过滤；可以实施简单的内容过滤，如电子邮件附件的文件类型等可以将IP与MAC地址绑定以防止盗用IP的现象发生，可以对上网时间段进行控制，不同时段执行不同的安全策略。防火墙的访问控制采用两种基本策略，即“黑名单”策略和“白名单”策略，指除了规则允许的访问，其他都是禁止的。支持一定的安全策略，过滤掉不安全服务和非法用户。利用网络地址转换技术将有限的IP地址动态或静态地址与内部的IP地址对应起来，用来缓解地址空间短缺的问题。可以连接到一个单独的网络上，在物理上与内部网络隔开并部署WWW服务器和FTP服务器，作为向外部外发布内部信息的地点。防火墙支持基于用户身份的网络访问控制，不仅具有内置的用户管理及认证接口，同时也支持用户进行外部身份认证。防火墙可以根据用户认证的情况动态地调整安全策略实现用户对网络的授权访问。6.3 防火墙技术

按照实现技术分类防火墙的基本类型有：包过滤型、代理服务型和状态包过滤型。包过滤技术；包过滤通常安装在路由器上，并且大多数商用路由器都提供了包过滤的功能。包过滤是一种安全筛选机制，它控制哪些数据包可以进出网络而哪些数据包应被网络所拒绝。包过滤是一种通用有效的安全手段。它在网络层和传输层起作用。它根据分组包的源宿地址端口号及协议类型，来确定是否允许分组包通过。包过滤的优点是它对于用户来说是透明的，处理速度快且易于维护，通常作为第一道防线。

代理服务技术；代理服务系统一般安装并运行在双宿主机上，使外部网络无法了解内部网络的拓扑，比包过滤防火墙安全，由于安全性比较高，所以是使用较多的防火墙技术。代理服务软件运行在一台主机上构成代理服务器，负责截客户的请求。根据安全规则判断这个请求是否允许，如果允许才能传给真正的防火墙。代理系统是客户机和真实服务器之间的中介，完全控制客户机和真实服务器之间的流量并对流量情况加以记录，它具有灵活性和安全性，但可能影响网络的性能对用户透明，且对每一个服务器都要设计一个代理模块，建立对应的网关层实现起来比较复杂。

代理服务技术的优点：1.提供的安全级别高于包过滤型防火墙。2.代理服务型防火墙可以配置成惟一的可被外部看见的主机，以保护内部主机免受外部攻击。3.可能强制执行用户认证。4.代理工作在客户机和真实服务器之间，完全控制会话，所以能提供较详细的审计日志。郑州电子信息职业技术学院2011届毕业论文

状态检测技术；状态检测防火墙在网络层由一个检测模块截获数据包，并抽取与应用层状态有关的信息，并以此作为依据决定对该连接是接受还是拒绝。检测模块维护一个动态的状态信息表，并对后续的数据包进行检查。一旦发现任何连接的参数有意外的变化该连接就被中止。这种技术提供了高度安全的解决方案，同时也具有较好的适应性和可扩展性。状态检测防火墙克服了包过滤防火墙和应用代理服务器的局限性不要求每个被访问的应用都有代理，状态检测模块能够理解各种协议和应用以支持各种最新的应用服务。状态检测模块截获分析并处理所有试图通过防火墙的数据包，保证网络的高度安全和数据完整网络和各种应用的通信状态动态存储更新到动态状态表中，结合预定义好的规则实现安全策略，状态检测不仅仅对网络层检测而对OSI七层模型的所有层进行检测，它与前面两种防火墙技术不同，当用户访问请求到达网关的操作系统前，状态监器要抽取有关数据进行分析，结合网络配置和安全规定做出接纳拒绝，身份认证，报警或给该通信加密等处理动作。状态检测技术的特点：安全性、高效性、可伸缩性和易扩展性。

6.4 防火墙系统的优点

可以对网络安全进行集中控制和管理；防火墙将受信任的专用网与不受信任的公用网隔离开来，将承担风险的范围从整个内部网络缩小到组成防火墙系统的一台或几台主机上在结构上形成了一个控制中心，大大加强了网络安全性，并且简化了网络管理。由于防火墙在结构上的特殊位置，使其方便地提供了监视管理与审计网络的使用及预警。为解决IP的地址危机提供了可行方案。由于Internet的日益发展及其IP地址空间的有限，使用户无法获得足够的注册IP地址，防火墙系统则正处于设置网络地址转换NAT的最佳位置，NAT有助于缓和IP地址空间的不足，并使得一个结构改变Internet服务提供商时而不必重新编址。防火墙系统可以作为Internet信息服务器的安装地点，对外发布信息。

6.5 防火墙系统的局限性

防火墙系统存在着如下局限性：常常需要有特殊的较为封闭的网络拓扑结构来支持，对网络安全功能的加强往往以网络服务的灵活性、多样性和开放性为代价。防火墙系统的防范对象来自外部对内部网络攻击，而不能防范不经由防火墙的攻击。比如通过SLIP或PPP的拨号攻击，绕过了防火墙系统而直接拨号进入内部网络，防火墙对这样的 7 郑州电子信息职业技术学院2011届毕业论文

攻击很难防范。防火墙在技术原理上对来自内部网络系统的安全威胁不具备防范作用。比如不能防范内奸或由用户造成的危害。结论

网络的迅速发展，给我们的工作和生活带来了巨大的改变。在网络日益复杂化，多样化的今天，安全受到人们越来越多的关注。如何保护各类网络和信息的安全，成为人们研究的焦点，其中防火墙是运用非常广泛和效果最好的选择。但是，防火墙技术也有它的不足之处，为了更好的维护网络安全，还需要其他的技术相结合，以及更先进的技术的发现。郑州电子信息职业技术学院2011届毕业论文

参考文献

[1] 邓亚平.计算机网络安全[M].北京:北京人民邮电出版社.2004.50-75.[2] 冯 元.计算机网络安全基础[M].北京:科学出版社.2004.120-150.[3] 穆红涛.Internet实用技术[M].北京:大连理工大学出版社.2005.150-198.[4] 张仕斌.网络安全技术[M].北京:清华大学出版社.2001.17-38.[5] 梁亚声.计算机网络安全技术教程[M].北京:机械工业出版社.2004.110-187.郑州电子信息职业技术学院2011届毕业论文

致 谢

首先，我要特别感谢***老师对我的悉心指导，在本文完成期间他帮助我收集文献资料，理清设计思路，指导方法。**老师渊博的知识、严谨的学风、诲人不倦的态度和学术上精益求精的精神使我有了进一步的提高。

防火墙技术及应用 篇6

[关键词]防火墙技术 网络安全 工作原理 具体应用

[中图分类号] G71 [文献标识码] A [文章编号] 16746058（2016）330128

如今计算机网络普遍存在于各个地区，无论是住宅还是企事业单位，都离不开对网络技术的应用。人们通过网络数据来了解实时信息以及处理日常事务。由于计算机网络具有一定的互传性和连通性，因此在数据传播的过程中无法保证安全性，导致隐私易受到侵害，而随着计算机网络的频繁使用，被入侵的概率也随之增加。据调查，有超过63%的计算机用户在2006年内曾被攻击和入侵。其中不仅包括企事业单位，也包括住宅以及学校等。因此，为防止侵入现象进一步扩大，必须利用防火墙来进行阻挡，以确保并提高公共网络或家庭网络的安全性。

一、防火墙概述及其工作原理

防火墙属于计算机程序的一种，它是能够将本地网络与外界网络进行隔离并且形成防御的一种可执行控制策略的系统。它能够对外界网络即将进入本地网络的数据及信息进行严格筛选和检查，通过对该数据的运行状况、类型以及具体内容进行过滤，将不明确或危险的不良数据隔离在外，对防火墙系统认为安全的数据允许传入本地网络中，有效实现其隔离性以及安全性。从逻辑上讲，防火墙既是一个分析器又是一个限制器，它要求所有进出网络的数据流都必须有安全策略和计划的确认及授权，并将内外网络在逻辑上分离。防火墙可以是纯硬件的，也可以是纯软件的，还可以是软硬件兼而有之的。

二、防火墙技术在网络安全中的应用

1.防火墙技术应用于网络安全屏障保护

由于企事业单位及其他单位需要利用网络技术来进行日常工作和档案储存管理，而一些外部人员会对其档案和相关资料进行窃取，侵害企事业单位及其他单位的利益。因此，该单位可以在内部网络和外界网络间建立防火墙，利用防火墙技术来阻挡外界入侵病毒或其他程序，保证内部程序和相关数据的安全。利用防火墙技术并按照防火墙技术特定的规则对外来数据进行识别和筛选，将危险数据挡在防火墙外，有效地降低外界入侵企事业单位或其他单位数据库的风险，从而避免了网络遭受基于路由的攻击和破坏，有效地保障了内部网络的安全性。

2.防火墙技术应用于网络安全的策略

部分特定单位的档案及相关资料较为机密，因此需要对防火墙进行加密或加固。此时该单位应对防火墙的配置进行加强，通过设置以防火墙为主的安全策略来提高对内部网络的保护。首先，应根据需要将口令、身份认证以及其他加密手段对防火墙进行设置，以此来提高防火墙的保护程度。其次，在控制面板上设定防火墙基础信息，利用将动态网址和静态网址转换的方法提高防火墙的安全性能。再次，将整个网络系统的安全策略应用添加到防火墙的安全策略当中， 使各个安全策略稳定运作，最大限度地实施防火墙的防护功能。该形式不仅安全性强，且投入成本少，而起到的防护效果也有所提高。

3.防火墙技术应用于网络存取和访问监控

由于防火墙自身具有一定的监控审计能力，因此大部分用户都会利用防火墙对内部互联网动态以及活动进行记录及审查。如果有外来互联网用户或数据对设有防火墙的计算机进行访问，防火墙将自动开启监控功能对其进行审查。一旦发现有异常，防火墙则会立即根据外来网络的风险评估数据进行判断，以弹出窗口的形式向计算机使用者发出警告，并实时对外部网络的监控情况进行记录。为使用者提供便利的同时也为其提供外来入侵网络的部分资料以及一定参考，让使用者能够在第一时间进行调整和处理，有效地减少外来风险。

此外，防火墙也具备一定的存取功能。企事业单位可以通过利用防火墙的存取功能对内部网络的使用情况进行存储和提取，将其作为日后调整防火墙对内控制程度的相关参考资料，并有效减少和防止内部出现消息泄露等现象，降低内部出错并且规避风险。

如今网络技术已广泛运用于我国各个企事业单位、国家单位以及居民生活中，不仅为人们的日常生活和工作带来便利，同时在促进社会发展以及科技进步等方面具有重要作用。随着网络类型的不断增加，不仅提高了网络环境的风险，同时对企事业单位及个人等相关保密数据也造成一定威胁，因此，合理利用防火墙技术，保护内部网络安全的同时防止外来风险入侵网络，对保护单位和个人的隐私及财产起到至关重要的作用。

防火墙技术及应用 篇7

1 计算机网络安全隐患的内容及分类

计算机网络安全的含义是指利用相应的网络管理控制措施和技术措施, 对当前网络环境中用户数据的保密性、完整性及可使用性提供保护的一系列活动。具体来讲, 计算机网络安全的内容包括管理控制网络的软件、机内储存的资源信息、方便快捷的网络浏览服务、计算机自身的硬件等。计算机网络安全可以分为两个方面, 分别是物理安全和逻辑安全, 物理安全指的是计算机系统设备及其相关设备的物理安全性, 防止受到破损和丢失等;逻辑安全则指的是网络范围内储存信息的安全性、完整性、保密性和可用性。计算机网络安全隐患, 就是指对以上网络安全能够造成一定安全风险的隐患。具体来讲, 能够给计算机网络造成安全隐患的因素主要包括以下两个方面:

1.1 人为因素造成的计算机网络安全隐患

人为因素造成的计算机安全隐患是指由于人的自觉或者不自觉的行为造成的计算机安全问题的发生, 包括使用者在使用计算机网络时不小心对网络中存储的信息格式化或者删除、对计算机的硬件线路不小心缠绕过深引起硬件损坏或线路烧毁等, 这些都是不自觉的行为造成的计算机网络安全隐患类型;自觉的行为造成的计算机网络安全隐患大多是由于违法分子依据计算机网络安全中存在的漏洞或非法进入计算机机房盗取计算机网络中存储的信息资源或对计算机系统的安全防护机制进行修改盗取控制, 破坏计算机的硬件组成部分, 编制计算机病毒散播出去, 导致用户无法完整使用计算机网络功能或私密信息被窃取等。这种非法行为是造成计算机安全威胁的主要原因, 在计算机网络安全隐患因素中占据了相当一大部分的比例。防火墙技术在计算机网络安全中的应用就是对人为因素造成的安全问题的解决措施。

1.2 自然原因造成的计算机网络安全隐患

自然原因造成的计算机安全隐患主要是指由于自然天气因素及计算机网络设备的自然老化等造成的计算机网络安全存在一定的隐患。以雷雨天气下发生的对计算机硬件的雷击现象为例, 雷击造成计算机硬件发生破坏并且信息资源发生丢失的现象就是由于自然原因造成的计算机网络安全问题。除此之外, 一般自然原因造成的计算机网络安全隐患都是间接性质的, 例如计算机硬盘的老化不可使用、温度过高造成的计算机系统无法正常运转等。

2 防火墙技术在计算机网络安全中的运用

防火墙技术, 也可以称为防护墙技术, 是一种位于用户自身计算机内部与外围网络连接之间的网络安全系统, 由计算机系统内部软件及相应的硬件设备综合组成, 能够在用户内部网络和外部网络 (私人网络与公共网络) 之间构建一种类似于保护屏障的计算机安全保护系统, 构建目的是为了保护用户的私人网络免受外部非法用户的入侵。防火墙系统主要组成部分包括服务访问规则、验证工具、包过滤和应用网关四个部分, 在计算机网络中安装了防火墙系统之后, 所有经过当前计算机网络的通信和数据包都要经过防火墙的检查, 对防范外来非法用户夹杂在数据通信中的计算机病毒提供有力的技术保障。简单来讲, 就是无论是外来信息主动连接用户的私人网络还是用户的私人网络主动访问外界信息, 这期间两者信息的交换都必须通过防火墙信息通讯和数据包的鉴别, 如果防火墙发现外界信息有任何不符合防火墙技术要求的地方, 那么两者之间的连接都是无法建立的, 即外界信息无法连接到用户的私人计算机, 用户的私人计算机也无法连接到外界信息。

2.1 防火墙技术的种类

防火墙技术的种类根据不同的划分方法也有不同的类型。根据建立结构来区别, 防火墙技术可以分为代理主机结构和路由器加上过滤器综合组成的结构两种类型。根据系统建立时使用技术的原理不同, 防火墙系统又可以分为特殊设计的硬件防火墙系统、以数据包过滤为主要内容的防火墙系统、电路层网关和应用层网关四种。用户可以对这四种类型综合选择, 运用多种技术类型综合构建防火墙系统, 保证自己计算机网络的信息安全。网络层防火墙系统主要是报文过滤技术的运用和构建, 主要原理是通过网络协议上的IP地址设定, 只允许拥有安全IP地址和网络协议的外来用户连接或信息通过, 其余的网络连接一概拒绝, 被统一关在防火墙门外。值得注意的是, 这种防火墙技术无法做到对外来用户网络协议及IP地址的有效识别, 如果非法入侵者盗取别的用户的健康地址和网络协议, 那么也是可以进入到用户私人计算机网络中的, 同时这种技术无法对外来病毒进行有效的抵挡;应用层防火墙是借由计算机中的TCP/IP堆栈应用层构建而成, 能够对通过某些应用程序的数据包进行网络封锁, 从而封锁该应用程序所有的数据流进入到用户私人计算机网络中。这种防火墙技术能够有效防范电脑蠕虫以及木马程序的快速蔓延并对其做到有效识别, 但是由于外来程序的复杂性及繁多的特点, 防火墙需要防备的软件太多, 工作量十分巨大;数据包防火墙技术则是以数据库协议分析与控制技术为基础的数据库安全防护系统, 能够实现对用户计算机数据库的主动防御, 对外来用户的访问、危险操作及可疑行为进行分辨和控制。

2.2 防火墙技术在计算机网络安全中的应用

防火墙技术在计算机网络安全中的应用和实施可以从以下方面具体分析, 首先, 防火墙技术能够对用户计算机的路由器进行屏蔽, 也就是对用户计算机与外界网络连接的唯一方式进行关闭与否的控制行为。当前计算机技术中, 路由器作为计算机与外界网络连接的必经通道, 用户与外界网络的所有连接信息与交换数据包都会经过路由器通道来实现, 而防火墙系统能够通过在路由器上设立的报文过滤技术来对数据包及外界信息的IP地址进行分辨和过滤, 对那些不健康或有一定危险程度的IP地址进行封锁, 从而有效保护用户私人计算机网络的安全。当前很多计算机中的路由器都会装有报文过滤的配置选项, 以便用户对外来用户的IP进行过滤。

其次, 防火墙技术能够对主机网关进行屏蔽。技术原理是在计算机内部网络中建立类似的内部堡垒主机, 内部堡垒主机通过路由器与外部网络进行连接并对外部网络发送过来的信息和数据包进行分辨和审查, 将内部堡垒主机作为用户私人计算机与外界网络连接的唯一连接点, 从而保护用户私人计算机的网络安全, 保证即使受到外部信息的攻击也只是内部堡垒主机遭受攻击, 用户内部网络的安全性依然良好。同时, 如果用户的私人计算机网络是一个虚拟扩展的本地局域网, 并没有子网和路由器等有关网络连接的配置, 那么内网的变化就无法影响到用户计算机中内部堡垒主机和屏蔽路由器的配置。屏蔽主机网关在保护网络时具有相关的控制和保护策略, 主要由安装在网关中的软件决定, 一旦外来入侵者登陆到用户网关上, 将会对内部网络中的主机造成非常严重的安全威胁。

另外, 防火墙技术还能对用户的子网进行屏蔽。技术原理是在用户内部网络和外接网络之间建立一个完全隔离的子网, 用户可以使用两台分组过滤路由器将这一子网与内部网络和外界网络完全隔离。在屏蔽子网的体系结构中, 有一台主机专门与内部网络的主机连接, 使用其与内部网络的主机进行网络连接及相关信息的交换, 而另外一台主机则与外部网络连接, 外来网络与用户计算机网络之间的信息交换则通过已经设置好的子网空间进行交流, 通过两个主机对信息的分别过滤和子网空间的建立来保证外来信息不会对用户私人计算机网络造成任何信息交换过程中的安全问题。

最后, 防火墙技术还能够解决用户计算机网络安全中的其它安全隐患, 包括对用户计算机储存信息的即时备份和镜像技术来保证用户信息数据的完整性、安全性, 防止信息突然丢失给用户造成的相关损失;同时, 防火墙技术还能够通过自身对外来病毒信息的不断记录和补丁安装及自身技术系统的升级, 从而有效防范非法入侵者通过网络病毒对用户的计算机网络安全造成威胁;防火墙技术还能够帮助用户对机密信息进行加密以提高用户信息的安全性, 保证计算机网络的安全。

结语

防火墙技术是目前应对网络非法攻击, 保护用户私人计算机网络安全的主要技术手段, 然而计算机网络除了会遭受到外来网络的非法入侵以外, 还会遭受到其它不同因素造成的安全威胁, 用户应该积极应用防火墙技术, 综合运用多种防火墙技术类型构建计算机防火墙系统, 同时做好对计算机硬件、软件、信息交流、工作生活使用中的相关保护工作, 做好对计算机网络的全面保护, 保证用户的计算机网络安全不会受到影响。

参考文献

[1]顾永仁.基于防火墙的网络安全技术分析[J].网络安全技术与应用, 2014 (04) :148+151.

[2]马利, 梁红杰.计算机网络安全中的防火墙技术应用研究[J].电脑知识与技术, 2014 (16) .

木结构建筑防火技术研究及应用 篇8

一、木结构建筑概述

木结构建筑是我国最典型的建筑结构之一, 中国是使用木结构建筑最早的国家, 至今已有几千年的发展历史, 并且我国现今仍然保存着大量的历史木结构建筑。木结构建筑具有非常高的历史研究价值、科学价值以及艺术价值, 是中华民族最重要的历史文化遗产之一。在20世纪50年代, 木砖形式的组合结构在我国建筑领域有着极其广泛的运用, 之后由于森林中的树木被大量的砍伐, 木材的减少导致木结构建筑在20年之后的发展停滞不前。从我国上世纪90年代开始, 一些发达国家的木质结构型建筑开始被引入我国, 并在很多城市中得到了广泛的应用。

随着我国社会经济的快速发展, 国民的生活质量一直在逐步的提高, 人们对于居住的条件也越来越讲究, 不断的在居住面积、舒适度以及环保等方面提出新的要求, 这也为木结构建筑在我国的发展奠定了基础。

二、木结构的防火机理分析

对于木结构的建筑来说, 人们最关心的就是它的防火问题, 因为只有拥有了良好的防火措施, 人们才能安心的入驻。现代社会的木结构建筑经过了几十年的发展和改进已经具备了较为完善的建筑体系, 与之相配套的防火规范要求也相当健全。只要木结构的相关设计人员严格遵守防火技术规范, 那么他所建造的木结构建筑就必然可以满足防火安全的要求。下面我们就根据不同的木结构体系来具体谈一下它们的防火机理[1]。

1. 轻型木结构的防火措施

所谓轻型木结构的建筑构成主要包括木材、墙体、楼板以及房顶等部分, 这类建筑结构的防火安全性能主要是由墙体、楼板和房顶等相关组成部分的耐火性能和燃烧性能来决定的, 而与结构中使用木材的燃烧性能大小并不存在太大的关系。轻型木结构在构建墙体框架时, 一般都采用拥有高强度耐火性能的石膏板来对墙体表面来进行覆盖处理, 同时在轻型木结构建筑的龙骨空腔中填充的也都是不可燃的矿物纤维保温材料, 以此来提高建筑构件的耐火性能, 使建筑物满足防火规范的要求, 保障人们的人身和财产安全。

2. 重型木结构的防火措施

在建造重型木结构建筑的过程中, 由于起支撑作用的承重木梁以及木柱的截面面积都较大, 这样就必须选用实木、胶合木作为木建筑的原材料。在重型木结构的实际建造过程中, 充分的发挥木梁、木柱的作用, 能够完美的展现出木结构建筑的美感。由于作为主要建筑材料的木梁和木柱都是较为易燃的材料, 那么就必须重视建筑的防火安全。在重型木结构的施工过程中可以通过控制木构件的尺寸、木楼板组合方法选择以及消除掉楼板与屋顶之间存在的隐秘空间等办法来最大程度的提高木结构建筑的防火性能。大量的木结构建筑耐火实验已经证明, 假如重型木结构存在较大的截面尺寸, 那么这个木结构建筑就会拥有较强的耐火性能, 究其原因主要是因为大截面的木质构件在遇到火时会在表面上形成一个碳化层, 这种碳化层可以很好的隔绝空气和热量, 使木构件内部的燃烧速度逐渐降低。因此, 我们在设计重型木结构建筑的过程中, 需要根据设计荷载量以及耐火性能等必要因素来确定木质构件的截面尺寸。

3. 木结构组合的防火措施

所谓木结构组合主要是指建筑物是由木质材料和钢筋、水泥、混凝土等材料共同组合而成的建筑结构体系。木结构组合在建造过程中, 建筑设计人员可以根据不同的需求来选择不同的建筑材料, 这样可以充分的发挥出不同建筑材料的优良性能, 从而实现整个建筑性能的提高, 还可以有效的节约建造成本, 实现利益最大化[2]。

在建造木结构组合建筑时, 通常有两种组合形式可以选择, 其一是竖向组合建造, 其二是在木骨架组合中填充墙体和木结构楼板。所谓竖向组合建造是指将建筑物的上半部分采用木结构设计, 这部分是可以燃烧的材料, 在建筑物的下半部分采用钢筋、混凝土等其他类型的建筑材料, 这部分是不可燃烧的材料, 在这两部分之间, 我们可以用不可燃的楼板将其隔离, 这样就可以有效的防止火灾的发生。这种类型的建筑主要适用于上半部分办公、居住, 下半部分进行商业活动。除了竖向组合建造之外, 就是水平组合建造, 然而我们生活中很少有此类型的建筑物出现。木骨架填充墙体这种建筑类型的建造特点是在木骨架的外部覆盖上一层墙面板, 并在其中的空隙中填充上能够保温、隔音、隔热的材料, 然而需要注意的是, 这种木结构的墙体不能够作为承重墙来使用, 其更多的是在混凝土建筑物中作为非承重墙以及内隔墙使用。

三、木结构建筑的防火措施

由于木材属于易燃物质, 因此在建筑使用过程中需要对其做阻燃处理从而提高它的可燃性能等级。在对木材进行阻燃处理时最常用的方法就是将阻燃剂涂在木材的表面, 这样就可以有效的抑制高温下木材的热分解以及氧化反应。木材在进行阻燃处理时, 需要选择至少两种类型的阻燃剂进行混合后才能够使用, 这样可以有效的强化阻燃剂的阻燃作用。常见的木材阻燃剂有磷系阻燃剂、氮系阻燃剂以及硼系阻燃剂等, 木材在经过阻燃处理后就能够大幅度的提升抗火性, 使其燃烧性能得到有效的改变, 但是需要注意的是这种做法并不能够改变木质构件的耐火性能。

摘要：木结构建筑在中国拥有非常悠久的历史, 并广泛应用在社会生活中的各个方面。木结构建筑之所以受到人们的喜爱, 是因为它与其他类型的建筑材料相比更加舒适和便利, 然而木建构建筑虽然有其优势, 但是它在人类生活中引起火灾的隐患也比较突出。本文对木结构建筑进行了详细的分析, 主要阐述了不同类型的木质结构的防火机理, 旨在根据木质结构的类型不同, 制定相应的防火措施, 从而最大程度的降低木结构建筑在火灾中的损失。

关键词：木建构建筑,防火措施,技术研究,安全

参考文献

[1]沈广安.木结构建筑防火研究[J].科技经济导刊, 2016, (01) :4-5.

防火墙技术及应用 篇9

随着计算机网络的迅速应用和推广，与企业和政府信息数字化进程的加大，现存企业的网络系统构造日益复杂。复杂的网络构造使很多的安全隐忧得到了暴露，对网络安全的需要也以空前的态势迅猛增加。怎样做到让网络安全实现对于业务高速发展的满足，渐渐成了很多人重视的关键问题。对于现代企业机构来说，网络是企业部门之间协调沟通的基础平台，是整个企业运营的根本保障，因此网络系统的安全性对于企业部门来说是非常重要的。大多数企业在网络建设初期都遭遇过不同的网络安全事件，它们也因此实施了简单的安全网络技术和架。

防火墙是企业网络安全的基石。一旦一个公司建立了防火墙，最关键的管理任务是正确配置防火墙和安全规则[1]。防火墙的配置包含一组庞大的访问控制规则，每个规则指定源地址、目的地址、源端口、目的端口，一个或多个协议ID和一个适当的功能。这个功能是典型的“接受”或“拒绝。“一些防火墙可以支持其他类型的功能，如发送日志消息，应用一个代理，通过匹配包成一个VPN通道[3]。对于大多数防火墙来说，规则集是对命令敏感的[4]。由于规则的多维性质(包括源/目的地址和端口)，随着规则数的增加防火墙的性能会随之降低。商业部署防火墙通常伴随着成千上万的规则，以至于出现了网络性能中的瓶颈。更重要的是，经验事实表明，防火墙规则集的大小由于配置错误数量的增加而急剧增加[5]。一个复杂的规则集可以很容易地导致网络错误和不良配置。此外，胡俊等设计了一种安全的混合访问控制模型，提出了事前建立访问控制基线、事中监测与仲裁威胁和事后审计与追溯的云计算安全访问控制机制[6]。胡鹤等针对网络攻击行为利用攻击图模型分析、预测攻击路径并进行定量分析。最终利用部分马尔科夫博弈(POMG)算法进行最优主动响应策略选择[7]。程叶霞等提出了一种新型的基于攻击图模型的网络安全评估方法帮助网络安全管理员更有效地管理整个网络[8]。秦拯等提出一种基于双向去冗余的高吞吐量协作防火墙优化方法，提高整个协作防火墙的数据包过滤能力[9]。田志宏等提出了一种基于上下文验证的网络入侵检测模型，实现攻击行为自动判定和虚警滤除[10]。

通过对许多组织包括电信公司和金融机构采用的防火墙规则集的分析，Wool量化了规则集的复杂性。通过公式表示，其中，R是集合中规则的数目，O是大量的网络对象引用的规则，I是在防火墙中网络接口的数量。网络对象的数量和接口的数量通常远小于规定的数量。因此，它是非常重要的保持防火墙的规则集尽可能小的规则，以便减少安全漏洞被发现的机会[11]。在一个多防火墙的网络中，减少规则的数目不仅需要多防火墙的局部优化，也需要全局优化。本文研究在多防火墙网络中如何最小化最大规则集，尽管它在企业的应用中非常重要，但是它至今未被充分研究。

1 问题定义

1.1 网络模型

本文主要考虑一个安全敏感的企业网络，该网络通过防火墙进行域名(子网)的彼此连接。假设域内的安全是合理执行的。本文主要针对域间的访问控制。进一步假设在多防火墙网络中，动态路由是关闭的，而静态路由是用来链接域内的通信，这种模式是当今在银行或其他企业中普遍采用的管理模式，也提出了对企业的更高级的安全需求[12]。事实上，一些流行的防火墙(比如，很多思科PIX模型)不支持动态路由协议。用静态路由、鲁棒性的实现是通过使用双重防火墙。在防火墙中使用静态路由的一个直接后果就是对网络安全的高复杂性管理要求。它有许多实用的优点。首先，它可以确保通信流全部通过他们指定的防火墙，这样可以在适当的地方强化安全策略的执行[13]。第二，在复杂的网络环境中对可预测的路由路径进行简化的安全分析，因此，减少在防火墙配置中出错的机会。第三，大多数现有的动态路由协议是不安全的。通过不安全的路径，假冒路由广告可以转移流量，并且数据包可能被复制或篡改。注意，动态路由只要不跨越一个域间防火墙，他将在每个域内进行执行[14]。

1.2 符号说明

假设N表示n个域的集合和M表示m个防火墙的集合。每个防火墙有两个或多个网络接口。不同的防火墙可能有不同数量的接口。一个网络接口可以连接到任何域，形成一个物理链路和域之间的防火墙。在本文的模型中，两个防火墙不直接链接对方，否则，将把它们作为一个防火墙采用共同的接口;两个域并不直接相连，否则，我们将把它们作为一个域。e表示可用在所有防火墙中的网络接口的总数。在拓扑结构中，链接的最大数量是有界的，通过e表示。

对于每一对域x,y∈N，有一组的R(x,y)访问控制规则，定义从域x到域y的信号流。规则集的优化不在本文的研究范围内。让r(x,y)=|R(x,y)|。同样，规则的数目从域y到域x，通过r(y,x)表示。两个域之间的总规则的数量是r(x,y)+r(y,x)。一旦x和y路由器之间的路径确定，防火墙将沿着这些路径进行建立。每个防火墙可能位于路由器中两个域之间，其规则集将是位于众多域之间的规则的总和。

如图1所显示的，通过一组防火墙，有很多方法来连接一组域。对于任何网络拓扑结构，有不同的方法来设计路由器路径。一般来说，当我们改变网络拓扑结构和路由路径时，规则集需执行的防火墙将是不同的。

图1中，通过防火墙f1,f2,f3连接的域x,y,u,v。防火墙的接口数量分别为:2、3和2。

2 防火墙优化的启发式方法

本文提出了一个解决防火墙优化问题的启发式算法HAF(Heuristic Algorithm for firewall)。本文提出的算法主要围绕防火墙的位置放置问题FPP(firewall placement problem)，通过放置位置的优化，最小化最大规则集的数目。HAF的输入是一个规则图Gr,M集合表示防火墙的数量。最初的拓扑图形Gt未连接防火墙的路径，但是另一个问题的部分或全部拓扑结构[15]。

对于FPP,Gt最初是一个没有链接的拓扑图，包含有n个节点和m个防火墙。对于每个边缘<x,y>在Gr，插入最优路径(Gt,x,y)子程序被调用的启发式算法如下:

1．定义域x和域y之间的可行路径集合。

2．在所有可行的路由路径中找到最小化最大规则集的x和y之间的最优路由路径。

3．插入最优路由路径到Gt中。

HAF算法的伪代码如下:

HAF的输出是一个完整的拓扑图形Gt，包括域和防火墙作为节点，连接链接域和防火墙、路由表。步骤2和步骤3的循环过程是对Gr中边缘集合<x,y>的处理，该处理是在(r(x,y)+r(y,x))降序排列的基础上的，反映了域x和域y之间的总的规则数。在Gt的每次迭代中，拓扑图形领域通过为循环Gt插入一个路由路径方式实现持续增长。如图2、图3所示。

域的路径表如表1所示。

防火墙的路径表如表2所示。

针对防火墙优化的启发式方案，对相关性能进行了分析和对比。通过用散列表匹配算法与HAF算法做了最小化防火墙规则集大小的比较测试，结果如图4所示。其中防火墙数量的最大值为20，散列表空间为2347。防火墙数量(N)从20减少到0时，HAF算法使得防火墙规则集大小降了30%。而散列表算法只是在散列表表项查找冲突时防火墙规则集大小有所下降。可见，随着防火墙数目的减小，HAF算法比散列表匹配算法更能够有效地降低防火墙规则集数目的目的。证明了本文所提出算法的性能和有效性。

3 仿真实验

本节中评估了HAF算法对FPP的性能。在仿真实验环节，将实现两个简单的算法，分别称为树拓扑算法(TTA为简洁起见)和完整的拓扑算法(FTA为简洁起见)。

对于一个给定的FPP问题，首先构造一个树TTA拓扑，它定义了独特的任何两个域之间的路由路径。构建拓扑树时，算法首先选择一个域作为根节点。一定数量的防火墙将会被选作为根节点的子节点，即:第二层次的树。本文选择防火墙的方式是采用数字接口的降序排列。对于每个二级防火墙，一定数量的域将会被选作为子节点的子节点，即作为第三层次。重复该过程直到拓扑树包括所有领域内的防火墙。偶数层次的树表示防火墙，而奇数层次的树表示域。防火墙的数量受限于网络接口的数量。根据防火墙的数量，同时限制域的数量。

FTA首先根据TTA的做法构造一个拓扑树。它然后利用所有剩余的空闲的防火墙接口，通过链接从每个自由接口域随机进行选择。之后，通过最短路径算法的运行得到域与域之间的最短路径。

默认的仿真参数如表3所示。每一次仿真运算模认的参数值将被改变一次。这里n是域的数量和m是防火墙的数量。表示防火墙f中网络接口的数量，是防火墙f中网络接口的平均值。在域对<x,y>之间，是r(x,y)的平均值，同时，r(x,y)>0。p是任意域对<x,y>中，r(x,y)+r(y,x)>0的概率。

图5-图8显示三种不同方法的仿真结果。在所有仿真中y轴表示防火墙最大的规则集尺寸(maxf∈M{w(f)})。x轴是其中的一个参数。通过三种方法的比较，证明了本文提出方法的有效性。

参数为:10≤n≤120,m=40,,p=0.7。如图5所示。

通过图5可以看出，在防火墙的数量一定、网络接口的平均值一定、域对一定的情况下，随着域的数量的增加，在防火墙最大规则集数目的增加上，本文提出方法是最小的，证明了本文所提方法的有效性。

参数为:n=120,m=40,,p<0.7。如图6所示。

通过图6可以看出，在域的数量一定、防火墙的数量一定、网络接口的平均值一定的情况下，随着域对的数量的增加，在防火墙最大规则集数目的增加上，本文提出方法是最小的，证明了本文所提方法的有效性。

参数为:n=100,m=40,,p=0.7。如图7所示。

通过图7可以看出，在域的数量一定、域对的数量一定、网络接口的平均值一定的情况下，随着防火墙数量的增加，在防火墙最大规则集数目的增加上，本文提出方法是最小的，证明了本文所提方法的有效性。

参数为:。如图8所示。

通过图8可以看出，在域的数量一定、域对的数量一定、网络接口的平均值一定的情况下，随着p的增加，在防火墙最大规则集数目的增加上，本文提出方法是最小的，证明了本文所提方法的有效性。

4 双防火墙技术在企业中的应用

某企业原有的内在信息网和其它第三方或互联网络间未有防火墙的设置，源于对内在信息网的信息安全性考虑，以企业管理高层的要求为依据，应该进行对双层防火墙策略的设置。但是与该企业的实际状况相结合，摆着眼前的难题是怎样对合适的网络构造和网络装备进行规划，能够让双层防火墙构造不仅充分展示该有的用途和功能，又对整体和局部网络的功能没有影响。本文将上面文中对于防火墙进行改良的措施和对于网络的概念加以整合，对这一企业的防火墙网络安全策略进行了设计与制定。

设计出了如图9所示的网络布置图。

防火墙的具体设置如下:

(1)各个接口IP:FE2:192.172.1.248/27

(2)静态路由:目的IP为192.172.0.0/24，网关为192.172.1.254

目的IP为10.0.0.0/8，网关为10.198.0.62

(3)缺省路由:192.173.1.2

(4)访问规则:

规则1:全体工作网络采访互联网络。

规则2:部分工作网主机探访部分生产网络的指定端口。

规则3:工作网络和内在生产网络能够探访培训服务系统、OA服务系统、防火墙日志服务系统和DMZ区域内的病毒升级服务系统。

规则4:从外在网络系统运用VPN对内在生产网络进行访问时，准许VPN虚拟IP对内在生产网络的部分服务器的指定端口进行访问。

(5)NAT转换:从外在网运用VPN对内在生产网络进行访问时，需要将VPN虚构IP转化成10.198.0.67。

(6)端口映射:将FE2的虚拟IP位置的部分端口对应到OA服务器群所映射的服务器的指定端口，因而使到内在生产网络进行对OA服务器群访问时，运用探访FE2口的对应IP的指定端口从事对于内在OA服务器群的访问。

采用本文提出的HAF算法设计的企业双网防火墙，有效地减少了最大规则集数目，降低了防火墙配置错误发生的次数，提高了防火墙的性能，使得防火墙的安全漏洞得到降低，同时避免了防火墙的性能瓶颈。

5 结语

防火墙技术及其应用研究 篇10

随着网络的迅速普及, 网络安全问题也日益突出。虽然网络安全技术得到了迅速发展, 但网络安全问题也增加了新的内容 , 主要是由网络的开放性、无边界性、自由性造成的, 包括以下一些因素:①计算机操作系统本身的一些缺陷;②各种服务, 如TELNET NFS, DNS, Active X 等存在bug和漏洞;③TCPIP协议本身的安全因素;④黑客攻击, 追查比较困难, 因为攻击可以来自Internet的任何地方。

目前, 保护内部网免遭外部入侵的有效方法是采用防火墙。防火墙技术已成为网络安全领域中最为重要、最为活跃的领域之一, 成为保护网络安全、网络数据的重要手段和必选的网络安全设备之一。防火墙主要涉及软件技术、密码技术、安全技术、计算机网络技术、网络标准化组织的安全规范、安全操作系统和安全协议等多方面。近年来, 防火墙产品多, 更新快, 且不断有新的信息安全技术应用到防火墙的开发上, 如代理服务器、包过滤、状态检测、用户身份鉴别、加密技术、虚拟专用网等技术。

那么, 什么是防火墙呢?在古代, 人们在构筑木制结构房屋时, 常在住所之间砌一道砖墙, 防止火灾蔓延。在网络中, 防火墙就是防止Internet上的不安全因素蔓延到企业或组织的内部网, 犹如一道护栏, 置于不安全的非信任的网络与被保护网络之间, 阻断外部对内网的威胁和入侵, 保护内网的安全。

一般来说, 防火墙是一种置于不同网络安全域之间的一系列部件的组合, 是不同网络安全域间的唯一通道。它能根据有关的安全访问策略来控制 (包括允许、拒绝、记录和监视) 通过网络的访问行为, 是一种高级的访问控制设备。狭义上, 防火墙是指装了防火墙软件的路由器系统或者主机;广义上, 防火墙是指整个网络的安全行为和安全策略。

1 防火墙的发展

1986年, 在Internet上, 美国Digital公司安装了全球第一个防火墙系统。这之后, 防火墙产品成为安全领域发展最快的安全技术产品之一, 它先后经历了如下发展阶段:

第一代防火墙, 又称为包过滤路由器或屏蔽路由器, 是基于路由器的防火墙, 通过检查经由路由器的数据包的地址 (源地址、目的地址) 、端口号 (源端口号、目的端口号) 、协议等参数, 来决定是否让数据包通过, 如Cisco路由器提供的接入控制表。这种防火墙的缺点是很难抵御地址欺骗等攻击, 而且审计功能差。

第二代防火墙, 是用户化的防火墙工具套, 它用来提供应用服务级的控制, 起到外部网络向被保护的内部网申请服务时的中间转接作用。它的缺点是对于每一种网络应用服务都必须为其设计一个代理软件模块来进行安全控制, 而每一种网络应用服务的安全问题各不相同, 分析困难, 因此实现也困难, 且代理的时间延迟也较大。

第三代防火墙, 是建立在通用操作系统上的商用防火墙产品, 有以硬件方式实现的, 也有以纯软件方式实现的。采用这种防火墙, 用户必须依赖防火墙厂商和操作系统厂商这两方面的安全支持。

第四代防火墙, 是建立在安全操作系统上的防火墙。各种新的信息安全技术被广泛应用在防火墙系统中, 同时也采用了一些主动的网络安全技术, 比如网络安全性分析、网络信息安全监测等。总之, 它将网关和安全系统合二为一。

2 防火墙的基本类型

按使用技术, 防火墙主要分为包过滤型防火墙 (又可分为静态包过滤、状态动态检测包过滤) 、应用代理、复合型和核检测这几大类;按照实现方式可分为硬件防火墙、软件防火墙。

2.1 按使用技术分类

2.1.1 包过滤型防火墙

静态包过滤防火墙是最简单的防火墙。静态包过滤被应用于路由器的访问控制列表, 在网络层对数据包实施有选择的通过。根据系统内的过滤逻辑, 在收到网络数据包后, 检查数据流中的每个数据包, 根据这数据包的源IP 地址、目的IP 地址和目的TCP/UDP 端口及数据包头的各种标志位等因素, 以确定是转发还是丢弃, 它的核心是安全策略即过滤算法的设计。静态包过滤的优点是逻辑简单、对网络性能影响小、有较强的透明性、与应用层无关, 所以无须改应用程序。它也存在一些不足:不检查数据区、不建立连接状态、前后报文无关、对应用层的控制弱。

状态动态检测包过滤防火墙直接对数据分组进行处理, 而且结合前后的数据分组进行综合判断, 来确定是否让数据包通过。如思科的pix系列防火墙和checkpoint公司的防火墙都采用了这种技术。它的优点在于支持几乎所有的服务, 并能动态地打开服务端口, 且能减少端口的开放时间。所以状态动态检测防火墙安全性高, 能够检测所有进入防火墙网关的数据包, 并能根据通信和应用程序状态确定是否允许包的通行。它性能高, 在数据包进入防火墙时就进行识别和判断;伸缩性好, 可以识别不同的数据包;已经支持160多种应用, 包括Internet应用、数据库应用、多媒体应用等, 用户可方便添加新应用, 而且对用户、应用程序透明。

2.1.2 应用代理型防火墙

代理型防火墙, 又可分为电路级代理和应用级代理。

应用代理技术是在网络的应用层提供网络数据流保护功能, 用来过滤应用层的服务, 是内部网与外部网的隔离点, 起着内外网之间申请服务时的中间转接作用, 监视并隔绝应用层的通信流。应用代理服务是运行在防火墙主机上的特殊的应用程序或者服务器程序, 不同服务的代理功能需要开发不同的代理服务程序, 而对大多数代理服务来说, 要求要有合适的代理服务器软件。由于代理提供替代连接并充当服务的网关, 所以, 应用代理有时也被称为应用级网关。它的优点在于:不允许内外主机直接连接、能提供详细的日志和安全审计功能、隐藏内部IP地址、支持用户认证。但是, 它的代理速度比包过滤慢, 且对用户不透明, 对于一些服务不适用, 而且不能保护所有协议。

电路级代理适用于多个协议, 能接收客户端的各种服务请求, 建立一个回路, 对数据包只起转发的作用, 工作在OSI模型的会话层或TCP/IP模型的TCP层。它的优点是可满足多种协议设置, 并能隐藏内网的信息, 但它不能识别同一个协议栈上运行的不同应用程序。

2.1.3 复合型防火墙

所谓复合型防火墙, 就是将包过滤和代理服务整合在一起使用, 以实现如网络安全性、性能和透明度的优势互补。复合型防火墙, 可以检查整个数据包的内容, 并根据需要建立状态连接表, 网络层和应用层的保护强, 会话层的控制较弱。目前出现的新技术类型主要有以下几种:智能IP识别技术、零拷贝流分析、快速搜索算法、实时侵入检测系统等, 突破了复合型防火墙效率较低的瓶颈。混合使用这些技术和包过滤技术及代理服务技术是未来防火墙的趋势。

2.1.4 核检测防火墙

核检测防火墙, 检查整个数据包, 当数据包到达防火墙时, 建立连接状态, 重写会话, 检查多个报文组成的会话。核检测防火墙对网络层、会话层和应用层的控制强, 而且前后报文有联系, 上下文相关。

2.2 按实现方式分类

硬件防火墙, 是指采用ASIC芯片设计实现的复杂指令专用系统, 它的指令、操作系统、过滤软件都采用定制的方式, 一般采取纯硬件设计即嵌入式或者固化计算机的方式, 而固化计算机的方式是当前硬件防火墙的主流技术, 通常将专用的Linux操作系统和特殊设计的计算机硬件相结合, 从而达到内外网数据过滤的目的。

软件防火墙, 一般安装在隔离内外网的主机或服务器上, 一般来说, 这台主机或服务器就是整个网络的网关。国内外有许多网络安全软件厂商开发的面向家庭用户的纯软件防火墙, 俗话叫“个人防火墙”, 因为它是装在个人主机上的, 只对个人主机进行保护。而防火墙厂商中做网络版软件防火墙最出名的莫过于CheckPoint及微软的ISA软件防火墙。

3 防火墙的主要功能

防火墙能提高网络、主机 (主机群) 以及应用系统的安全性, 它主要有以下功能:

(1) 网络安全的屏障。对网络存取和访问进行监控和审计, 提供内部网络的安全性, 过滤不安全的服务, 对网络攻击进行检测和报警, 比如说, 它可以禁止NFS (网络文件系统) 服务。把防火墙作为网络通信的阻塞点, 为网络安全起到了把关的作用, 所以, 我们就可以把网络安全防范集中在这个阻塞点上。

(2) 强化网络安全策略。通过集中的安全管理, 在防火墙上可以实现安全技术应用 (加密、身份鉴别与认证、口令密码等) , 过滤掉不安全的服务和非法用户。

(3) 防止内部信息外泄。对于内部网络, 可以根据不同的服务设置不同的安全级别, 从而实现内部重点网段的隔离与保护, 限制敏感的安全问题影响整个网络。

(4) 限制暴露用户。封堵禁止的访问行为, 有效记录Internet上的活动, 管理进出网络的访问行为。

(5) 实现虚拟专用网的连接。防火墙支持因特网服务特性的内部网络技术系统——虚拟专用网。

虽然, 防火墙能对网络威胁起到极好的防范作用, 但它不能解决所有的网络安全问题。某些威胁如恶意的知情者、不通过它的连接、一些病毒等, 防火墙也是无能为力的。

4 防火墙的设计策略

防火墙的设计策略是基于特定的防火墙, 通常有两种基本的设计策略:限制策略, 拒绝任何服务除非被明确允许;宽松策略, 接受任何服务除非被明确禁止。第一种相对保守, 也相对安全;第二种可能造成安全隐患。一般建议采用限制型包过滤策略。

在配置防火墙时, 必须要遵循一定的原则, 首要的原则是安全且实用。从这个角度, 在防火墙的配置过程需要坚持3个原则:①简单实用, 越简单, 越容易理解和使用, 越不容易出错, 管理也越可靠、简便;②全面深入, 只有采用全面的、多层次的防御战略体系才能实现真正的系统安全, 系统地对待整个网络的安全防护体系, 使各方面的配置相互加强, 进而从深层次上保护整个系统;③内外兼顾, 每种产品都有它的主要功能定位, 在配置时要针对具体的网络环境进行配置, 不必对每一种功能都进行配置。

在站点上配置安全策略, 防火墙可提供服务控制、方向控制、用户控制和行为控制。服务控制是指确定防火墙内外可以防火的网络服务类型, 可以提供代理软件, 也可直接运行服务器软件;方向控制主要是启动特定的有方向性的服务请求并允许它通过防火墙;用户控制是指根据访问请求的用户来确定是否为该用户提供他要的服务;行为控制是控制用户如何使用某种特定的服务, 如过滤垃圾邮件、限制外部访问, 只允许他们访问本地web服务器的一些信息等。

在大型网络系统中, 可在如下位置部署防火墙:局域网内的VLAN之间、内联网与外网之间、总部的局域网与各分支机构之间构成虚拟专用网VPN、远程用户拨号访问时加入VPN等。

防火墙主要包括5个部分:安全操作系统、过滤器、网关、域名服务、函件处理。

5 防火墙的选型和实施

5.1 选型原则

防火墙产品众多, 如国内的天融信网络卫士、联想的网御防火墙、东软的网眼防火墙、国外Cisco的PIX系列和ASA系列、CheckPoint的FireWall-1、NetScreen公司的NetScreen防火墙等。而每一种防火墙都有它的独特功能和技术, 都有自己的定位, 让用户眼花缭乱, 难以选择。一般来说, 防火墙选型时的基本原则有以下几点:

安全和功能需求分析:选择合适产品的一个前提条件就是明确用户的具体需求。因此, 选择产品的第一个步骤就是针对用户的网络结构、业务应用系统、用户及通信流量规模、防攻击能力、可靠性、可用性、易用性等具体需求进行分析。

明确投资范围和标准, 以此来衡量防火墙的性价比。

在相同条件下, 比较不同防火墙的各项指标和参数。

综合考虑安全管理人员的经验、能力和技术素质, 考查防火墙产品的管理和维护的手段与方法。

根据实际应用的需求, 了解防火墙附加功能的定义和日常系统的维护手段与策略。

5.2 防火墙的测试与管理

为更好地了解防火墙产品的特点, 选择适合自己应用需求的产品, 必须先对防火墙产品进行测试, 测试的主要内容包括管理测试、功能测试、性能测试和抗攻击能力的测试。其中, 管理是网络安全的关键, 功能是防火墙应用的基础, 性能保证了网络的传输效率, 而抗攻击能力是网络安全的保证。

选择安装适合的防火墙后, 还要对防火墙进行管理与维护, 目的是为了让防火墙正常发挥作用, 并延长使用寿命。这要求管理维护人员必须接受一定的专业培训, 且对本单位的网络有一个清晰的认识和了解;定期地对防火墙进行扫描与检测, 及时发现问题, 堵上漏洞;保证通信线路畅通, 当发生网络安全问题时能及时报警, 并及时处理;与厂家保持联系, 及时获得防火墙有关的升级与维护信息。

6 结语

防火墙虽是一项比较成熟的产品, 但也在不断地完善与发展。怎样让防火墙具有高安全性、高透明性和高网络性三高为一体的性能, 是网络安全人员面临的一个艰巨课题。

摘要：防火墙技术是网络安全的重要技术之一, 是防御非法入侵和非法访问的有效手段之一。简述了防火墙技术的基本原理、分类、功能和设计及其选型, 并探讨了在实际中如何管理防火墙。

关键词：网络安全,防火墙技术,防火墙应用

参考文献

[1]阎慧.防火墙原理与技术[M].北京:机械工业出版社, 2004.

[2]杨文虎.网络安全技术与实训[M].北京:人民邮电出版社, 2011.

[3]刘渊.因特网防火墙技术[M].北京:机械工业出版社, 1998.

防火墙技术及应用 篇11

【关键词】分布式防火墙 网络安全 应用

【中图分类号】TP393.08 【文献标识码】A 【文章编号】1672-5158（2013）01—0138-01

0 引言

近几年来，随着互联网应用的飞速发展，许多政府机构、企事业单位及各类学校都纷纷建成了诸如城域网、企业网、校园网等内部互联网。但人们在享受网络带来的诸多便利的同时，也正在面临着日益严重的网络安全问题。能否确保内部网不被来自网内外的用户非法登陆及恶意攻击，使政务、商务等信息系统能正常运行，将成为影响企业利益、国家安全和社会稳定的重要因素。因此，作为新一代的网络安全技术，分布式防火墙技术已应运而生，并逐渐取代传统防火墙技术，成为目前网络安全应用的主流。

1 分布式防火墙技术的主要优势

1.1 增强的系统安全性

分布式防火墙增加了针对主机的入侵检测和防护功能，加强了对来自网络内部的攻击防范，可以实施全方位的安全策略。

1.2 提高了系统性能

传统防火墙由于具有单一的接入控制点，无论对网络的性能还是对网络的可靠性都有不利的影响。分布式防火墙则从根本上抛弃了单一的接入点，而使这一问题迎刃而解。另一方面，分布式防火墙可以针对各个服务器及终端计算机的不同需要，对防火墙进行最佳配置，配置时能够充分考虑到这些主机上运行的应用，如此便可在保障网络安全的前提下大大提高网络运行效率。

1.3 系统的可扩展性

因为分布式防火墙分布在整个企业的网络或服务器中，所以它具有无限制的扩展能力。随着网络的增长，它们的处理负荷也在网络中进一步分布，因此它们的高性能可以持续保持住。而不会像边界式防火墙一样随着网络规模的增大而不堪重负。

1.4 实施主机策略

传统防火墙大多缺乏对主机意图的了解，通常只能根据数据包的外在特性来进行过滤控制。虽然代理型防火墙能够解决该问题，但它需要对每一种协议单独地编写代码，其局限性也是显而易见的。在没有上下文的情况下，防火墙是很难将攻击包从合法的数据包中区分出来的，因而也就无法实施过滤。分布式防火墙由主机来实施策略控制，毫无疑问主机对自己的意图有足够的了解，所以分布式防火墙依赖主机作出合适的决定就能很自然地解决这一问题，对网络中的各节点可以起到更安全的防护。

1.5 支持VPN通信

分布式防火墙最重要的优势在于它能够保护物理拓扑上不属于内部网络，但位于逻辑上的“内部”网络的那些主机，这种需求随着VPN的发展越来越多。对这个问题的传统处理方法是将远程“内部”主机和外部主机的通信依然通过防火墙隔离来控制接人，而远程“内部”主机和防火墙之间采用“隧道”技术保证安全性。这种方法使原本可以直接通信的双方必须经过防火墙，不仅效率低而且增加了防火墙过滤规则设置的难度。与此相反，分布式防火墙从根本上防止了这种情况的发生，因为它本身就是基于逻辑网络的概念，对它而言，远程“内部”主机与物理上的内部主机没有任何区别。

2 分布式防火墙技术的应用

2.1 利用分布式防火墙查杀病毒

企业级防火墙作为企业网络安全的“门神”，有着不可替代的作用。但实践证明，企业级防火墙也不能令人完全满意。与企业级防火墙相比，个人防火墙（主机防火墙）可以有效地阻止内部网络攻击，并且由于防护节点在主机，可以大大减轻对网络带宽和资源的影响。但个人防火墙在企业网络中的应用和防病毒软件的应用一样面临管理的问题，没有统一整体的管理，个人防火墙也不会起到应有的作用。

分布式防火墙技术的出现，有效地解决了这一问题。以北京安软天地科技的EVERLINK分布式防火墙为例，它不仅提供了个人防火墙、入侵检测、脚本过滤和应用程序访问控制等功能，最主要的是提供了中央管理功能。利用EVERLINK分布式防火墙中央管理器，可以对网络内每台计算机上的防火墙进行配置、管理和更新，从宏观上对整个网络的防火墙进行控制和管理。这种管理可以在企业内部网中进行，也可以通过Iternet实现远程管理。另外，对于应用较简单的局域网，网络杀毒和分布式防火墙的组合是比较易于部署且维护方便的安全解决方案。

2.2 利用分布式防火墙堵住内网漏洞

随着网络安全技术的不断发展，传统边界防火墙逐渐暴露出一些弱点，具体表现在以下几个方面。

（1）受网络结构限制边界防火墙的工作机理依赖于网络的拓扑结构。随着越来越多的用户利用互联网构架跨地区企业网络，移动办公和服务器托管日益普遍，加上电子商务要求商务伙伴之间在一定权限下可以彼此访问，企业内部网和网络边界逐渐成为逻辑上的概念，边界防火墙的应用也受到越来越多的限制。

（2）内部不够安全边界防火墙设置安全策略是基于这样一个基本假设：企业网外部的人都是不可信的，而企业网内部的人都是可信的。事实上，接近80%的攻击和越权访问来自于企业网内部，边界防火墙对于来自企业网内部的攻击显得力不从心。分布式防火墙把Internet和内部网络均视为不“友好”的。它们对个人计算机进行保护的方式如同边界防火墙对整个网络进行保护一样。对于Web服务器来说，分布式防火墙进行配置后能够阻止一些不必要的协议通过，从而阻止了非法入侵的发生。

（3）效率不高与故障点多边界防火墙把检查机制集中在网络边界的单点上，由此造成网络访问瓶颈，并使得用户在选择防火墙产品时首先考虑检测效率，其次才是安全机制。安全策略过于复杂也进一步降低了边界防火墙的效率。

针对传统边界防火墙存在的缺陷，专家提出了分布式防火墙方案。该方案能有效地消除前面提到的各种内网漏洞。正是由于分布式防火墙这种优越的安全防护体系，并且符合未来的发展趋势，所以使得这一技术刚出现便为许多用户所接受，成为目前公认的最有效的网络安全解决方案。

3 结束语

防火墙技术从边界防火墙逐渐演变到主机防火墙、分布式防火墙，并日益与IDS（入侵检测系统）相融合，分布式防护的理念已逐渐被主流安全厂商所拥护，也逐步得到使用者的认可。但大多数的企业网络都非常复杂，要保护它们免受当今难以捉摸且快速传播的混合威胁，是一件非常不容易的事。“集中式管理、分布式防护”是近年来提出的一个新话题，它能真正解决高速网络带来的入侵检测困难的问题。网络安全技术未来的发展目标，势必是各种分布式安全模块在统一的网络管理软件框架内的融合，共同构架起一个从内到外、安全无处不在的大安全体系，使企业尽可能地全面保护自己的网络信息安全。

参考文献

[1]John Viga，Gary McGraw[美]，Building Secure Software[M]，北京：清华大学出版社，2003，160-162

[2]王伟，曹元大，分布式防火墙下主机防火墙Agent技术[J]，计算机工程，2004，30（8）

[3]叶丹，网络安全实用技术[M]，北京：清华大学出版社，2003，85-86

[4]曹宇，分布式防火墙构建网络屏障[J]，网络安全技术与应用，2004（2）

浅析防火墙包过滤技术的应用 篇12

随着全球信息时代的到来,网络技术的应用也随之更加广泛,并且在网络技术和网络资源之间形成了一种相互结合的关系。比如说当今主流的几种网络应用包括 :网上银行,网络购物等。在网络技术给人们的生活带更多方便的同时,网络的安全性则成为一个不可忽视大问题,也只有网络应用安全了网络信息技术给人们带来了才是真正的方便,否则将是越来越多的烦恼,将会受到很大的损失,充分利用先进的技术和网络资源来不断提高网络安全性能,网络安全才是网络广泛应用的根本。

目前,网络安全的软硬件产品有很多包括防毒墙、IDS、VPN、邮件过滤、防火墙等,其中应用最为广泛、技术相对成熟的安全产品就是防火墙,它一般部署到外网与内网之间用于保护内网用户的安全,哪么如何部署调式防火墙成为网络管理者必须要掌握的安全技能。

1 防火墙技术简介

防火墙作为网络安全设备其主要网络安全控制手段有两种 :包过滤和应用代理。下面将对两种防火墙技术进行简述。

包过滤型防火墙技术作为一种安全控制技术应用简单、效果显著,它通过建立规则来限制网络中数据包的传输,我们可以限制含有某些源地址或是目的地址的特定数据包,可以允许或禁止这类数据包的通过,建立数据包的通行规则,通过这些规则的建立,达到网络之间安全检查的作用。包过滤技术最主要的优点是 :可以快速对整个网络系统形成保护,数据包在过滤的时候对用户完全透明,并且工作效率极高,过滤速度非常快 ;缺点是 :这种安全控制技术应用于OSI中的网络层和传输层之间,只能进行初步的安全防范,对于高层次的攻击手段,则无法防御。

应用代理型防火墙技术,这种防火墙技术是建立在OSI中的最高层应用层上的数据过滤,是针对特定的网络应用服务制定安全规则,达到对服务器等特定对象上重要数据的安全防范作用,可以有效拒绝非法请求。代理服务支持网络地址的相互转换(NAT),NAT有一对一和一对多等几种常见的代理服务应用。总之这种防火墙技术最大的特点就是完全阻断了网络通信流的数据,通过对每一种应用服务专门编制的代理程序,实现监督和控制的作用 ;缺点是 :代理工作的速度相对较慢,对于用户来说代理过程是完全隐蔽的,代理服务没有办法改进底层协议的安全性,适应能力比较弱。

2 防火墙术语

网关 :在两个设备之间提供转发服务的系统。

DMZ非军事化区 :为了配置管理方便,为提供外部服务的服务器单独留出的网段。防火墙一般配备三个连接口分别为LAN口、WAN口和DMZ口。

吞吐量 :是指在不丢包的情况下单位时间内通过防火墙的数据包数量。

最大连接数 :网络中大多数连接是指所建立的一个虚拟通道。防火墙对每个连接的处理也要耗费资源,因此最大连接数成为考验防火墙这方面能力的指标。

数据包转发率 :是指在安全规则正确配置下,对数据流量的处理速度。

另外还有SSL( 数据安全协议 ) ;网络地址转换 ;堡垒主机等常用术语。

3 基于包过滤的防火墙应用实例

某公司内部网络分为了多个网段,其中的财务网段的数据要求的安全性能比较高,只有指定用户才能进行访问,所以公司想把本网段用防火墙与其它网络隔离开,以保证财务网段数据的相对安全,要求合理布置防火墙,并对防火墙进行适当的配置。

3.1 实例分析并搭建实验环境

设备与配线拓扑结构如图1所示 :路由器两台、防火墙一台、终端计算机(两台)、RS-232电缆(一根)、RJ-45网线。

3.2 实例具体操作

3.2.1 通过 CONSOLE 口对防火墙进行命令行的管理

(1)连接防火墙

利用随机附带的串口线连接管理主机的串口和防火墙串口CONSOLE, 启动以Windows自带“超级终端”进行通讯参数设置后,进行到命令行状态准备配置防火墙。

提示 :对于Windows自带“超级终端”,选择“还原默认值”即可

(2)登录CLI界面

当设备连接成功以后,在命令行会提示输入管理员帐号和口令,第一次登陆防火墙其默认帐号”admin”和口令“firewall”。

提示 :帐号和口令所有的字母都是小写

1)输入命令”fastsetup”,进入命令行配置向导。

2)选择防火墙FE1接口的工作模式 ,输入1为路由模式 , 输入2为混合模式。选择防火墙FE2接口的工作模式,在这里我们选择1为路由模式,方法同FE1。

提示 :此时FE1和FE2的工作模式必须一致。

3)输入FE1接口的IP地址和掩码。

提示 :若FE1、FE2都是混合模式,则FE1的地址必须配置 ,FE2的地址可以不配置。

4)设置默认网关IP(若防火墙的两个网口都是混合模式,可以不配置默认网关)

输入FE1和FE2接口的IP地址和掩码。

提示 :此时FE1和FE2的IP允许在同一网段。

5)设置管理主机IP与设置安全规则的源IP和目的IP,默认为any。

6)保存配置,请执行“syscfg save”命令。

3.2.2 通过 WEB 界面进行管理

(1)安装电子钥匙程序

每个防火墙设备都会有一个合法的证书,只有完成证书的导入后防火墙才能正常工作。

(2)登录防火墙WEB界面

运行IE浏览器 , 在地址栏 输入https://192.168.10.100:6666,等待约20秒钟会弹出一个对话框提示接受证书,确认之后系统会提示输入管理员帐号和口令,输入帐号和口令登录WEB界面。

(3)根据防火墙的部署情况进行防火墙IP地址的配置。

提示 :至少要在防火墙配置时设置一个管理IP,若GE1 GE2都是混合模式,则GE1的地址必须配置,GE2的地址可以不配。

在“网络配置 >> 接口IP”,设置Ge1和Ge2的IP地址。

(4)设置透明桥

1)在做透明桥之前必把接口变成混合模式 :

2)打开透明桥选项卡,进行相关配置,完成透明桥的建立工作。

(5)添加策略路由

在“网络配置 >> 策略路由”界面中,点击,添加相应的路由信息。

(6)设置包过滤

在“安全策略 >> 安全规则”界面中,点击,进入安全规则对话框,选择相应的源地址和目标地址,并选择相应的服务类型,保存配置。

4 结束语