防火墙在网络中的作用范文

关键词：防火墙；内部网络；安全防护策略

前言

近几年来，计算机网络已经成为现代社会发展过程中的重要组成部分，在给现代人的生活、工作、学习带来便利的同时，也造成了严重的安全隐患，恶意攻击、计算机病毒、非法入侵等行为日益加剧，给个人、企业、社会都带来了不同程度的损失，网络安全已经成为现代社会重点关注的问题。防火墙是一种常见的网络安全技术，其合理使用能够有效的降低计算机网络中的安全隐患，为用户的内网信息安全提供基本保障。

1防火墙的基本介绍

防火墙是隔离在内部网络和外部网络之间的一道防御系统，它能够帮助内部网络系统抵挡来自外部网络的攻击与入侵，为内部网络的安全性提供基本保障。从本质上来看，防火墙是一种隔离技术，能够对内部网络与外部网络之间的通信进行合理的控制，它能够允许外部数据、外部用户进入到内部网络当中，同时也能够将恶意的外部数据、外部用户阻隔在内部网络之外，未经授权的外部网络是不能够访问内部网络的，从而避免恶意的外部网络进行内部网络信息的更改、拷贝、销毁等行为，进一步确保计算机内部网络信息的安全性。防火墙主要包括服务访问规则、验证工具、包过滤和应用网关四个部分组成，在实际使用过程中的功能比较丰富[1]。

2防火墙的主要应用

2.1防火墙在网络安全中的应用

随着科学技术的不断完善，防火墙在计算机网络安全中的使用越来越广泛，防火墙技术也趋于成熟，在内部网络与外部网络通信的过程中发挥着至关重要的作用，相当于一个安全过滤的装置，能够将来自外部网络的恶意入侵都阻隔在内部网络之外，为内部网络的运行划分出一个安全的区域，是一种有效的网络安全防护手段。在进行网络安全管理的过程中，主要有两种规划方式，一种是在现行的网络中安装防火墙，通过合理添加防火墙的方式增强计算机内部网络的安全性能，采用透明模式进行防火墙的安装，虽然用户在实际应用的过程中感受不到防火墙的存在，但是它确实对用户的网络安全起到了保护的作用。

另一种方式是在设计网络结构的初级阶段就充分考虑网络安全的问题，在网络设计方案当中加入防火墙的设计的内容，相对于透明模式的防火墙设计，更加倾向于混合模式的设计理念，通过连接应用服务器和用户机来提高网络通信的性能，最大限度的为网络安全提供有效防护，确保其他服务项目的顺利进行。另外，这种模式的防火墙设计结构还具有极强的延展性，能够根据计算机网络结构设计的实际情况添加防火墙[2]。

2.2防火墙在内网安全中的应用[3]

防火墙属于内网与外网之间的安全防护措施，从表面上看主要是阻隔来自外网的恶意入侵、散播计算机病毒等行为，没有直接进行内部网络的管理与保护。其实，防火墙在内网安全中的同样具有广泛的应用。将防火墙安装在计算机网络中不同的位置，所起到的作用也有很大的差异，放置于内网与外网之间的防火墙主要对外网进行管理，而放置在内网中的防火墙则是保护内网安全的控件。在放置于内网中的防火墙上安装TCP/UDP端口过滤功能，那么防火墙在应用的过程中就能够对计算机内网所接收到的数据信息进行过滤，从而起到内网安全防护的作用。

3基于防火墙的内网安全防护策略

使用防火墙的最终目的就是要确保计算机内部网络信息的安全性，为用户的内部网络信息提供最大限度的安全保障。但是，计算机内网的网络结构比较复杂，要想充分发挥出防火墙的保护作用还需要做出一定的调整，本文主要采用增加防火墙数量的手段来提高计算机内网的安全运行，如图1所示。

通过图1我们能够知道，这种模型利用三个防火墙把一般内网中的传输服务器、用户终端与核心服务器三个区域进行区分，传输服务器、用户终端与核心服务器相互之间通信的时候都需要经过防火墙的同意，进一步确保计算机内网的安全性。图1中将最重要的信息安排在了最内层，外部网络如果想要获取最内层的信息首先要经过五层防火墙，用户与外部网络之间的通信也需要经过三层防火墙，甚至就连内部用户与核心服务器之间的通信都需要经过两层防火墙，有效的对计算机内部的信息进行保护。

这种防火墙设计模式不仅能够在内部网络与外部网络之间建立一种安全防护，还能够帮助计算机系统进行内部网络的安全管理，最大限度的l挥出计算机内部资源和外部资源的优势，利用防火墙技术将内部网络和外部网络有机的区分开，并且在防护的过程中还能够加强对于内部网络的安全管理。另外，这种多层防火墙的设计模式还具有一定的延伸性，设计师可以根据计算机内部网络构架的复杂程度进行防火墙的添加，进一步增强防火墙对内部网络的保护作用，对于提升内部网络的安全性和实用性有很大的帮助[4]。

4结束语

综上分析可知，本文以三个防火墙技术为例进行内网安全防护策略的分析，确保防火墙技术的应用效果在内网中能够最大限度的发挥出来，为内网的正常使用提供安全保障。这种防护策略能够在原有内网防护系统的基础上增加防火墙的个数，直到对内网中的所有组成部分都进行妥善的保护。计算机内网安全防护不仅需要管理人员的监督与维护，还需要计算机使用者的鼎力配合，进一步提升使用者的安全意识，从而有效的进行内网的安全防护工作。

参考文献

[1]庞雄昌，王.一种改进的内网安全防护策略[J].计算机安全，2011，12：9-12.

[2]张亮，黄子君.基于防火墙的内网安全防护策略研究[J].科技风，2014，19：13.

防火墙在网络中的作用范文

关键词：网络安全；防火墙

中图分类号：TP393.08文献标识码：A文章编号：1672-3198（2007）09-0240-02

1从软、硬件形式上分

如果从防火墙的软、硬件形式来分的话，防火墙可以分为软件防火墙和硬件防火墙以及芯片级防火墙。

（1）软件防火墙。

软件防火墙运行于特定的计算机上，它需要客户预先安装好的计算机操作系统的支持，一般来说这台计算机就是整个网络的网关。俗称“个人防火墙”。软件防火墙就像其它的软件产品一样需要先在计算机上安装并做好配置才可以使用。防火墙厂商中做网络版软件防火墙最出名的莫过于Checkpoint。使用这类防火墙，需要网管对所工作的操作系统平台比较熟悉。

（2）硬件防火墙。

这里说的硬件防火墙是指“所谓的硬件防火墙”。之所以加上“所谓”二字是针对芯片级防火墙说的了。它们最大的差别在于是否基于专用的硬件平台。目前市场上大多数防火墙都是这种所谓的硬件防火墙，他们都基于PC架构，就是说，它们和普通的家庭用的PC没有太大区别。在这些PC架构计算机上运行一些经过裁剪和简化的操作系统，最常用的有老版本的Unix、Linux和FreeBSD系统。值得注意的是，由于此类防火墙采用的依然是别人的内核，因此依然会受到OS（操作系统）本身的安全性影响。

（3）芯片级防火墙。

芯片级防火墙基于专门的硬件平台，没有操作系统。专有的ASIC芯片促使它们比其他种类的防火墙速度更快，处理能力更强，性能更高。做这类防火墙最出名的厂商有NetScreen、FortiNet、Cisco等。这类防火墙由于是专用OS（操作系统），因此防火墙本身的漏洞比较少，不过价格相对比较高昂。

2从防火墙技术分

防火墙技术虽然出现了许多，但总体来讲可分为“包过滤型”和“应用型”两大类。前者以以色列的Checkpoint防火墙和美国Cisco公司的PIX防火墙为代表，后者以美国NAI公司的Gauntlet防火墙为代表。

（1）包过滤（Packetfiltering）型。

包过滤方式是一种通用、廉价和有效的安全手段。之所以通用，是因为它不是针对各个具体的网络服务采取特殊的处理方式，适用于所有网络服务；之所以廉价，是因为大多数路由器都提供数据包过滤功能，所以这类防火墙多数是由路由器集成的；之所以有效，是因为它能很大程度上满足了绝大多数企业安全要求。

在整个防火墙技术的发展过程中，包过滤技术出现了两种不同版本，称为“第一代静态包过滤”和“第二代动态包过滤”。

包过滤方式的优点是不用改动客户机和主机上的应用程序，因为它工作在网络层和传输层，与应用层无关。但其弱点也是明显的：过滤判别的依据只是网络层和传输层的有限信息，因而各种安全要求不可能充分满足；在许多过滤器中，过滤规则的数目是有限制的，且随着规则数目的增加，性能会受到很大地影响；由于缺少上下文关联信息，不能有效地过滤如UDP、RPC（远程过程调用）一类的协议；另外，大多数过滤器中缺少审计和报警机制，它只能依据包头信息，而不能对用户身份进行验证，很容易受到“地址欺骗型”攻击。对安全管理人员素质要求高，建立安全规则时，必须对协议本身及其在不同应用程序中的作用有较深入的理解。因此，过滤器通常是和应用网关配合使用，共同组成防火墙系统。

（2）应用（ApplicationProxy）型。

应用型防火墙是工作在OSI的最高层，即应用层。其特点是完全“阻隔”了网络通信流，通过对每种应用服务编制专门的程序，实现监视和控制应用层通信流的作用。其典型网络结构如图所示。

在型防火墙技术的发展过程中，它也经历了两个不同的版本：第一代应用网关型防火和第二代自适应防火墙。

类型防火墙的最突出的优点就是安全。由于它工作于最高层，所以它可以对网络中任何一层数据通信进行筛选保护，而不是像包过滤那样，只是对网络层的数据进行过滤。

另外型防火墙采取是一种机制，它可以为每一种应用服务建立一个专门的，所以内外部网络之间的通信不是直接的，而都需先经过服务器审核，通过后再由服务器代为连接，根本没有给内、外部网络计算机任何直接会话的机会，从而避免了入侵者使用数据驱动类型的攻击方式入侵内部网。

防火墙的最大缺点是速度相对比较慢，当用户对内外部网络网关的吞吐量要求比较高时，防火墙就会成为内外部网络之间的瓶颈。那因为防火墙需要为不同的网络服务建立专门的服务，在自己的程序为内、外部网络用户建立连接时需要时间，所以给系统性能带来了一些负面影响，但通常不会很明显。

3从防火墙结构分

从防火墙结构上分，防火墙主要有：单一主机防火墙、路由器集成式防火墙和分布式防火墙三种。

单一主机防火墙是最为传统的防火墙，独立于其它网络设备，它位于网络边界。

这种防火墙其实与一台计算机结构差不多（如下图），同样包括CPU、内存、硬盘等基本组件，主板更是不能少的，且主板上也有南、北桥芯片。它与一般计算机最主要的区别就是一般防火墙都集成了两个以上的以太网卡，因为它需要连接一个以上的内、外部网络。其中的硬盘就是用来存储防火墙所用的基本程序，如包过滤程序和服务器程序等，有的防火墙还把日志记录也记录在此硬盘上。虽然如此，但我们不能说它就与我们平常的PC机一样，因为它的工作性质，决定了它要具备非常高的稳定性、实用性，具备非常高的系统吞吐性能。正因如此，看似与PC机差不多的配置，价格甚远。

随着防火墙技术的发展及应用需求的提高，原来作为单一主机的防火墙现在已发生了许多变化。最明显的变化就是现在许多中、高档的路由器中已集成了防火墙功能，还有的防火墙已不再是一个独立的硬件实体，而是由多个软、硬件组成的系统，这种防火墙，俗称“分布式防火墙”。

原来单一主机的防火墙由于价格非常昂贵，仅有少数大型企业才能承受得起，为了降低企业网络投资，现在许多中、高档路由器中集成了防火墙功能。如CiscoIOS防火墙系列。但这种防火墙通常是较低级的包过滤型。这样企业就不用再同时购买路由器和防火墙，大大降低了网络设备购买成本。

分布式防火墙再也不只是位于网络边界，而是渗透于网络的每一台主机，对整个内部网络的主机实施保护。在网络服务器中，通常会安装一个用于防火墙系统管理软件，在服务器及各主机上安装有集成网卡功能的PCI防火墙卡，这样一块防火墙卡同时兼有网卡和防火墙的双重功能。这样一个防火墙系统就可以彻底保护内部网络。各主机把任何其它主机发送的通信连接都视为“不可信”的，都需要严格过滤。而不是传统边界防火墙那样，仅对外部网络发出的通信请求“不信任”。

4按防火墙的应用部署位置分

按防火墙的应用部署位置分，可以分为边界防火墙、个人防火墙和混合防火墙三大类。

边界防火墙是最为传统的，它们于内、外部网络的边界，所起的作用的对内、外部网络实施隔离，保护边界内部网络。这类防火墙一般都属于硬件类型，价格较贵，性能较好。

个人防火墙安装于单台主机中，防护的也只是单台主机。这类防火墙应用于广大的个人用户，通常为软件防火墙，价格最便宜，性能也最差。

混合式防火墙可以说就是“分布式防火墙”或者“嵌入式防火墙”，它是一整套防火墙系统，由若干个软、硬件组件组成，分布于内、外部网络边界和内部各主机之间，既对内、外部网络之间通信进行过滤，又对网络内部各主机间的通信进行过滤。它属于最新的防火墙技术之一，性能最好，价格也最贵。

5按防火墙性能分

按防火墙的性能来分可以分为百兆级防火墙和千兆级防火墙两类。

因为防火墙通常位于网络边界，所以不可能只是十兆级的。这主要是指防火的通道带宽（Bandwidth），或者说是吞吐率。当然通道带宽越宽，性能越高，这样的防火墙因包过滤或应用所产生的延时也越小，对整个网络通信性能的影响也就越小。

虽然防火墙是目前保护网络免遭黑客袭击的有效手段，但也有明显不足：无法防范通过防火墙以外的其它途径的攻击，不能防止来自内部变节者和不经心的用户们带来的威胁，也不能完全防止传送已感染病毒的软件或文件，以及无法防范数据驱动型的攻击。

参考文献

［1］孙建华等.网络系统管理-Linux实训篇［M］.北京：人民邮电出版社，2003，（10）.

防火墙在网络中的作用范文篇3

关键词：计算机网络；防火墙；网络安全；防护认识

中图分类号：TP393

随着计算机科学技术的不断发展，信息网络的不断成熟和完善，计算机网络在社会发展和人们生活中越来越发挥着重要的作用，它正深刻的改变着人们信息交流方式，实现了真正地资源共享。计算机网络带来便利的同时其网络安全性问题值得关注，为此，为了保护计算机网络安全，为了确保信息共享通畅，很多网络安全维护技术相继提出，其中防火墙技术是其中最有效、最主要、最容易实施的方法之一，防火墙技术具有很强的网络防御能力和广泛的适用领域。作为计算机网络安全防护技术重要组成，防火墙通过监测和控制内网与外网之间的信息交换活动，从而实现了对计算机网络安全的有效管理。本文首先介绍防火墙技术相关概念，然后对防火墙技术策略及主要功能进行了分析，最后防火墙技术发展做出了展望。

1防火墙技术概述

一般讲，防火墙是指利用一组设备，将受信任的内网与不受信任的外网以及专用网与公共网进行隔离。防火墙的主要目的是依据计算机网络用户的安全防护策略，对流通于网络之间的数据信息实施安全监控，以防御未知的、具有破坏性的侵入。使用防火墙可以保护个人或企业专用网不容易遭受“坏家伙”入侵，同时也保证了内部网络用户与外部网络用户交流信息安全。

1.1防火墙分类

按防火墙在计算机网络中的位置划分可以分为分布式防火墙和边界防火墙。其中分布式防火墙又可以划分为网络防火墙、主机防火墙；按防火墙实现手段可以划分为软件防火墙、硬件防火墙及软硬结合防火墙。

1.2防火墙工作原理

一般来说，防火墙主要用来监控内网与外网之间的数据信息。防火墙技术对确保计算机网络安全起到了很重要的作用，在网络数据交流中，只有得到授权数据才能进行流通。防火墙主要由内网与外网之间的部件组合而成，在安装有防火墙的计算机网络中，内网和外网之间的网络数据信息通信必须经过防火墙监控，并且只有符合安全防护策略的数据信息才能经过防火墙，完成于内部计算机的信息通信。通常，防火墙具有十分顽强的防御能力和抗入侵能力，一般讲一个安全性能良好的防火墙通常具有下列性质：一是内网与外网之间的所有数据信息必须经过防火墙；二是只有符合受保护网络的安全防护策略并得到授权的数据通信才能够可以经过防火墙；三是防火墙对经过防火墙的所有数据信息、行为活动以及网络入侵行为进行监控、记录和报警，进一步的提高了防火墙防御各种恶意攻击的能力。

1.3防火墙功能

（1）保护内部网络。防火墙能够增强计算机网络安全性，使得内部网络处于风险较小的环境中。对于内网中必要的服务例如NIS或NFS，防火墙通过采用公用的方式进行使用，有效地减轻了内网管理系统负担。（2）监控访问内网系统行为。防火墙具有监控外部网络访问内部网络行为的能力。排除邮件服务或信息服务等少数特殊情况，防火墙通过过滤掉不需要的外部访问，能够有效的阻止外网对内网的访问，起到保护内网安全的作用。（3）防止内网信息外泄。防火墙完成了内部网络的合理划分，实现了内网内部重点网络的隔离，从而限制了内网中不同网络之间的访问，确保了内网重要数据的安全。（4）监控网络数据访问行为。由于内网与外网之间的所有数据访问行为都要经过防火墙，因此防火墙能够记录访问行为日志，提供网络使用情况统计数据。当察觉疑似入侵行为时，防火墙做出报警，从而实现了对网络访问行为的有效监控。（5）网络地址转换。在全部IP地址中，一些特殊的IP地址被指定为“专用地址”，比如IP地址为192.168.0.0，其被指定为局域网专用的网段IP地址，这些IP地址应用于企业网络内部，但是在互联网中毫无意义。由于这些“专用地址”无法通过互联网路由，使得内部设备得到了一定程度的防入侵保护。当这些内部设备需要访问互联网时，网络地址转换（NAT）可以将“专用地址”转换成互联网地址。防火墙技术起到了完成网络地址转换的功能，其隐藏了服务器的真IP地址，有效地防止恶意攻击对服务器或内网的主机的攻击。

2防火墙技术策略及未来发展趋势

2.1防火墙技术策略

由于防火墙具有多种类型，因此不同的防火墙采用了不同的防火墙技术，常见的防火墙技术策略主要有以下几种：

（1）屏蔽路由技术。目前最为简单和流行的防火墙技术是屏蔽路由器。屏蔽路由器主要工作在网络层（有的包括传输层），其主要利用包过滤技术或虚电路技术。其中，包过滤技术通过检查IP网络包，获得IP头信息，并根据这些信息，做出禁止或允许动作指令。比照相关的信息过滤规则，包过滤技术限制与内部网络进行通信的数据流，只有得到授权的数据信息才能通过，并且阻止没有获得授权的数据信息通过。采用包过滤技术的防火墙主要工作在网络层和逻辑链路层之间，其通过截取所有IP网络包获取过滤所需的有关信息，并与访问监控规则进行匹配和比较，然后执行有关的动作指令。

（2）基于防火墙技术。基于防火墙技术一般配置为“双宿主网关”，其主要包括两个网络接口卡，并且同时连接内网和外网。网关的特殊安装位置使得其能够与两个网络通信，并且是安装数据交换软件（这种软件被称为“”）的最佳位置。服务规定外网与内网不直接进行通信，而是通过服务器进行数据交换。服务完成用户和服务器之间的所有数据流交换，并且能够审计追踪所有的数据流。目前，多数专家普遍认为基于防火墙更加安全，这是由于软件能够根据内部网络中主机的性能制定相应的监控策略，从而达到防御已知攻击的目的。

（3）动态防火墙技术。动态防火墙技术是相对静态包过滤技术提出的一种全新的防火墙技术。动态防火墙技术能够动态的创建相关规则，且能够很好的适应不断变化的计算机网络业务服务。动态防火墙对所有经过防火墙的数据流进行分析，获取相关的通讯及状态信息，并根据这些信息区分每次连接，并在此基础上创建动态连接表。与此同时，动态防火墙还要完成后续通讯检查工作，并应及时更新这些信息。当一次连接结束后，动态防火墙及时的将相应信息从连接表中进行删除。

2.2防火墙技术的未来发展趋势

计算机网络安全不是绝对的而是相对的，防火墙技术不断发展和升级的同时，恶意攻击等行为也在不断升级，因此，维护计算机网络安全工作是永无止境的。随着计算机网络的快速发展，网络安全性需求也在不断提高，这也对防火墙技术提出了更高要求。未来防火墙技术发展趋势为：（1）防火墙将重点研发对网络攻击行为的监控和报警。（2）疑似入侵行为活动日志分析工具将发展为防火墙中重要的组成部分。（3）不断提高过滤深度，并开发病毒扫除功能。（4）安全协议开发将是防火墙技术研发的一大热点。

4结束语

随着计算机网络的快速发展，防火墙技术也在不断升级，随着IP协议经历IPv4到IPv6发展历程，防火墙技术将会发生重大变革。我们有理由相信，未来的防火墙技术会与病毒检查、入侵监控检测等网络安全防护技术相结合，共同创建安全、合理、有效的计算机网络安全防护体系。

参考文献：

[1]韩彬.防火墙技术在网络安全中的实际应用[J].科技资讯，2010，1.

[2]周熠.防火墙及其安全技术的发展[J].安全技术，2010，4.

[3]章楚.网络安全与防火墙技术[M].北京：人民邮电出版社，2007.