防火牆的主要技術有哪些

❶ 防火牆技術有哪些

從實現原理上分，防火牆的技術包括四大類：網路級防火牆、應用級網關、電路級網關和規則檢查防火牆。

1、網路級防火牆

一般是基於源地址和目的地址、應用、協議以及每個IP包的埠來作出通過與否的判斷。防火牆檢查每一條規則直至發現包中的信息與某規則相符。

如果沒有一條規則能符合，防火牆就會使用默認規則，一般情況下，默認規則就是要求防火牆丟棄該包。通過定義基於TCP或UDP數據包的埠號，防火牆能夠判斷是否允許建立特定的連接，如Telnet、FTP連接。

2、應用級網關

應用級網關能夠檢查進出的數據包，通過網關復制傳遞數據，防止在受信任伺服器和客戶機與不受信任的主機間直接建立聯系。應用級網關能夠理解應用層上的協議，能夠做復雜一些的訪問控制，並做精細的注冊和稽核。

它針對特別的網路應用服務協議即數據過濾協議，並且能夠對數據包分析並形成相關的報告。應用網關對某些易於登錄和控制所有輸出輸入的通信的環境給予嚴格的控制，以防有價值的程序和數據被竊取。

3、電路級網關

電路級網關用來監控受信任的客戶或伺服器與不受信任的主機間的TCP握手信息,這樣來決定該會話是否合法，電路級網關是在OSI模型中會話層上來過濾數據包，這樣比包過濾防火牆要高二層。

電路級網關代理伺服器功能，代理伺服器是設置在Internet防火牆網關的專用應用級代碼。這種代理服務准許網管員允許或拒絕特定的應用程序或一個應用的特定功能。包過濾技術和應用網關是通過特定的邏輯判斷來決定是否允許特定的數據包通過，成功地實現了防火牆內外計算機系統的隔離。

4、規則檢查防火牆

該防火牆結合了包過濾防火牆、電路級網關和應用級網關的特點。能夠在OSI網路層上通過IP地址和埠號，過濾進出的數據包，也能夠檢查SYN和ACK標記和序列數字是否邏輯有序。當然它也象應用級網關一樣，可以在OSI應用層上檢查數據包的內容，查看這些內容是否能符合企業網路的安全規則。

規則檢查防火牆雖然集成前三者的特點，但是不同於一個應用級網關的是，它並不打破客戶機/伺服器模式來分析應用層的數據，它允許受信任的客戶機和不受信任的主機建立直接連接。規則檢查防火牆不依靠與應用層有關的代理，而是依靠某種演算法來識別進出的應用層數據。

(1)防火牆的主要技術有哪些擴展閱讀

應用防火牆技術考慮以下方面：

1、防火牆是不能防病毒的。

2、防火牆技術的另外一個弱點在於數據在防火牆之間的更新是一個難題，如果延遲太大將無法支持實時服務請求。

防火牆採用濾波技術，濾波通常使網路的性能降低50%以上，如果為了改善網路性能而購置高速路由器，又會大大提高經濟預算。

防火牆是企業網安全問題的常用方案，即把公共數據和服務置於防火牆外，使其對防火牆內部資源的訪問受到限制。作為一種網路安全技術，防火牆具有簡單實用的特點，並且透明度高，可以在不修改原有網路應用系統的情況下達到一定的安全要求。

❷ 防火牆的核心技術有哪些

1.包過濾技術

包過濾技術是一種簡單、有效的安全控制技術，它工作在網路層，通過在網路間相互連接的設備上載入允許、禁止來自某些特定的源地址、目的地址、TCP埠號等規則，對通過設備的數據包進行檢查，限制數據包進出內部網路。

防火牆技術有哪些？防火牆的核心技術及最新防火牆技術

包過濾的最大優點是對用戶透明，傳輸性能高。但由於安全控制層次在網路層、傳輸層，安全控制的力度也只限於源地址、目的地址和埠號，因而只能進行較為初步的安全控制，對於惡意的擁塞攻擊、內存覆蓋攻擊或病毒等高層次的攻擊手段，則無能為力。

2.應用代理技術

應用代理防火牆工作在OSI的第七層，它通過檢查所有應用層的信息包，並將檢查的內容信息放入決策過程，從而提高網路的安全性。

應用網關防火牆是通過打破客戶機／伺服器模式實現的。每個客戶機／伺服器通信需要兩個連接：一個是從客戶端到防火牆，另一個是從防火牆到伺服器。另外，每個代理需要一個不同的應用進程，或一個後台運行的服務程序，對每個新的應用必須添加針對此應用的服務程序，否則不能使用該服務。所以，應用網關防火牆具有可伸縮性差的缺點。

3.狀態檢測技術

狀態檢測防火牆工作在OSI的第二至四層，採用狀態檢測包過濾的技術，是傳統包過濾功能擴展而來。狀態檢測防火牆在網路層有一個檢查引擎截獲數據包並抽取出與應用層狀態有關的信息，並以此為依據決定對該連接是接受還是拒絕。這種技術提供了高度安全的解決方案，同時具有較好的適應性和擴展性。狀態檢測防火牆一般也包括一些代理級的服務，它們提供附加的對特定應用程序數據內容的支持。

狀態檢測防火牆基本保持了簡單包過濾防火牆的優點，性能比較好，同時對應用是透明的，在此基礎上，對於安全性有了大幅提升。這種防火牆摒棄了簡單包過濾防火牆僅僅考察進出網路的數據包，不關心數據包狀態的缺點，在防火牆的核心部分建立狀態連接表，維護了連接，將進出網路的數據當成一個個的事件來處理。主要特點是由於缺乏對應用層協議的深度檢測功能，無法徹底的識別數據包中大量的垃圾郵件、廣告以及木馬程序等等。

4.完全內容檢測技術

完全內容檢測技術防火牆綜合狀態檢測與應用代理技術，並在此基礎上進一步基於多層檢測架構，把防病毒、內容過濾、應用識別等功能整合到防火牆里，其中還包括IPS功能，多單元融為一體，在網路界面對應用層掃描，把防病毒、內容過濾與防火牆結合起來，這體現了網路與信息安全的新思路，(因此也被稱為「下一代防火牆技術」)。它在網路邊界實施OSI第七層的內容掃描，實現了實時在網路邊緣布署病毒防護、內容過濾等應用層服務措施。完全內容檢測技術防火牆可以檢查整個數據包內容，根據需要建立連接狀態表，網路層保護強，應用層控制細等優點，但由於功能集成度高，對產品硬體的要求比較高。

❸ 防火牆技術的基本分類有哪些

目前防火牆產品非常之多，劃分的標准也比較雜。
主要分類如下：
1.
從軟、硬體形式上分為
軟體防火牆和硬體防火牆以及晶元級防火牆。
2.從防火牆技術分為
「包過濾型」和「應用代理型」兩大類。
3.從防火牆結構分為
<
單一主機防火牆、路由器集成式防火牆和分布式防火牆三種。
4.
按防火牆的應用部署位置分為
邊界防火牆、個人防火牆和混合防火牆三大類。
5.
按防火牆性能分為
百兆級防火牆和千兆級防火牆兩類。

❹ 防火牆的主要功能和技術支撐是

您好，防火牆的主要技術支撐不是加密技術，防火牆的主要技術有：
1.Internet網關技術
2.網路地址轉換技術（NAT）
3.多級的過濾技術
4.靈活的代理系統
5.透明的訪問方式
6.用戶鑒別與加密
防火牆的功能也不僅僅是防止把網外未經授權的信息發送到網內，還有對有害信息過濾，攻擊防禦，反埠掃描，IP隱身等等的功能。

❺ 防火牆主要技術指標

防火牆
主要設備性能指標
符合工業標準的狀態檢測防火牆，策略配置簡單、方便。
工作模式：網路地址轉換，透明模式，路由模式。
用戶認證：內建用戶認證資料庫，支持RADIUS認證資料庫，支持LDAP認證資料庫。
服務：支持標准服務（例如：FTP、NetMeeting、GRE），用戶自定義服務、服務組。
時間表：根據小時、日、周和月建立一次性或循環時間表，防火牆根據不同的時間表定義安全策略。
防禦功能：全面的攻擊防禦功能，包括DoS、埠掃描、緩沖區溢出、暴力攻擊、特洛伊木馬等攻擊。
病毒防護：基於防火牆訪問控制策略的病毒掃描。
地址翻譯：提供網路地址翻譯（NAT）和埠地址翻譯（PAT）,實現IP地址的隱藏，節省IP地址資源。
IP/MAC綁定：阻止來自IP地址欺騙的攻擊。

入侵檢測

網路入侵檢測系統性能要求

基本要求
1.★網路入侵檢測產品要求取得中國人民共和國公安部的《計算機信息系統安全專用產品銷售許可證》；國家信息安全測評認證中心頒發的《國家信息安全認證產品型號證書》；國家保密局涉秘信息系統產品檢測證書。
2.★具有良好的處理性能，滿足百兆網路監控的要求，具體包括：
a)每秒並發TCP會話數超過10萬
b)每秒最大並發TCP會話數超過20萬
c)最大性能處理能力達到200MB
3.★最小支持2個百兆監聽口，適用百兆環境，1U硬體
4.★產品要求為國內開發，所有的圖形界面與文檔資料要求均為中文，具備自主知識產權。
5.★廠商須有對系統漏洞進行發現、驗證、以及提供應急服務的技術能力。
6.★要求入侵檢測系統探針為機架式硬體設備，系統硬體為全內置封閉式結構，穩定可靠，無需USB盤、光碟等存儲設備即可運行。

檢測能力
1.實時監測的對象包括不同的操作系統平台、應用系統、區域網，支持高速百兆交換網路的監控。
2.★產品的知識庫全面，至少能對1800多種以上的攻擊行為進行檢測；升級過程不停止監測過程；規則庫與CVE兼容。
3.★產品應具有完善的協議識別能力， 支持深度協議識別，能夠監測基於Smart Tunnel方式的信息，請描述原理。
4.能夠對http,ftp,smtp,pop,telnet等常用協議進行連接回放。
5.★協議異常檢測能力，深入分析各種協議，對違反 RFC 規定的通訊協議進行報警，具有發現未知攻擊的能力。
6.能夠針對各種協議有效進行IP碎片重組與TCP流匯聚能力，能夠檢測到黑客採用任意分片方式進行的攻擊，防止利用碎片穿透技術突破防火牆和欺騙入侵檢測系統，讓碎片欺騙技術無所遁形。
7.★無需使用外部的工具（如掃描器）就能夠准確檢測攻擊行為成功與失敗。
8.★對使用非預設埠的應用服務或木馬能成功檢測。
9.基於內容的關鍵字過濾，對於違背安全規則的會話的記錄、攔截、中斷功能，防止網路濫用，對URL的分類記錄阻斷功能。
10.支持安全策略的自定義，可以根據時間、源或目的IP等信息監控或忽略特定的攻擊行為。
11.支持用戶自定義的檢測功能，可以根據IP地址、時間段對特定訪問及訪問的內容進行記錄和報警。

管理能力
1.支持多個分布式的探測引擎，對多個網段同時進行入侵檢測與響應，實現入侵檢測系統「統一管理、集中監控、多級運行」的功能。
2.★控制台支持任意層次的級聯部署，上級控制台可以將最新的最新升級補丁，規則模板文件，探測器配置文件等統一發送到下級控制台，保持整個系統的完整同一性。
3.★支持控制台與探測器的雙向連接。
4.網路探測引擎的監測埠應能配置為無IP地址，在網路中實現自身隱藏。
5.可對策略下發、策略對應處理動作的修改。
6.管理員可以為不同用戶設置相關許可權，保證管理的靈活性。
7.管理員能夠隨時利用提供的正規表達式對最新出現的攻擊方式進行特徵定義。
8.★會話記錄及回放能夠對指定來源或保護對象的TCP會話進行跟蹤和回放，對於一些可能存在的危險行為可以實施跟蹤觀察 ，方便管理員確定攻擊者意圖和攻擊途徑。
9.★能夠提供多種響應方式。能夠實時的切斷基於TCP協議的攻擊行為，支持與多種防火牆聯動，如 Checkpoint，Netscreen，黑洞，天網，天融信，東方龍馬,海信，中網等等，同時應支持通用telnet命令行介面管理的其他防火牆。
10.★能支持ESP（Enterprise Security Planning）開放式安全管理平台協議互通。

日誌報告和升級
1.★支持日誌緩存，在探測引擎的網路完全斷開的情況下，探測引擎仍然會將檢測到的攻擊行為在探測器本地保存，等到網路恢復正常自動的同步到控制台或日誌資料庫。不會出現網路斷開而丟失告警信息的情況。
2.★日誌合並，保證檢測到相同類型的攻擊的時候控制台報警信息不能造成刷屏顯示。
3.報表系統可以自動生成各種形式的攻擊統計報表，形式包括日報表，月報表，年報表等，通過來源分析，目標分析，類別分析等多種分析方式，以直觀、清晰的方式從總體上分析網路上發生的各種事件，為管理人員提供方便。
4.對發現的攻擊行為應該記錄到典型資料庫中例如SQL Server等，並提供基於時間、事件、風險級別等組合的分析功能，並且可以產生各種圖片、文字的報告形式，報告必須自動支持輸出到通用的HTML、PDF、TXT、WORD等格式文件。
5.★可以執行任意粒度的日誌歸並動作，完全避免類似Stick的Anti NIDS。
6.自定義報表：可自由選擇報表模板，可任意定義條件；可動態調整生成報告的時間范圍。
7.支持全自動備份清除日誌資料庫。
8.考慮到當前的IDS的實際情況，控制台應該具有方便的日誌過濾功能。
9.★升級功能：支持所有部件包括引擎、控制台、規則庫在內的實時在線升級和離線手工升級。升級包通過中央控制台升級完畢後所有探測器應自動同步升級。引擎支持串口，控制台兩種升級路徑。

❻ 目前有哪幾種防火牆技術，各自的特點是什麼

首先這要看你怎麼區別防火牆
一，如果你是按物理上分，可以分為硬體防火牆（比如思科的ASA），和軟體防火牆（比如WINDOWS系統本身自的防火牆）
二，如果是按照原理分，可以分為包過濾（這是第一代），應用代理（第二代），狀態監視（第三代）
包過濾的原理也是特點：
這是第一代防火牆，又稱為網路層防火牆，在每一個數據包傳送到源主機時都會在網路層進行過濾，對於不合法的數據訪問，防火牆會選擇阻攔以及丟棄。這種防火牆的連接可以通過一個網卡即一張網卡由內網的IP地址，又有公網的IP地址和兩個網卡一個網卡上有私有網路的IP地址，另一個網卡有外部網路的IP地址。
包過濾的缺點，有一攻擊是無法防護，比如DDOS等。
應用代理的原理也是特點：
應用程序代理防火牆又稱為應用層防火牆，工作於OSI的應用層上。應用程序代理防火牆實際上並不允許在它連接的網路之間直接通信。相反，它是接受來自內部網路特定用戶應用程序的通信，然後建立於公共網路伺服器單獨的連接。
應用代理的缺點是速度相比慢一些。
狀態監視的原理也是特點：
應用程序代理防火牆又稱為應用層防火牆，工作於OSI的應用層上。應用程序代理防火牆實際上並不允許在它連接的網路之間直接通信。相反，它是接受來自內部網路特定用戶應用程序的通信，然後建立於公共網路伺服器單獨的連接。
相對而言狀態監視是比較不錯的，就缺點而言，就是技術復雜，有時過於機械，不靈活。

❼ 防火牆基本技術

防火牆的基本技術
防火牆是在對網路的服務功能和拓撲結構詳細分析的基礎上，在被保護對象周圍通過的專用軟體、硬體以及

管理措施的綜合，對跨越網路邊界的信息進行監測、控制甚至修改的設施。目前使用的防火牆技術主要有包過濾

和代理服務技術等，用這些技術可以分別做成具有不同功能的防火牆部件。

⒈包過濾技術

包過濾(Packet Filtering)技術就是在網路的適當位置對數據包進行審查，審查的依據是系統內設置的過濾

邏輯——訪問控製表(Access Control table)。包過濾器逐一審查每份數據包並判斷它是否與包過濾規則相匹配。

過濾規則以順行處理數據包頭信息為基礎，即通過對IP包頭和TCP包頭或UDP包頭的檢查而實現。包過濾工作在網

絡層，故也稱網路防火牆。

在Internet技術中還使用內容過濾技術，擔任內容過濾的軟體有「黑名單」軟體、「白名單」軟體和內容選

擇平台(Platform for Internet Content Selection，PICS)。

「黑名單」軟體是第一代Internet內容過濾軟體，其工作原理是封鎖住不應檢索的網址。其中最有名的是(Cyber

NOT，它記錄了大約7000個網址。「白名單」軟體是第二代Internet內容過濾軟體，其工作原理是先封鎖全部網址，

然後只開放應檢索的網址。

PICS是由麻省理工學院計算機科學實驗室的Jim Miller教授開發的第三代Internet內容過濾軟體。它的主要工

作是對每一個網頁的內容進行分類，並根據內容加上標簽，同時由計算機軟體對網頁的標簽進行檢測，以限制對特

定內容網頁的檢索。

數據包過濾防火牆網路邏輯簡單、性能和透明性好，一般安裝在路由器上。路由器是內部網路與Internet連接

的必要設備是一種天然的防火牆，它可以決定對到來的數據包是否進行轉發。這種防火牆實現方式相當簡捷，效率

較高，在應用環境比較簡單的情況下，能夠以較小的代價在一定程度上保證系統的安全。

包過濾技術是一種完全基於網路層的安全技術，只能根據數據包的來源、目標和埠等網路信息進行判斷，無

法識別基於應用層的惡意侵入，如惡意的Java小程序以及電子郵件中附帶的病毒。有經驗的黑客很容易偽造IP地址，

騙過包過濾型防火牆，一旦突破防火牆，即可對主機上的軟體和配置漏洞進行攻擊。進一步說，由於數據包的源地址、

目標地址以及IP的埠號都在數據包的頭部，很有可能被竊聽或假冒；並且它缺乏用戶日誌(Log)和審計 (Audit)信

息，不具備登錄和報告性能，不能進行審核管理，因而過濾規則的完整性難以驗證，所以安全性較差。

⒉代理服務技術

⑴代理服務概述

代理伺服器(Proxy Server)是位於兩個網路(如Internet和Intranet)之間的一種常見伺服器，如果把網路防火牆

比做門衛，代理伺服器就好比是接待室。門衛只根據證件決定來訪者是否可以進入，而接待室在內部人員與來訪者之

間真正隔起一道屏障，它位於客戶機與伺服器之間，完全阻擋了二者間的數據交流。其特別之處就在於它的雙重角色，

從客戶機來看，它相當於一台真正的伺服器；而從伺服器來看，它又是一台真正的客戶機。當客戶機需要使用服務

器上的數據時，首先將數據請求發給代理伺服器，代理伺服器再根據這一請求向伺服器索取數據，然後再由代理服務

器將數據傳輸給客戶機。由於外部系統與內部伺服器之間沒有直接的數據通道，外部的惡意侵害也就很難傷害到企

業內部網路系統。

代理服務技術可以運用於應用層，也可以運用於傳輸層。運用於應用層的代理服務與過濾路由器組合的防火牆，

被稱為應用層網關，它們是面對不同的應用的。運用於傳輸層的代理服務防火牆，實際上是TCP/UDP連接中繼服務。

⑵代理伺服器的工作原理

圖8-9所示表明了代理伺服器(應用網關)的工作原理。
①代理伺服器運行後，它的核心部件——應用代理程序啟動，並開始監聽某個應用埠(這個應用埠是由安全管

理員設定的)；

②外部客戶需要訪問內部伺服器時，發送請求到對應的應用埠；

③代理伺服器將請求轉發給內部伺服器；

④伺服器的應答也通過代理伺服器發給外部客戶。

一旦應用代理程序與伺服器之間的連接建立，也就在客戶與伺服器之間建立了一個虛連接，這個虛連接是由兩

條虛連接(客戶端到代理伺服器的客戶連接和代理伺服器到伺服器的伺服器連接)和代理伺服器(應用代理程序)的

中轉實現。

圖8-9代理伺服器工作原理

⑶應用代理程序

應用代理程序是代理伺服器的核心部件。對於應用網關來說，應用代理程序是根據不同的應用協議進行設計的，

根據所代理的應用協議，應用網關可以分為FTP網關、Telnet網關、Web網關等，它們各有對應的應用代理程序。

⑷代理伺服器的功能

①中轉數據。

②對傳輸的數據進行預處理常見的有地址過濾、關鍵字過濾和協議過濾。

③對中轉數據提供詳細的日誌和審計。

④節省IP地址。使用網路地址轉換服務(Network Address Translation，NAT)，可以屏蔽內部網路的IP地址，使所

有用戶對外只用一個IP地址，但這也給黑客留下了隱藏自己真實的IP地址，而逃避監視的隱患。

⑤節省網路資源。代理服務常常設置一個較大的硬碟存儲空間，用於存放通過的信息，當內部用戶再訪問相同的信

息時，就可以直接從緩沖區中讀取。

代理服務的隔離作用強，具有對過往的數據包進行分析監控、注冊登記、過濾、記錄和報告等功能，可以針對

應用層進行偵測和掃描，當發現被攻擊跡象時會向網路管理員發出警報，並能保留攻擊痕跡，因此，具有比包過濾

更強的防火牆功能。它的缺點是必須針對客戶機可能產生的所有應用類型逐一進行設置，大大增加了系統管理的復

雜性。

⒊堡壘主機

運行防火牆軟體(例如運行應用代理程序)的主機稱為堡壘主機。堡壘主機是防火牆最關鍵的部件，也是入侵者

最關注的部件，因此它必須健壯，必須不容易被攻破。

❽ 常用防火牆技術有哪幾種

可以安裝一些殺毒軟體在電腦上
如電腦管家一類的，然後一直保持開啟
這樣就可以預防病毒進入到電腦當中了

❾ 防火牆的分類及主要技術

1、防火牆的基本准則

防火牆可以採取如下兩種之一理念來定義防火牆應遵循的准則：

其一、未經說明允可的就是拒絕。防火牆阻塞所有流經的信息，每一個服務請求或應用的實現都基於逐項審查的基礎上。這是一個值得推薦的方法，它將創建一個非常安全的環境。當然，該理念的不足在於過於強調安全而減弱了可用性，限制了用戶可以申請的服務的數量。

其二、未說明拒絕的均為許可的。約定防火牆總是傳遞所有的信息，此方式認定每一個潛在的危害總是可以基於逐項審查而被杜絕。當然，該理念的不足在於它將可用性置於比安全更為重要的地位，增加了保證私有網安全性的難度。

2、企業網的安全策略

在一個企業網中，防火牆應該是全局安全策略的一部分，構建防火牆時首先要考慮其保護的范圍。企業網的安全策略應該在細致的安全分析、全面的風險假設以及商務需求分析基礎上來制定。

3.防火牆的基本概念

防火牆是一個系統或一組系統，它在企業內網與網際網路間執行一定的安全策略。

一個有效的防火牆應該能夠確保：所有從網際網路流入或流向網際網路的信息都將經過防火牆；所有流經防火牆的信息都應接受檢查。

網際網路防火牆的功能為：通過防火牆可以定義一個關鍵點以防止外來入侵；監控網路的安全並在異常情況下給出報警提示，尤其對於重大的信息量通過時除進行檢查外，應做日誌登記；提供網路地址轉換（NAT）功能，有助於緩解IP地址資源緊張的問題，同時，可以避免當一個內部網更換ISP時需重新編號的麻煩；防火牆可查詢或登記網際網路的使用情況，可以確認網際網路連入的代價、潛在的帶寬瓶須，以使費用的耗費滿足企業內部財政模式；防火牆是為客戶提供服務的理想位置，即在其上可以配置相應的WWW和FTP服務，使網際網路用戶僅可以訪問此類服務，而禁止對保護網路的其他系統的訪問。

4.防火牆的分類、作用

現有的防火牆主要有：包過濾型、代理伺服器型、復合型以及其他類型（雙宿主主機、主機過濾以及加密路由器）防火牆。

包過濾（Packet Fliter）通常安裝在路由器上，而且大多數商用路由器都提供了包過濾的功能。包過濾規則以IP包信息為基礎，對IP源地址、目標地址、封裝協議、埠號等進行篩選。包過濾在網路層進行。

代理伺服器型（Proxy Service）防火牆通常由兩部分構成，伺服器端程序和客戶端程序。客戶端程序與中間節點（Proxy Server）連接，中間節點再與提供服務的伺服器實際連接。與包過濾防火牆不同的是，內外網間不存在直接的連接，而且代理伺服器提供日誌（Log）和審計（Audit）服務。

復合型（Hybfid）防火牆將包過濾和代理服務兩種方法結合起來，形成新的防火牆，由堡壘主機（Bastion Host）提供代理服務。

各類防火牆路由器和各種主機按其配置和功能可組成各種類型的防火牆，主要有：雙宿主主機防火牆（Dua1－Homed Host Firewall），它是由堡壘主機充當網關，並在其上運行防火牆軟體，內外網之間的通信必須經過堡壘主機；主機過濾防火牆（ Screened Host Firewall）是指一個包過濾路由器與外部網相連，同時，一個堡壘主機安裝在內部網上，使堡壘主機成為外部網所能到達的惟一節點，從而確保內部網不受外部非授權用戶的攻擊；加密路由器（Encryptinn Router），加密路由器對通過路由器的信息流進行加密和壓縮，然後通過外部網路傳輸到目的端進行解壓縮和解密。

5.各類防火牆的基本功能、作用與不足

典型的防火牆應包含如下模塊中的一個或多個：包過濾路由器、應用層網關（或代理伺服器）以及鏈路層網關。

1、包過濾路由器

包過濾路由器將對每一個接收到的包進行允許／拒絕的決定。具體地，它對每一個數據報的包頭，按照包過濾規則進行判定，與規則相匹配的包依據路由表信息繼續轉發，否則，則丟棄之。

與服務相關的過濾，是指基於特定的服務進行包過濾，由於絕大多數服務的監聽都駐留在特定TCP�UDP埠，因此，阻塞所有進入特定服務的連接，路由器只需將所有包含特定 TCP／UDP目標埠的包丟棄即可。

獨立於服務的過濾，有些類型的攻擊是與服務無關的，比如：帶有欺騙性的源IP地址攻擊（包中包含一個錯誤的內部系統源IP地址，經掩飾後變成一個似乎來自於一個可以信任的內部主機，此時的過濾規則為：當一個具有內部源IP地址的包到達路由器的任意一個外部介面時，將此包丟棄。）、源路由攻擊、細小碎片攻擊（入侵者使用IP分裂技術將包劃分成很小的一些碎片，然後將TCP頭的信息插入包的一個小碎片中，寄希望過濾規則為丟棄協議類型為TCP而IP幀偏移量為1的所有包）等。由此可見此類網上攻擊僅僅藉助包頭信息是難以識別的，此時，需要路由器在原過濾規則的基礎附上另外的條件，這些條件的判別信息可以通過檢查路由表、指定IP選擇、檢查指定幀偏移量等獲得。

包過濾路由器的優點，大多數防火牆配置成無狀態的包過濾路由器，因而實現包過濾幾乎沒有任何耗費。另外，它對用戶和應用來說是透明的，每台主機無需安裝特定的軟體，使用起來比較方便。

包過濾路由器的局限性在於定義包過濾是個復雜的工作，網路管理員需要對各種網際網路服務、包頭格式以及希望在每一個城找到的特定的值有足夠的了解：面對復雜的過濾需求，過濾規則將是一個冗長而復雜、不易理解和管理的集合，同樣也很難測試規則的正確性；任何直接通過路由器的包都可能被利用做為發起一個數據驅動的攻擊；隨著過濾數目的增加，將降低路由器包的吞吐量，同時耗費更多CPU的時間而影響系統的性能；再者IP包過濾難以進行行之有效的流量控制，因為它可以許可或拒絕一個特定的服務，但無法理解一個特定服務的內容或數據。

❿ 什麼是防火牆技術防火牆技術的作用有哪些

防火牆用於控制網路間的通信，隔離內外網路，屏蔽阻止網路攻擊；常見的防火牆技術有包過濾防火牆、代理服務型、應用層安全網關等。