實現防火牆的主要技術有哪些

Ⅰ 簡述幾類防火牆實現技術。

1、應用代理伺服器（Application Gateway Proxy）
在網路應用層提供授權檢查及代理服務。當外部某台主機試圖訪問受保護網路時，必須先在防火牆上經過身份認證。通過身份認證後，防火牆運行一個專門為該網路設計的程序，把外部主機與內部主機連接。在這個過程中，防火牆可以限制用戶訪問的主機、訪問時間及訪問的方式。同樣，受保護網路內部用戶訪問外部網時也需先登錄到防火牆上，通過驗證後，才可訪問。
應用網關代理的優點是既可以隱藏內部IP地址，也可以給單個用戶授權，即使攻擊者盜用了一個合法的IP地址，也通不過嚴格的身份認證。因此應用網關比報文過濾具有更高的安全性。但是這種認證使得應用網關不透明，用戶每次連接都要受到認證，這給用戶帶來許多不便。這種代理技術需要為每個應用寫專門的程序。
2、迴路級代理伺服器
即通常意義的代理伺服器，它適用於多個協議，但不能解釋應用協議，需要通過其他方式來獲得信息，所以，迴路級代理伺服器通常要求修改過的用戶程序。
套接字伺服器（Sockets Server）就是迴路級代理伺服器。套接字(Sockets)是一種網路應用層的國際標准。當受保護網路客戶機需要與外部網交互信息時，在防火牆上的套伺服器檢查客戶的User ID、IP源地址和IP目的地址，經過確認後，套伺服器才與外部的伺服器建立連接。對用戶來說，受保護網與外部網的信息交換是透明的，感覺不到防火牆的存在，那是因為網路用戶不需要登錄到防火牆上。但是客戶端的應用軟體必須支持 「Socketsified API」，受保護網路用戶訪問公共網所使用的IP地址也都是防火牆的IP地址。
3、代管伺服器
代管伺服器技術是把不安全的服務如FTP、Telnet等放到防火牆上，使它同時充當伺服器，對外部的請求作出回答。與應用層代理實現相比，代管伺服器技術不必為每種服務專門寫程序。而且，受保護網內部用戶想對外部網訪問時，也需先登錄到防火牆上，再向外提出請求，這樣從外部網向內就只能看到防火牆，從而隱藏了內部地址，提高了安全性。
4、IP通道（IP Tunnels）
如果一個大公司的兩個子公司相隔較遠，通過Internet通信。這種情況下，可以採用IP Tunnels來防止Internet上的黑客截取信息，從而在Internet上形成一個虛擬的企業網。
5、網路地址轉換器(NAT Network Address Translate)
當受保護網連到Internet上時，受保護網用戶若要訪問Internet，必須使用一個合法的IP地址。但由於合法Internet IP地址有限，而且受保護網路往往有自己的一套IP地址規劃（非正式IP地址）。網路地址轉換器就是在防火牆上裝一個合法IP地址集。當內部某一用戶要訪問Internet時，防火牆動態地從地址集中選一個未分配的地址分配給該用戶，該用戶即可使用這個合法地址進行通信。同時，對於內部的某些伺服器如Web伺服器，網路地址轉換器允許為其分配一個固定的合法地址。外部網路的用戶就可通過防火牆來訪問內部的伺服器。這種技術既緩解了少量的IP地址和大量的主機之間的矛盾，又對外隱藏了內部主機的IP地址，提高了安全性。
6、隔離域名伺服器（Split Domain Name Server ）
這種技術是通過防火牆將受保護網路的域名伺服器與外部網的域名伺服器隔離，使外部網的域名伺服器只能看到防火牆的IP地址，無法了解受保護網路的具體情況，這樣可以保證受保護網路的IP地址不被外部網路知悉。
7、郵件技術（Mail Forwarding）
當防火牆採用上面所提到的幾種技術使得外部網路只知道防火牆的IP地址和域名時，從外部網路發來的郵件，就只能送到防火牆上。這時防火牆對郵件進行檢查，只有當發送郵件的源主機是被允許通過的，防火牆才對郵件的目的地址進行轉換，送到內部的郵件伺服器，由其進行轉發。

Ⅱ 防火牆採用的主要技術包括哪些

1、靈活的代理系統

代理系統是一種將信息從防火牆的一側傳送到另一側的軟體模塊。新一代防火牆採用了兩種代理機制，一種用於代理從內部網路到外部網路的連接，另一種用於代理從外部網路到內部網路的連接。

前者採用網路地址轉換（NAT）技術來解決，後者採用非保密的用戶定製代理或保密的代理系統技術來解決。

2、多級的過濾技術

為保證系統的安全性和防護水平，新一代防火牆採用了三級過濾措施，並輔以鑒別手段。在 分組過濾一級，能過濾掉所有的源路由分組和假冒的IP源地址。

在應用級網關一級，能利用FTP、SMTP等各種網關，控制和監測Internet提供的所用通用服務；在電路網關一級，實現內部主機與外部站點的透明連接，並對服務的通行實行嚴格控制。

3、雙埠或三埠的結構

新一代防火牆產品具有兩個或三個獨立的網卡，內外兩個網卡可不作IP轉化而串接於內部網與外部網之間，另一個網卡可專用於對伺服器的安全保護。

4、網路地址轉換技術（NAT）

新一代防火牆利用NAT技術能透明地對所有內部地址作轉換，使外部網路無法了解內部網路的內部結構，同時允許內部網路使用自己定製的IP地址和專用網路，防火牆能詳盡記錄每一個主機的通信，確保每個分組送往正確的地址。

同時使用NAT的網路，與外部網路的連接只能由內部網路發起，極大地提高了內部網路的安全性。 NAT的另一個顯而易見的用途是解決IP地址匱乏問題。

5、透明的訪問方式

以前的防火牆在訪問方式上要麼要求用戶作系統登錄，要麼需要通過SOCKS等庫路徑修改客戶機的應用。新一代防火牆利用了透明的代理系統技術，從而降低了系統登錄固有的安全風險和出錯概率。

Ⅲ 防火牆的分類及主要技術

1、防火牆的基本准則

防火牆可以採取如下兩種之一理念來定義防火牆應遵循的准則：

其一、未經說明允可的就是拒絕。防火牆阻塞所有流經的信息，每一個服務請求或應用的實現都基於逐項審查的基礎上。這是一個值得推薦的方法，它將創建一個非常安全的環境。當然，該理念的不足在於過於強調安全而減弱了可用性，限制了用戶可以申請的服務的數量。

其二、未說明拒絕的均為許可的。約定防火牆總是傳遞所有的信息，此方式認定每一個潛在的危害總是可以基於逐項審查而被杜絕。當然，該理念的不足在於它將可用性置於比安全更為重要的地位，增加了保證私有網安全性的難度。

2、企業網的安全策略

在一個企業網中，防火牆應該是全局安全策略的一部分，構建防火牆時首先要考慮其保護的范圍。企業網的安全策略應該在細致的安全分析、全面的風險假設以及商務需求分析基礎上來制定。

3.防火牆的基本概念

防火牆是一個系統或一組系統，它在企業內網與網際網路間執行一定的安全策略。

一個有效的防火牆應該能夠確保：所有從網際網路流入或流向網際網路的信息都將經過防火牆；所有流經防火牆的信息都應接受檢查。

網際網路防火牆的功能為：通過防火牆可以定義一個關鍵點以防止外來入侵；監控網路的安全並在異常情況下給出報警提示，尤其對於重大的信息量通過時除進行檢查外，應做日誌登記；提供網路地址轉換（NAT）功能，有助於緩解IP地址資源緊張的問題，同時，可以避免當一個內部網更換ISP時需重新編號的麻煩；防火牆可查詢或登記網際網路的使用情況，可以確認網際網路連入的代價、潛在的帶寬瓶須，以使費用的耗費滿足企業內部財政模式；防火牆是為客戶提供服務的理想位置，即在其上可以配置相應的WWW和FTP服務，使網際網路用戶僅可以訪問此類服務，而禁止對保護網路的其他系統的訪問。

4.防火牆的分類、作用

現有的防火牆主要有：包過濾型、代理伺服器型、復合型以及其他類型（雙宿主主機、主機過濾以及加密路由器）防火牆。

包過濾（Packet Fliter）通常安裝在路由器上，而且大多數商用路由器都提供了包過濾的功能。包過濾規則以IP包信息為基礎，對IP源地址、目標地址、封裝協議、埠號等進行篩選。包過濾在網路層進行。

代理伺服器型（Proxy Service）防火牆通常由兩部分構成，伺服器端程序和客戶端程序。客戶端程序與中間節點（Proxy Server）連接，中間節點再與提供服務的伺服器實際連接。與包過濾防火牆不同的是，內外網間不存在直接的連接，而且代理伺服器提供日誌（Log）和審計（Audit）服務。

復合型（Hybfid）防火牆將包過濾和代理服務兩種方法結合起來，形成新的防火牆，由堡壘主機（Bastion Host）提供代理服務。

各類防火牆路由器和各種主機按其配置和功能可組成各種類型的防火牆，主要有：雙宿主主機防火牆（Dua1－Homed Host Firewall），它是由堡壘主機充當網關，並在其上運行防火牆軟體，內外網之間的通信必須經過堡壘主機；主機過濾防火牆（ Screened Host Firewall）是指一個包過濾路由器與外部網相連，同時，一個堡壘主機安裝在內部網上，使堡壘主機成為外部網所能到達的惟一節點，從而確保內部網不受外部非授權用戶的攻擊；加密路由器（Encryptinn Router），加密路由器對通過路由器的信息流進行加密和壓縮，然後通過外部網路傳輸到目的端進行解壓縮和解密。

5.各類防火牆的基本功能、作用與不足

典型的防火牆應包含如下模塊中的一個或多個：包過濾路由器、應用層網關（或代理伺服器）以及鏈路層網關。

1、包過濾路由器

包過濾路由器將對每一個接收到的包進行允許／拒絕的決定。具體地，它對每一個數據報的包頭，按照包過濾規則進行判定，與規則相匹配的包依據路由表信息繼續轉發，否則，則丟棄之。

與服務相關的過濾，是指基於特定的服務進行包過濾，由於絕大多數服務的監聽都駐留在特定TCP�UDP埠，因此，阻塞所有進入特定服務的連接，路由器只需將所有包含特定 TCP／UDP目標埠的包丟棄即可。

獨立於服務的過濾，有些類型的攻擊是與服務無關的，比如：帶有欺騙性的源IP地址攻擊（包中包含一個錯誤的內部系統源IP地址，經掩飾後變成一個似乎來自於一個可以信任的內部主機，此時的過濾規則為：當一個具有內部源IP地址的包到達路由器的任意一個外部介面時，將此包丟棄。）、源路由攻擊、細小碎片攻擊（入侵者使用IP分裂技術將包劃分成很小的一些碎片，然後將TCP頭的信息插入包的一個小碎片中，寄希望過濾規則為丟棄協議類型為TCP而IP幀偏移量為1的所有包）等。由此可見此類網上攻擊僅僅藉助包頭信息是難以識別的，此時，需要路由器在原過濾規則的基礎附上另外的條件，這些條件的判別信息可以通過檢查路由表、指定IP選擇、檢查指定幀偏移量等獲得。

包過濾路由器的優點，大多數防火牆配置成無狀態的包過濾路由器，因而實現包過濾幾乎沒有任何耗費。另外，它對用戶和應用來說是透明的，每台主機無需安裝特定的軟體，使用起來比較方便。

包過濾路由器的局限性在於定義包過濾是個復雜的工作，網路管理員需要對各種網際網路服務、包頭格式以及希望在每一個城找到的特定的值有足夠的了解：面對復雜的過濾需求，過濾規則將是一個冗長而復雜、不易理解和管理的集合，同樣也很難測試規則的正確性；任何直接通過路由器的包都可能被利用做為發起一個數據驅動的攻擊；隨著過濾數目的增加，將降低路由器包的吞吐量，同時耗費更多CPU的時間而影響系統的性能；再者IP包過濾難以進行行之有效的流量控制，因為它可以許可或拒絕一個特定的服務，但無法理解一個特定服務的內容或數據。

Ⅳ 防火牆基本技術

防火牆的基本技術
防火牆是在對網路的服務功能和拓撲結構詳細分析的基礎上，在被保護對象周圍通過的專用軟體、硬體以及

管理措施的綜合，對跨越網路邊界的信息進行監測、控制甚至修改的設施。目前使用的防火牆技術主要有包過濾

和代理服務技術等，用這些技術可以分別做成具有不同功能的防火牆部件。

⒈包過濾技術

包過濾(Packet Filtering)技術就是在網路的適當位置對數據包進行審查，審查的依據是系統內設置的過濾

邏輯——訪問控製表(Access Control table)。包過濾器逐一審查每份數據包並判斷它是否與包過濾規則相匹配。

過濾規則以順行處理數據包頭信息為基礎，即通過對IP包頭和TCP包頭或UDP包頭的檢查而實現。包過濾工作在網

絡層，故也稱網路防火牆。

在Internet技術中還使用內容過濾技術，擔任內容過濾的軟體有「黑名單」軟體、「白名單」軟體和內容選

擇平台(Platform for Internet Content Selection，PICS)。

「黑名單」軟體是第一代Internet內容過濾軟體，其工作原理是封鎖住不應檢索的網址。其中最有名的是(Cyber

NOT，它記錄了大約7000個網址。「白名單」軟體是第二代Internet內容過濾軟體，其工作原理是先封鎖全部網址，

然後只開放應檢索的網址。

PICS是由麻省理工學院計算機科學實驗室的Jim Miller教授開發的第三代Internet內容過濾軟體。它的主要工

作是對每一個網頁的內容進行分類，並根據內容加上標簽，同時由計算機軟體對網頁的標簽進行檢測，以限制對特

定內容網頁的檢索。

數據包過濾防火牆網路邏輯簡單、性能和透明性好，一般安裝在路由器上。路由器是內部網路與Internet連接

的必要設備是一種天然的防火牆，它可以決定對到來的數據包是否進行轉發。這種防火牆實現方式相當簡捷，效率

較高，在應用環境比較簡單的情況下，能夠以較小的代價在一定程度上保證系統的安全。

包過濾技術是一種完全基於網路層的安全技術，只能根據數據包的來源、目標和埠等網路信息進行判斷，無

法識別基於應用層的惡意侵入，如惡意的Java小程序以及電子郵件中附帶的病毒。有經驗的黑客很容易偽造IP地址，

騙過包過濾型防火牆，一旦突破防火牆，即可對主機上的軟體和配置漏洞進行攻擊。進一步說，由於數據包的源地址、

目標地址以及IP的埠號都在數據包的頭部，很有可能被竊聽或假冒；並且它缺乏用戶日誌(Log)和審計 (Audit)信

息，不具備登錄和報告性能，不能進行審核管理，因而過濾規則的完整性難以驗證，所以安全性較差。

⒉代理服務技術

⑴代理服務概述

代理伺服器(Proxy Server)是位於兩個網路(如Internet和Intranet)之間的一種常見伺服器，如果把網路防火牆

比做門衛，代理伺服器就好比是接待室。門衛只根據證件決定來訪者是否可以進入，而接待室在內部人員與來訪者之

間真正隔起一道屏障，它位於客戶機與伺服器之間，完全阻擋了二者間的數據交流。其特別之處就在於它的雙重角色，

從客戶機來看，它相當於一台真正的伺服器；而從伺服器來看，它又是一台真正的客戶機。當客戶機需要使用服務

器上的數據時，首先將數據請求發給代理伺服器，代理伺服器再根據這一請求向伺服器索取數據，然後再由代理服務

器將數據傳輸給客戶機。由於外部系統與內部伺服器之間沒有直接的數據通道，外部的惡意侵害也就很難傷害到企

業內部網路系統。

代理服務技術可以運用於應用層，也可以運用於傳輸層。運用於應用層的代理服務與過濾路由器組合的防火牆，

被稱為應用層網關，它們是面對不同的應用的。運用於傳輸層的代理服務防火牆，實際上是TCP/UDP連接中繼服務。

⑵代理伺服器的工作原理

圖8-9所示表明了代理伺服器(應用網關)的工作原理。
①代理伺服器運行後，它的核心部件——應用代理程序啟動，並開始監聽某個應用埠(這個應用埠是由安全管

理員設定的)；

②外部客戶需要訪問內部伺服器時，發送請求到對應的應用埠；

③代理伺服器將請求轉發給內部伺服器；

④伺服器的應答也通過代理伺服器發給外部客戶。

一旦應用代理程序與伺服器之間的連接建立，也就在客戶與伺服器之間建立了一個虛連接，這個虛連接是由兩

條虛連接(客戶端到代理伺服器的客戶連接和代理伺服器到伺服器的伺服器連接)和代理伺服器(應用代理程序)的

中轉實現。

圖8-9代理伺服器工作原理

⑶應用代理程序

應用代理程序是代理伺服器的核心部件。對於應用網關來說，應用代理程序是根據不同的應用協議進行設計的，

根據所代理的應用協議，應用網關可以分為FTP網關、Telnet網關、Web網關等，它們各有對應的應用代理程序。

⑷代理伺服器的功能

①中轉數據。

②對傳輸的數據進行預處理常見的有地址過濾、關鍵字過濾和協議過濾。

③對中轉數據提供詳細的日誌和審計。

④節省IP地址。使用網路地址轉換服務(Network Address Translation，NAT)，可以屏蔽內部網路的IP地址，使所

有用戶對外只用一個IP地址，但這也給黑客留下了隱藏自己真實的IP地址，而逃避監視的隱患。

⑤節省網路資源。代理服務常常設置一個較大的硬碟存儲空間，用於存放通過的信息，當內部用戶再訪問相同的信

息時，就可以直接從緩沖區中讀取。

代理服務的隔離作用強，具有對過往的數據包進行分析監控、注冊登記、過濾、記錄和報告等功能，可以針對

應用層進行偵測和掃描，當發現被攻擊跡象時會向網路管理員發出警報，並能保留攻擊痕跡，因此，具有比包過濾

更強的防火牆功能。它的缺點是必須針對客戶機可能產生的所有應用類型逐一進行設置，大大增加了系統管理的復

雜性。

⒊堡壘主機

運行防火牆軟體(例如運行應用代理程序)的主機稱為堡壘主機。堡壘主機是防火牆最關鍵的部件，也是入侵者

最關注的部件，因此它必須健壯，必須不容易被攻破。

Ⅳ 防火牆的核心技術有哪些

1.包過濾技術

包過濾技術是一種簡單、有效的安全控制技術，它工作在網路層，通過在網路間相互連接的設備上載入允許、禁止來自某些特定的源地址、目的地址、TCP埠號等規則，對通過設備的數據包進行檢查，限制數據包進出內部網路。

防火牆技術有哪些？防火牆的核心技術及最新防火牆技術

包過濾的最大優點是對用戶透明，傳輸性能高。但由於安全控制層次在網路層、傳輸層，安全控制的力度也只限於源地址、目的地址和埠號，因而只能進行較為初步的安全控制，對於惡意的擁塞攻擊、內存覆蓋攻擊或病毒等高層次的攻擊手段，則無能為力。

2.應用代理技術

應用代理防火牆工作在OSI的第七層，它通過檢查所有應用層的信息包，並將檢查的內容信息放入決策過程，從而提高網路的安全性。

應用網關防火牆是通過打破客戶機／伺服器模式實現的。每個客戶機／伺服器通信需要兩個連接：一個是從客戶端到防火牆，另一個是從防火牆到伺服器。另外，每個代理需要一個不同的應用進程，或一個後台運行的服務程序，對每個新的應用必須添加針對此應用的服務程序，否則不能使用該服務。所以，應用網關防火牆具有可伸縮性差的缺點。

3.狀態檢測技術

狀態檢測防火牆工作在OSI的第二至四層，採用狀態檢測包過濾的技術，是傳統包過濾功能擴展而來。狀態檢測防火牆在網路層有一個檢查引擎截獲數據包並抽取出與應用層狀態有關的信息，並以此為依據決定對該連接是接受還是拒絕。這種技術提供了高度安全的解決方案，同時具有較好的適應性和擴展性。狀態檢測防火牆一般也包括一些代理級的服務，它們提供附加的對特定應用程序數據內容的支持。

狀態檢測防火牆基本保持了簡單包過濾防火牆的優點，性能比較好，同時對應用是透明的，在此基礎上，對於安全性有了大幅提升。這種防火牆摒棄了簡單包過濾防火牆僅僅考察進出網路的數據包，不關心數據包狀態的缺點，在防火牆的核心部分建立狀態連接表，維護了連接，將進出網路的數據當成一個個的事件來處理。主要特點是由於缺乏對應用層協議的深度檢測功能，無法徹底的識別數據包中大量的垃圾郵件、廣告以及木馬程序等等。

4.完全內容檢測技術

完全內容檢測技術防火牆綜合狀態檢測與應用代理技術，並在此基礎上進一步基於多層檢測架構，把防病毒、內容過濾、應用識別等功能整合到防火牆里，其中還包括IPS功能，多單元融為一體，在網路界面對應用層掃描，把防病毒、內容過濾與防火牆結合起來，這體現了網路與信息安全的新思路，(因此也被稱為「下一代防火牆技術」)。它在網路邊界實施OSI第七層的內容掃描，實現了實時在網路邊緣布署病毒防護、內容過濾等應用層服務措施。完全內容檢測技術防火牆可以檢查整個數據包內容，根據需要建立連接狀態表，網路層保護強，應用層控制細等優點，但由於功能集成度高，對產品硬體的要求比較高。