電路級防火牆

Ⅰ 目前有哪幾種防火牆技術，各自的特點是什麼

首先這要看你怎麼區別防火牆
一，如果你是按物理上分，可以分為硬體防火牆（比如思科的ASA），和軟體防火牆（比如WINDOWS系統本身自的防火牆）
二，如果是按照原理分，可以分為包過濾（這是第一代），應用代理（第二代），狀態監視（第三代）
包過濾的原理也是特點：
這是第一代防火牆，又稱為網路層防火牆，在每一個數據包傳送到源主機時都會在網路層進行過濾，對於不合法的數據訪問，防火牆會選擇阻攔以及丟棄。這種防火牆的連接可以通過一個網卡即一張網卡由內網的IP地址，又有公網的IP地址和兩個網卡一個網卡上有私有網路的IP地址，另一個網卡有外部網路的IP地址。
包過濾的缺點，有一攻擊是無法防護，比如DDOS等。
應用代理的原理也是特點：
應用程序代理防火牆又稱為應用層防火牆，工作於OSI的應用層上。應用程序代理防火牆實際上並不允許在它連接的網路之間直接通信。相反，它是接受來自內部網路特定用戶應用程序的通信，然後建立於公共網路伺服器單獨的連接。
應用代理的缺點是速度相比慢一些。
狀態監視的原理也是特點：
應用程序代理防火牆又稱為應用層防火牆，工作於OSI的應用層上。應用程序代理防火牆實際上並不允許在它連接的網路之間直接通信。相反，它是接受來自內部網路特定用戶應用程序的通信，然後建立於公共網路伺服器單獨的連接。
相對而言狀態監視是比較不錯的，就缺點而言，就是技術復雜，有時過於機械，不靈活。

Ⅱ 常用防火牆技術只要有哪2種

防火牆技術 - 概念原理

防火牆是汽車中一個部件的名稱。在汽車中，利用防火牆把乘客和引擎隔開，以便汽車引擎一旦著火，防火牆不但能保護乘客安全，而同時還能讓司機繼續控制引擎。再電腦術語中，當然就不是這個意思了，我們可以類比來理解，在網路中，所謂「防火牆」，是指一種將內部網和公眾訪問網(如Internet)分開的方法，它實際上是一種隔離技術。防火牆是在兩個網路通訊時執行的一種訪問控制尺度，它能允許你「同意」的人和數據進入你的網路，同時將你「不同意」的人和數據拒之門外，最大限度地阻止網路中的黑客來訪問你的網路。換句話說，如果不通過防火牆，公司內部的人就無法訪問Internet，Internet上的人也無法和公司內部的人進行通信。

防火牆（FireWall）成為近年來新興的保護計算機網路安全技術性措施。它是一種隔離控制技術，在某個機構的網路和不安全的網路（如Internet）之間設置屏障，阻止對信息資源的非法訪問，也可以使用防火牆阻止重要信息從企業的網路上被非法輸出。作為Internet網的安全性保護軟體，FireWall已經得到廣泛的應用。通常企業為了維護內部的信息系統安全，在企業網和Internet間設立FireWall軟體。企業信息系統對於來自Internet的訪問，採取有選擇的接收方式。它可以允許或禁止一類具體的IP地址訪問，也可以接收或拒絕TCP/IP上的某一類具體的應用。如果在某一台IP主機上有需要禁止的信息或危險的用戶，則可以通過設置使用FireWall過濾掉從該主機發出的包。如果一個企業只是使用Internet的電子郵件和WWW伺服器向外部提供信息，那麼就可以在FireWall上設置使得只有這兩類應用的數據包可以通過。這對於路由器來說，就要不僅分析IP層的信息，而且還要進一步了解TCP傳輸層甚至應用層的信息以進行取捨。FireWall一般安裝在路由器上以保護一個子網，也可以安裝在一台主機上，保護這台主機不受侵犯。
防火牆技術 - 種類

從實現原理上分，防火牆的技術包括四大類：網路級防火牆（也叫包過濾型防火牆）、應用級網關、電路級網關和規則檢查防火牆。它們之間各有所長，具體使用哪一種或是否混合使用，要看具體需要。
1 、網路級防火牆：一般是基於源地址和目的地址、應用、協議以及每個IP包的埠來作出通過與否的判斷。一個路由器便是一個「傳統」的網路級防火牆，大多數的路由器都能通過檢查這些信息來決定是否將所收到的包轉發，但它不能判斷出一個IP包來自何方，去向何處。防火牆檢查每一條規則直至發現包中的信息與某規則相符。如果沒有一條規則能符合，防火牆就會使用默認規則，一般情況下，默認規則就是要求防火牆丟棄該包。其次，通過定義基於TCP或UDP數據包的埠號，防火牆能夠判斷是否允許建立特定的連接，如Telnet、FTP連接。
2 、應用級網關：應用級網關能夠檢查進出的數據包，通過網關復制傳遞數據，防止在受信任伺服器和客戶機與不受信任的主機間直接建立聯系。應用級網關能夠理解應用層上的協議，能夠做復雜一些的訪問控制，並做精細的注冊和稽核。它針對特別的網路應用服務協議即數據過濾協議，並且能夠對數據包分析並形成相關的報告。應用網關對某些易於登錄和控制所有輸出輸入的通信的環境給予嚴格的控制，以防有價值的程序和數據被竊取。 在實際工作中，應用網關一般由專用工作站系統來完成。但每一種協議需要相應的代理軟體，使用時工作量大，效率不如網路級防火牆。 應用級網關有較好的訪問控制，是目前最安全的防火牆技術，但實現困難，而且有的應用級網關缺乏「透明度」。在實際使用中，用戶在受信任的網路上通過防火牆訪問Internet時，經常會發現存在延遲並且必須進行多次登錄（Login）才能訪問Internet或Intranet。
3 、電路級網關：電路級網關用來監控受信任的客戶或伺服器與不受信任的主機間的TCP握手信息,這樣來決定該會話（Session）是否合法,電路級網關是在OSI模型中會話層上來過濾數據包,這樣比包過濾防火牆要高二層。電路級網關還提供一個重要的安全功能：代理伺服器（Proxy Server）。代理伺服器是設置在Internet防火牆網關的專用應用級代碼。這種代理服務准許網管員允許或拒絕特定的應用程序或一個應用的特定功能。包過濾技術和應用網關是通過特定的邏輯判斷來決定是否允許特定的數據包通過，一旦判斷條件滿足，防火牆內部網路的結構和運行狀態便「暴露」在外來用戶面前，這就引入了代理服務的概念，即防火牆內外計算機系統應用層的「鏈接」由兩個終止於代理服務的「鏈接」來實現，這就成功地實現了防火牆內外計算機系統的隔離。同時，代理服務還可用於實施較強的數據流監控、過濾、記錄和報告等功能。代理服務技術主要通過專用計算機硬體（如工作站）來承擔。

4 、規則檢查防火牆：該防火牆結合了包過濾防火牆、電路級網關和應用級網關的特點。它同包過濾防火牆一樣，規則檢查防火牆能夠在OSI網路層上通過IP地址和埠號，過濾進出的數據包。它也象電路級網關一樣，能夠檢查SYN和ACK標記和序列數字是否邏輯有序。當然它也象應用級網關一樣，可以在OSI應用層上檢查數據包的內容，查看這些內容是否能符合企業網路的安全規則。規則檢查防火牆雖然集成前三者的特點，但是不同於一個應用級網關的是，它並不打破客戶機/伺服器模式來分析應用層的數據，它允許受信任的客戶機和不受信任的主機建立直接連接。規則檢查防火牆不依靠與應用層有關的代理，而是依靠某種演算法來識別進出的應用層數據，這些演算法通過已知合法數據包的模式來比較進出數據包，這樣從理論上就能比應用級代理在過濾數據包上更有效。
防火牆技術 - 使用防火牆

防火牆具有很好的保護作用。入侵者必須首先穿越防火牆的安全防線，才能接觸目標計算機。你可以將防火牆配置成許多不同保護級別。高級別的保護可能會禁止一些服務，如視頻流等，但至少這是你自己的保護選擇。
在具體應用防火牆技術時，還要考慮到兩個方面：
1、防火牆是不能防病毒的，盡管有不少的防火牆產品聲稱其具有這個功能。 2、防火牆技術的另外一個弱點在於數據在防火牆之間的更新是一個難題，如果延遲太大將無法支持實時服務請求。並且，防火牆採用濾波技術，濾波通常使網路的性能降低50%以上，如果為了改善網路性能而購置高速路由器，又會大大提高經濟預算。
總之，防火牆是企業網安全問題的流行方案，即把公共數據和服務置於防火牆外，使其對防火牆內部資源的訪問受到限制。作為一種網路安全技術，防火牆具有簡單實用的特點，並且透明度高，可以在不修改原有網路應用系統的情況下達到一定的安全要求。
防火牆技術 - 功能

防火牆對流經它的網路通信進行掃描，這樣能夠過濾掉一些攻擊，以免其在目標計算機上被執行。防火牆還可以關閉不使用的埠。而且它還能禁止特定埠的流出通信，封鎖特洛伊木馬。最後，它可以禁止來自特殊站點的訪問，從而防止來自不明入侵者的所有通信。1、防火牆是網路安全的屏障：一個防火牆（作為阻塞點、控制點）能極大地提高一個內部網路的安全性，並通過過濾不安全的服務而降低風險。由於只有經過精心選擇的應用協議才能通過防火牆，所以網路環境變得更安全。如防火牆可以禁止諸如眾所周知的不安全的NFS協議進出受保護網路，這樣外部的攻擊者就不可能利用這些脆弱的協議來攻擊內部網路。防火牆同時可以保護網路免受基於路由的攻擊，如IP選項中的源路由攻擊和ICMP重定向中的重定向路徑。防火牆應該可以拒絕所有以上類型攻擊的報文並通知防火牆管理員。

2、防火牆可以強化網路安全策略：通過以防火牆為中心的安全方案配置，能將所有安全軟體（如口令、加密、身份認證、審計等）配置在防火牆上。與將網路安全問題分散到各個主機上相比，防火牆的集中安全管理更經濟。例如在網路訪問時，一次一密口令系統和其它的身份認證系統完全可以不必分散在各個主機上，而集中在防火牆一身上。
3、對網路存取和訪問進行監控審計：如果所有的訪問都經過防火牆，那麼，防火牆就能記錄下這些訪問並作出日誌記錄，同時也能提供網路使用情況的統計數據。當發生可疑動作時，防火牆能進行適當的報警，並提供網路是否受到監測和攻擊的詳細信息。另外，收集一個網路的使用和誤用情況也是非常重要的。首先的理由是可以清楚防火牆是否能夠抵擋攻擊者的探測和攻擊，並且清楚防火牆的控制是否充足。而網路使用統計對網路需求分析和威脅分析等而言也是非常重要的。

4、防止內部信息的外泄：通過利用防火牆對內部網路的劃分，可實現內部網重點網段的隔離，從而限制了局部重點或敏感網路安全問題對全局網路造成的影響。再者，隱私是內部網路非常關心的問題，一個內部網路中不引人注意的細節可能包含了有關安全的線索而引起外部攻擊者的興趣，甚至因此而暴漏了內部網路的某些安全漏洞。使用防火牆就可以隱蔽那些透漏內部細節如Finger，DNS等服務。Finger顯示了主機的所有用戶的注冊名、真名，最後登錄時間和使用shell類型等。但是Finger顯示的信息非常容易被攻擊者所獲悉。攻擊者可以知道一個系統使用的頻繁程度，這個系統是否有用戶正在連線上網，這個系統是否在被攻擊時引起注意等等。防火牆可以同樣阻塞有關內部網路中的DNS信息，這樣一台主機的域名和IP地址就不會被外界所了解。除了安全作用，防火牆還支持具有Internet服務特性的企業內部網路技術體系VPN（虛擬專用網）。
防火牆技術 - 意義特徵

防火牆的英文名為「FireWall」，它是目前一種最重要的網路防護設備。從專業角度講，防火牆是位於兩個(或多個)網路間，實施網路之間訪問控制的一組組件集合。防火牆的本義是指古代構築和使用木製結構房屋的時候，為防止火災的發生和蔓延，人們將堅固的石塊堆砌在房屋周圍作為屏障，這種防護構築物就被稱之為「防火牆」。其實與防火牆一起起作用的就是「門」。如果沒有門，各房間的人如何溝通呢，這些房間的人又如何進去呢？當火災發生時，這些人又如何逃離現場呢？這個門就相當於我們這里所講的防火牆的「安全策略」，所以在此我們所說的防火牆實際並不是一堵實心牆，而是帶有一些小孔的牆。這些小孔就是用來留給那些允許進行的通信，在這些小孔中安裝了過濾機制，也就是上面所介紹的「單向導通性」。

我們通常所說的網路防火牆是借鑒了古代真正用於防火的防火牆的喻義，它指的是隔離在本地網路與外界網路之間的一道防禦系統。防火可以使企業內部區域網（LAN）網路與Internet之間或者與其他外部網路互相隔離、限制網路互訪用來保護內部網路。典型的防火牆具有以下三個方面的基本特性：（一）內部網路和外部網路之間的所有網路數據流都必須經過防火牆。這是防火牆所處網路位置特性，同時也是一個前提。因為只有當防火牆是內、外部網路之間通信的唯一通道，才可以全面、有效地保護企業網部網路不受侵害。根據美國國家安全局制定的《信息保障技術框架》 ，防火牆適用於用戶網路系統的邊界，屬於用戶網路邊界的安全保護設備。所謂網路邊界即是採用不同安全策略的兩個網路連接處，比如用戶網路和互聯網之間連接、和其它業務往來單位的網路連接、用戶內部網路不同部門之間的連接等。防火牆的目的就是在網路連接之間建立一個安全控制點，通過允許、拒絕或重新定向經過防火牆的數據流，實現對進、出內部網路的服務和訪問的審計和控制。

典型的防火牆體系網路結構一端連接企事業單位內部的區域網，而另一端則連接著互聯網。所有的內、外部網路之間的通信都要經過防火牆。（二）只有符合安全策略的數據流才能通過防火牆防火牆最基本的功能是確保網路流量的合法性，並在此前提下將網路的流量快速的從一條鏈路轉發到另外的鏈路上去。從最早的防火牆模型開始談起，原始的防火牆是一台「雙穴主機」，即具備兩個網路介面，同時擁有兩個網路層地址。防火牆將網路上的流量通過相應的網路介面接收上來，按照OSI協議棧的七層結構順序上傳，在適當的協議層進行訪問規則和安全審查，然後將符合通過條件的報文從相應的網路介面送出，而對於那些不符合通過條件的報文則予以阻斷。因此，從這個角度上來說，防火牆是一個類似於橋接或路由器的、多埠的（網路介面>=2）轉發設備，它跨接於多個分離的物理網段之間，並在報文轉發過程之中完成對報文的審查工作。

（三）防火牆自身應具有非常強的抗攻擊免疫力：這是防火牆之所以能擔當企業內部網路安全防護重任的先決條件。防火牆處於網路邊緣，它就像一個邊界衛士一樣，每時每刻都要面對黑客的入侵，這樣就要求防火牆自身要具有非常強的抗擊入侵本領。它之所以具有這么強的本領防火牆操作系統本身是關鍵，只有自身具有完整信任關系的操作系統才可以談論系統的安全性。其次就是防火牆自身具有非常低的服務功能，除了專門的防火牆嵌入系統外，再沒有其它應用程序在防火牆上運行。當然這些安全性也只能說是相對的。目前國內的防火牆幾乎被國外的品牌占據了一半的市場，國外品牌的優勢主要是在技術和知名度上比國內產品高。而國內防火牆廠商對國內用戶了解更加透徹，價格上也更具有優勢。防火牆產品中，國外主流廠商為思科（Cisco）、CheckPoint、NetScreen等，國內主流廠商為東軟、天融信、聯想、方正等，它們都提供不同級別的防火牆產品。

防火牆的硬體體系結構曾經歷過通用CPU架構、ASIC架構和網路處理器架構，他們各自的特點分別如下：通用CPU架構：通用CPU架構最常見的是基於Intel X86架構的防火牆，在百兆防火牆中Intel X86架構的硬體以其高靈活性和擴展性一直受到防火牆廠商的青睞；由於採用了PCI匯流排介面，Intel X86架構的硬體雖然理論上能達到2Gbps的吞吐量甚至更高，但是在實際應用中，尤其是在小包情況下，遠遠達不到標稱性能，通用CPU的處理能力也很有限。國內安全設備主要採用的就是基於X86的通用CPU架構。ASIC架構：ASIC（Application Specific Integrated Circuit，專用集成電路）技術是國外高端網路設備幾年前廣泛採用的技術。由於採用了硬體轉發模式、多匯流排技術、數據層面與控制層面分離等技術， ASIC架構防火牆解決了帶寬容量和性能不足的問題，穩定性也得到了很好的保證。
ASIC技術的性能優勢主要體現在網路層轉發上，而對於需要強大計算能力的應用層數據的處理則不佔優勢，而且面對頻繁變異的應用安全問題，其靈活性和擴展性也難以滿足要求。由於該技術有較高的技術和資金門檻，主要是國內外知名廠商在採用，國外主要代表廠商是Netscreen，國內主要代表廠商為天融信。網路處理器架構：由於網路處理器所使用的微碼編寫有一定技術難度，難以實現產品的最優性能，因此網路處理器架構的防火牆產品難以佔有大量的市場份額。隨著網路處理器的主要供應商Intel、 Broadcom、IBM等相繼出售其網路處理器業務，目前該技術在網路安全產品中的應用已經走到了盡頭。

Ⅲ 各種類型的防火牆應用

包過濾型防火牆 實現費用最少！
電路級網關
電路級網關用來監控受信任的客戶或伺服器與不受信任的主機間的TCP握手信息，這樣來決定該會話是否合法，電路級網關是在OSI模型中會話層上來過濾數據包，這樣比包過濾防火牆要高兩層。另外，電路級網關還提供一個重要的安全功能:網路地址轉移(NAT)將所有公司內部的IP地址映射到一個「安全」的 IP地址，這個地址是由防火牆使用的。有兩種方法來實現這種類型的網關，一種是由一台主機充當篩選路由器而另一台充當應用級防火牆。另一種是在第一個防火牆主機和第二個之間建立安全的連接。這種結構的好處是當一次攻擊發生時能提供容錯功能。
應用級網關
應用級網關可以工作在OSI七層模型的任一層上，能夠檢查進出的數據包，通過網關復制傳遞數據，防止在受信任伺服器和客戶機與不受信任的主機間直接建立聯系。應用級網關能夠理解應用層上的協議，能夠做復雜一些的訪問控制，並做精細的注冊。通常是在特殊的伺服器上安裝軟體來實現的。
包過濾
包過濾是處理網路上基於packet-by-packet流量的設備。包過濾設備允許或阻止包，典型的實施方法是通過標準的路由器。包過濾是幾種不同防火牆的類型之一，在本課後面我們將做詳細地討論。

一般公司還是用硬體類的防火牆！規則檢查防火牆 初級！ 知識有限 只了解這些

Ⅳ 某單位想用防火牆對 telnet 協議的命令進行限制，應選在什麼類型的防火牆

根據網路體系結構來進行的分類，可以有以下幾種類型的防火牆： 1.網路級防火牆 一般是基於源地址和目的地址、應用或協議以及每個IP包的埠來作出通過與否的判斷。一個路由器便是一個「傳統」的網路級防火牆，大多數的路由器都能通過檢查這些信息來決定是否將所收到的包轉發，但它不能判斷出一個IP包來自何方，去向何處。 先進的網路級防火牆可以判斷這一點，它可以提供內部信息以說明所通過的連接狀態和一些數據流的內容，把判斷的信息同規則表進行比較，在規則表中定義了各種規則來表明是否同意或拒絕包的通過。包過濾防火牆檢查每一條規則直至發現包中的信息與某規則相符。如果沒有一條規則能符合，防火牆就會使用默認規則，一般情況下，默認規則就是要求防火牆丟棄該包。其次，通過定義基於TCP或UDP數據包的埠號，防火牆能夠判斷是否允許建立特定的連接，如Telnet、FTP連接。 下面是某一網路級防火牆的訪問控制規則： (1)允許網路123.1.0使用FTP(21口)訪問主機150.0.0.1； (2) 允許IP地址為202.103.1.18和202.103.1.14的用戶Telnet(23口)到主機150.0.0.2上； (3)允許任何地址的E-mail(25口)進入主機150.0.0.3； (4)允許任何WWW數據（80口）通過； (5)不允許其他數據包進入。 網路級防火牆簡潔、速度快、費用低，並且對用戶透明，但是對網路的保護很有限，因為它只檢查地址和埠，對網路更高協議層的信息無理解能力。 2.應用級網關 應用級網關就是我們常常說的「代理伺服器」，它能夠檢查進出的數據包，通過網關復制傳遞數據，防止在受信任伺服器和客戶機與不受信任的主機間直接建立聯系。應用級網關能夠理解應用層上的協議，能夠做復雜一些的訪問控制，並做精細的注冊和稽核。但每一種協議需要相應的代理軟體，使用時工作量大，效率不如網路級防火牆。 常用的應用級防火牆已有了相應的代理伺服器， 例如： HTTP、 NNTP、 FTP、Telnet、rlogin、X-windows等，但是，對於新開發的應用，尚沒有相應的代理服務，它們將通過網路級防火牆和一般的代理服務。 應用級網關有較好的訪問控制，是目前最安全的防火牆技術，但實現困難，而且有的應用級網關缺乏"透明度"。在實際使用中，用戶在受信任的網路上通過防火牆訪問Internet時，經常會發現存在延遲並且必須進行多次登錄（Login） 才能訪問Internet或Intranet。 3.電路級網關 電路級網關用來監控受信任的客戶或伺服器與不受信任的主機間的TCP握手信息,這樣來決定該會話(Session) 是否合法,電路級網關是在OSI模型中會話層上來過濾數據包,這樣比包過濾防火牆要高二層。 實際上電路級網關並非作為一個獨立的產品存在，它與其他的應用級網關結合在一起， 如TrustInformationSystems公司的GauntletInternetFirewall；DEC公司的AltaVistaFirewall等產品。另外，電路級網關還提供一個重要的安全功能：代理伺服器（ProxyServer） ，代理伺服器是個防火牆，在其上運行一個叫做"地址轉移"的進程，來將所有你公司內部的IP地址映射到一個"安全"的IP地址，這個地址是由防火牆使用的。但是，作為電路級網關也存在著一些缺陷，因為該網關是在會話層工作的，它就無法檢查應用層級的數據包。 4.規則檢查防火牆 該防火牆結合了包過濾防火牆、電路級網關和應用級網關的特點。它同包過濾防火牆一樣， 規則檢查防火牆能夠在OSI網路層上通過IP地址和埠號，過濾進出的數據包。它也象電路級網關一樣，能夠檢查SYN和ACK標記和序列數字是否邏輯有序。當然它也象應用級網關一樣，可以在OSI應用層上檢查數據包的內容，查看這些內容是否能符合公司網路的安全規則。 規則檢查防火牆雖然集成前三者的特點，但是不同於一個應用級網關的是，它並不打破客戶機/服務機模式來分析應用層的數據， 它允許受信任的客戶機和不受信任的主機建立直接連接。規則檢查防火牆不依靠與應用層有關的代理，而是依靠某種演算法來識別進出的應用層數據，這些演算法通過已知合法數據包的模式來比較進出數據包，這樣從理論上就能比應用級代理在過濾數據包上更有效。 目前在市場上流行的防火牆大多屬於規則檢查防火牆，因為該防火牆對於用戶透明，在OSI最高層上加密數據，不需要你去修改客戶端的程序，也不需對每個需要在防火牆上運行的服務額外增加一個代理。

Ⅳ 什麼是防火牆技術

從實現原理上分，防火牆的技術包括四大類：網路級防火牆、應用級網關、電路級網關和規則檢查防火牆。

1、網路級防火牆

一般是基於源地址和目的地址、應用、協議以及每個IP包的埠來作出通過與否的判斷。防火牆檢查每一條規則直至發現包中的信息與某規則相符。

如果沒有一條規則能符合，防火牆就會使用默認規則，一般情況下，默認規則就是要求防火牆丟棄該包。通過定義基於TCP或UDP數據包的埠號，防火牆能夠判斷是否允許建立特定的連接，如Telnet、FTP連接。

2、應用級網關

應用級網關能夠檢查進出的數據包，通過網關復制傳遞數據，防止在受信任伺服器和客戶機與不受信任的主機間直接建立聯系。應用級網關能夠理解應用層上的協議，能夠做復雜一些的訪問控制，並做精細的注冊和稽核。

它針對特別的網路應用服務協議即數據過濾協議，並且能夠對數據包分析並形成相關的報告。應用網關對某些易於登錄和控制所有輸出輸入的通信的環境給予嚴格的控制，以防有價值的程序和數據被竊取。

3、電路級網關

電路級網關用來監控受信任的客戶或伺服器與不受信任的主機間的TCP握手信息,這樣來決定該會話是否合法，電路級網關是在OSI模型中會話層上來過濾數據包，這樣比包過濾防火牆要高二層。

電路級網關代理伺服器功能，代理伺服器是設置在Internet防火牆網關的專用應用級代碼。這種代理服務准許網管員允許或拒絕特定的應用程序或一個應用的特定功能。包過濾技術和應用網關是通過特定的邏輯判斷來決定是否允許特定的數據包通過，成功地實現了防火牆內外計算機系統的隔離。

4、規則檢查防火牆

該防火牆結合了包過濾防火牆、電路級網關和應用級網關的特點。能夠在OSI網路層上通過IP地址和埠號，過濾進出的數據包，也能夠檢查SYN和ACK標記和序列數字是否邏輯有序。當然它也象應用級網關一樣，可以在OSI應用層上檢查數據包的內容，查看這些內容是否能符合企業網路的安全規則。

規則檢查防火牆雖然集成前三者的特點，但是不同於一個應用級網關的是，它並不打破客戶機/伺服器模式來分析應用層的數據，它允許受信任的客戶機和不受信任的主機建立直接連接。規則檢查防火牆不依靠與應用層有關的代理，而是依靠某種演算法來識別進出的應用層數據。

(5)電路級防火牆擴展閱讀

應用防火牆技術考慮以下方面：

1、防火牆是不能防病毒的。

2、防火牆技術的另外一個弱點在於數據在防火牆之間的更新是一個難題，如果延遲太大將無法支持實時服務請求。

防火牆採用濾波技術，濾波通常使網路的性能降低50%以上，如果為了改善網路性能而購置高速路由器，又會大大提高經濟預算。

防火牆是企業網安全問題的常用方案，即把公共數據和服務置於防火牆外，使其對防火牆內部資源的訪問受到限制。作為一種網路安全技術，防火牆具有簡單實用的特點，並且透明度高，可以在不修改原有網路應用系統的情況下達到一定的安全要求。

Ⅵ 計算機防火牆的主要作用是什麼

防火牆具有很好的保護作用，入侵者必須首先穿越防火牆的安全防線，才能接觸目標計算機。

從實現原理上分，防火牆的技術包括四大類：網路級防火牆（也叫包過濾型防火牆）、應用級網關、電路級網關和規則檢查防火牆。

1、網路級防火牆

一般來說，它是根據源地址和目的地址、應用程序、協議和每個IP包的埠來決定是否通過。路由器是「傳統的」網路級防火牆。大多數路由器可以通過檢查這些信息來確定是否轉發接收到的數據包，但無法確定IP數據包從何而來，從何而去。

防火牆檢查每個規則，直到發現數據包中的信息與規則匹配為止。如果沒有可以滿足的規則，防火牆將使用默認規則。通常，默認規則是要求防火牆丟棄數據包。其次，通過定義基於TCP或UDP包的埠號，防火牆可以確定是否允許建立特定的連接，如telnet和FTP連接。

2、應用級網關

應用級網關可以檢查傳入和傳出的數據包，通過網關復制和傳輸數據，防止可信伺服器和客戶端與不可信主機直接建立聯系。應用層網關可以理解應用層的協議，進行更復雜的訪問控制，並進行精細的注冊和審計。

它針對特定的網路應用服務協議，即數據過濾協議，能夠對數據包進行分析並形成相關的報表。應用網關對一些易於登錄和控制所有輸出和輸入通信的環境進行嚴格控制，以防止有價值的程序和數據被盜。在實際應用中，應用網關通常由一個專用的工作站系統來完成。

然而，每一個協議都需要相應的代理軟體，由於其工作量大，效率不如網路防火牆。應用層網關具有較好的訪問控制能力，是目前最安全的防火牆技術，但實現起來比較困難，一些應用層網關缺乏「透明性」。

實際上，當用戶通過可信網路上的防火牆訪問Internet時，他們經常發現存在延遲，必須多次登錄才能訪問Internet或intranet。

3、電路級網關

電路級網關用於監控可信客戶端或伺服器與不可信主機之間的TCP握手信息，以確定會話是否合法。在OSI模型中，電路級網關過濾會話層上的包，這比包過濾防火牆高兩層。電路級網關還提供了一個重要的安全功能：代理伺服器。

代理伺服器是Internet防火牆網關中設置的一種特殊的應用程序級代碼。此代理服務允許管理員允許或拒絕特定應用程序或應用程序的特定功能。包過濾技術和應用網關通過特定的邏輯判斷來決定是否允許特定的數據包通過。

一旦滿足判斷條件，防火牆內網的結構和運行狀態就會「暴露」給國外用戶，這就引入了代理服務的概念，即防火牆內外計算機系統應用層的「鏈路」被兩個代理服務「鏈路」終止，從而實現成功實現了防火牆內外計算機系統的隔離。

同時，代理服務還可以實現強大的數據流監控、過濾、記錄和報告功能。代理服務技術主要由專用計算機硬體（如工作站）承擔。

4、規則檢查防火牆

防火牆結合了包過濾防火牆、電路級網關和應用級網關的特點。與包過濾防火牆一樣，規則檢查防火牆可以通過OSI網路層上的IP地址和埠號過濾傳入和傳出的包。與電路級網關一樣，它可以檢查syn和ACK標記以及序列號是否按邏輯順序排列。

當然，和應用層網關一樣，它可以檢查OSI應用層上的包內容，看看這些內容是否符合企業網路的安全規則。盡管規則檢查防火牆集成了前三種防火牆的特性，但它不同於應用層網關，因為它不會破壞客戶機/伺服器模式來分析應用層中的數據。

它允許受信任的客戶端和不受信任的主機建立直接連接。規則檢查防火牆不依賴於與應用層相關的代理，而是依賴於某種演算法來識別傳入和傳出的應用層數據。這些演算法通過了解合法數據包的模式來比較傳入和傳出的數據包，從而在理論上比應用程序級代理更有效地過濾數據包。

(6)電路級防火牆擴展閱讀；

防火牆技術的應用應考慮兩個方面：

首先，雖然許多防火牆產品聲稱它們具有此功能，但防火牆並不是反病毒的。其次，防火牆技術的另一個弱點是防火牆之間的數據更新是一個問題。

如果延遲太大，它將不支持實時服務請求。此外，防火牆採用過濾技術，通常會使網路性能降低50%以上。如果為了提高網路性能而購買高速路由器，將大大增加經濟預算。

防火牆對流經它的網路通信進行掃描，以便過濾掉一些攻擊，並避免它們在目標計算機上執行。防火牆還可以關閉未使用的埠。

同時還可以禁止特定埠的外流通信，阻止木馬。最後，它可以禁止特殊站點的訪問，從而防止來自未知入侵者的所有通信。

參考資料來源；網路——防火牆技術

Ⅶ 防火牆技術的防火牆種類

從實現原理上分，防火牆的技術包括四大類：網路級防火牆（也叫包過濾型回防火牆）、應用級網答關、電路級網關和規則檢查防火牆。它們之間各有所長，具體使用哪一種或是否混合使用，要看具體需要。 該防火牆結合了包過濾防火牆、電路級網關和應用級網關的特點。它同包過濾防火牆一樣，規則檢查防火牆能夠在OSI網路層上通過IP地址和埠號，過濾進出的數據包。它也象電路級網關一樣，能夠檢查SYN和ACK標記和序列數字是否邏輯有序。當然它也象應用級網關一樣，可以在OSI應用層上檢查數據包的內容，查看這些內容是否能符合企業網路的安全規則。規則檢查防火牆雖然集成前三者的特點，但是不同於一個應用級網關的是，它並不打破客戶機/伺服器模式來分析應用層的數據，它允許受信任的客戶機和不受信任的主機建立直接連接。規則檢查防火牆不依靠與應用層有關的代理，而是依靠某種演算法來識別進出的應用層數據，這些演算法通過已知合法數據包的模式來比較進出數據包，這樣從理論上就能比應用級代理在過濾數據包上更有效。

Ⅷ 防火牆技術有哪些

從實現原理上分，防火牆的技術包括四大類：網路級防火牆、應用級網關、電路級網關和規則檢查防火牆。

1、網路級防火牆

一般是基於源地址和目的地址、應用、協議以及每個IP包的埠來作出通過與否的判斷。防火牆檢查每一條規則直至發現包中的信息與某規則相符。

如果沒有一條規則能符合，防火牆就會使用默認規則，一般情況下，默認規則就是要求防火牆丟棄該包。通過定義基於TCP或UDP數據包的埠號，防火牆能夠判斷是否允許建立特定的連接，如Telnet、FTP連接。

2、應用級網關

應用級網關能夠檢查進出的數據包，通過網關復制傳遞數據，防止在受信任伺服器和客戶機與不受信任的主機間直接建立聯系。應用級網關能夠理解應用層上的協議，能夠做復雜一些的訪問控制，並做精細的注冊和稽核。

它針對特別的網路應用服務協議即數據過濾協議，並且能夠對數據包分析並形成相關的報告。應用網關對某些易於登錄和控制所有輸出輸入的通信的環境給予嚴格的控制，以防有價值的程序和數據被竊取。

3、電路級網關

電路級網關用來監控受信任的客戶或伺服器與不受信任的主機間的TCP握手信息,這樣來決定該會話是否合法，電路級網關是在OSI模型中會話層上來過濾數據包，這樣比包過濾防火牆要高二層。

電路級網關代理伺服器功能，代理伺服器是設置在Internet防火牆網關的專用應用級代碼。這種代理服務准許網管員允許或拒絕特定的應用程序或一個應用的特定功能。包過濾技術和應用網關是通過特定的邏輯判斷來決定是否允許特定的數據包通過，成功地實現了防火牆內外計算機系統的隔離。

4、規則檢查防火牆

該防火牆結合了包過濾防火牆、電路級網關和應用級網關的特點。能夠在OSI網路層上通過IP地址和埠號，過濾進出的數據包，也能夠檢查SYN和ACK標記和序列數字是否邏輯有序。當然它也象應用級網關一樣，可以在OSI應用層上檢查數據包的內容，查看這些內容是否能符合企業網路的安全規則。

規則檢查防火牆雖然集成前三者的特點，但是不同於一個應用級網關的是，它並不打破客戶機/伺服器模式來分析應用層的數據，它允許受信任的客戶機和不受信任的主機建立直接連接。規則檢查防火牆不依靠與應用層有關的代理，而是依靠某種演算法來識別進出的應用層數據。

(8)電路級防火牆擴展閱讀

應用防火牆技術考慮以下方面：

1、防火牆是不能防病毒的。

2、防火牆技術的另外一個弱點在於數據在防火牆之間的更新是一個難題，如果延遲太大將無法支持實時服務請求。

防火牆採用濾波技術，濾波通常使網路的性能降低50%以上，如果為了改善網路性能而購置高速路由器，又會大大提高經濟預算。

防火牆是企業網安全問題的常用方案，即把公共數據和服務置於防火牆外，使其對防火牆內部資源的訪問受到限制。作為一種網路安全技術，防火牆具有簡單實用的特點，並且透明度高，可以在不修改原有網路應用系統的情況下達到一定的安全要求。

Ⅸ 大家能給我具體解釋一下防火牆嗎謝謝!

·定義防火牆 防火牆的技術分析
據公安部的資料，1998年中國共破獲電腦黑客案件近百起，利用計算機網路進行的各類違法行為在中國以每年30％的速度遞增。有媒介報道，中國95％的與Internet相連的網路管理中心都遭到過黑客的攻擊或侵入，其中銀行、金融和證券機構是黑客攻擊的重點。

隨著網路犯罪的遞增，網路防火牆開始受人關注。在此，筆著向大家介紹一下「防火牆」的基本知識。

防火牆是什麼?

所謂「防火牆」，是指一種將內部網和公眾訪問網(Internet)分開的方法，實際上是一種隔離技術。防火牆是在兩個網路通訊時執行的一種訪問控制尺度，它能允許你「同意」的人和數據進入你的網路，同時將你「不同意」的人和數據拒之門外，最大限度地阻止網路中的黑客來訪問你的網路，防止他們更改、拷貝、毀壞你的重要信息。

防火牆的安全技術分析

防火牆對網路的安全起到了一定的保護作用，但並非萬無一失。通過對防火牆的基本原理和實現方式進行分析和研究，筆者對防火牆的安全性有如下幾點認識。

1、正確選用、合理配置防火牆非常不容易

防火牆作為網路安全的一種防護手段，有多種實現方式。建立合理的防護系統，配置有效的防火牆應遵循這樣四個基本步驟：(1)風險分析；(2)需求分析；(3)確立安全政策；(4)選擇准確的防護手段，並使之與安全政策保持一致。然而，多數防火牆的設立沒有或很少進行充分的風險分析和需求分析，而只是根據不很完備的安全政策選擇了一種似乎能「滿足」需要的防火牆，這樣的防火牆能否「防火」還是個問題。

2、需要正確評估防火牆的失效狀態

評價防火牆性能如何及能否起到安全防護作用，不僅要看它工作是否正常，能否阻擋或捕捉到惡意攻擊和非法訪問的蛛絲馬跡，而且要看到一旦防火牆被攻破，它的狀態如何? 按級別來分，有四種狀態：(1)未受傷害能夠繼續正常工作；(2)關閉並重新啟動，同時恢復到正常工作狀態；(3)關閉並禁止所有的數據通行；(4)關閉並允許所有的數據通行。前兩種狀態比較理想，而第四種最不安全。但是許多防火牆由於沒有條件進行失效狀態測試和驗證，無法確定其失效狀態等級，因此網路必然存在安全隱患。

3、防火牆必須進行動態維護

防火牆安裝和投入使用後，並非萬事大吉。要想充分發揮它的安全防護作用，必須對它進行跟蹤和維護，要與商家保持密切的聯系，時刻注視商家的動態。因為商家一旦發現其產品存在安全漏洞，就會盡快發布補救(Patch) 產品，此時應盡快確認真偽(防止特洛伊木馬等病毒)，並對防火牆進行更新。

4、目前很難對防火牆進行測試驗證

防火牆能否起到防護作用，最根本、最有效的證明方法是對其進行測試，甚至站在「黑客」的角度採用各種手段對防火牆進行攻擊。然而具體執行時難度較大：

(1)防火牆性能測試目前還是一種很新的技術，尚無正式出版刊物，可用的工具和軟體更是寥寥無幾。目前只有美國ISS公司提供防火牆性能測試的工具軟體。

(2)防火牆測試技術尚不先進，與防火牆設計並非完全吻合，使得測試工作難以達到既定的效果。

(3)選擇「誰」進行公正的測試也是一個問題。

可見，防火牆的性能測試決不是一件簡單的事情，但這種測試又相當必要。

5、非法攻擊防火牆的基本「招數」

(1)通常情況下，有效的攻擊都是從相關的子網進行的。因為這些網址得到了防火牆的信賴，雖說成功與否尚取決於機遇等因素，但對攻擊者而言很值得一試。

(2)破壞防火牆的另一種方式是攻擊與干擾相結合。也就是在攻擊期間使防火牆始終處於繁忙的狀態。防火牆過分的繁忙有時會導致它忘記履行安全防護的職能，處於失效狀態。

(3)需要特別注意的是，防火牆也可能被內部攻擊。因為安裝了防火牆後，隨意訪問被嚴格禁止了， 這樣內部人員無法在閑暇的時間通過Telnet瀏覽郵件或使用FTP向外發送信息，個別人會對防火牆不滿進而可能攻擊它、破壞它，期望回到從前的狀態。這里，攻擊的目標常常是防火牆或防火牆運行的操作系統，因此不僅涉及網路安全，還涉及主機安全問題。

以上分析表明，防火牆的安全防護性能依賴的因素很多，防火牆並非萬能。

目前大多數防火牆都是基於路由器的數據包分組過濾類型，防護能力差，存在各種網路外部或網路內部攻擊防火牆的技術手段。
·防火牆的基本類型
實現防火牆的技術包括四大類：

1、網路級防火牆

一般是基於源地址和目的地址、應用或協議以及每個IP包的埠來作出通過與否的判斷。一個路由器便是一個「傳統」的網路級防火牆，大多數的路由器都能通過檢查這些信息來決定是否將所收到的包轉發，但它不能判斷出一個IP包來自何方，去向何處。

先進的網路級防火牆可以判斷這一點，它可以提供內部信息以說明所通過的連接狀態和一些數據流的內容，把判斷的信息同規則表進行比較，在規則表中定義了各種規則來表明是否同意或拒絕包的通過。包過濾防火牆檢查每一條規則直至發現包中的信息與某規則相符。如果沒有一條規則能符合，防火牆就會使用默認規則，一般情況下，默認規則就是要求防火牆丟棄該包。其次，通過定義基於TCP或UDP數據包的埠號，防火牆能夠判斷是否允許建立特定的連接，如Telnet、FTP連接。

下面是某一網路級防火牆的訪問控制規則：

(1)允許網路123.1.0使用FTP(21口)訪問主機150.0.0.1；

(2) 允許IP地址為202.103.1.18和202.103.1.14的用戶Telnet (23口) 到主機150.0.0.2上；

(3)允許任何地址的E－mail(25口)進入主機150.0.0.3；

(4)允許任何WWW數據（80口）通過；

(5)不允許其他數據包進入。

網路級防火牆簡潔、速度快、費用低，並且對用戶透明，但是對網路的保護很有限，因為它只檢查地址和埠，對網路更高協議層的信息無理解能力。

2、應用級網關

應用級網關能夠檢查進出的數據包，通過網關復制傳遞數據，防止在受信任伺服器和客戶機與不受信任的主機間直接建立聯系。應用級網關能夠理解應用層上的協議，能夠做復雜一些的訪問控制，並做精細的注冊。但每一種協議需要相應的代理軟體，使用時工作量大，效率不如網路級防火牆。

常用的應用級防火牆已有了相應的代理伺服器， 例如： HTTP、 NNTP、 FTP、Telnet、rlogin、X－Window等，但是，對於新開發的應用，尚沒有相應的代理服務，它們將通過網路級防火牆和一般的代理服務。

應用級網關有較好的訪問控制，是目前最安全的防火牆技術，但實現困難，而且有的應用級網關缺乏「透明度」。在實際使用中，用戶在受信任的網路上通過防火牆訪問Internet時， 經常會發現存在延遲並且必須進行多次登錄(Login)才能訪問Internet或Intranet。

3、電路級網關

電路級網關用來監控受信任的客戶或伺服器與不受信任的主機間的TCP握手信息,這樣來決定該會話(Session) 是否合法,電路級網關是在OSI模型中會話層上來過濾數據包,這樣比包過濾防火牆要高兩層。

實際上電路級網關並非作為一個獨立的產品存在，它與其他的應用級網關結合在一起， 如Trust Information Systems公司的Gauntlet Internet Firewall； DEC公司的Alta Vista Firewall等產品。 另外，電路級網關還提供一個重要的安全功能：代理伺服器（Proxy Server） ，代理伺服器是個防火牆，在其上運行一個叫做「地址轉移」的進程，來將所有你公司內部的IP地址映射到一個「安全」的IP地址，這個地址是由防火牆使用的。但是，作為電路級網關也存在著一些缺陷，因為該網關是在會話層工作的，它就無法檢查應用層級的數據包。

4、規則檢查防火牆

該防火牆結合了包過濾防火牆、電路級網關和應用級網關的特點。它同包過濾防火牆一樣， 規則檢查防火牆能夠在OSI網路層上通過IP地址和埠號，過濾進出的數據包。它也像電路級網關一樣，能夠檢查SYN和ACK標記和序列數字是否邏輯有序。當然它也像應用級網關一樣， 可以在OSI應用層上檢查數據包的內容，查看這些內容是否能符合公司網路的安全規則。

規則檢查防火牆雖然集成前三者的特點，但是不同於一個應用級網關，它並不打破客戶機/服務機模式來分析應用層的數據，它允許受信任的客戶機和不受信任的主機建立直接連接。規則檢查防火牆不依靠與應用層有關的代理，而是依靠某種演算法來識別進出的應用層數據，這些演算法通過已知合法數據包的模式來比較進出數據包，這樣從理論上就能比應用級代理在過濾數據包上更有效。

目前在市場上流行的防火牆大多屬於規則檢查防火牆，因為該防火牆對於用戶透明，在OSI最高層上加密數據，不需要你去修改客戶端的程序，也不需對每個需要在防火牆上運行的服務額外增加一個代理。如現在最流行的防火牆之一On Technology軟體公司生產的On Guard和Check Point軟體公司生產的Fire Wall－1防火牆都是一種規則檢查防火牆。

從趨勢上看，未來的防火牆將位於網路級防火牆和應用級防火牆之間。也就是說，網路級防火牆將變得更加能夠識別通過的信息，而應用級防火牆在目前的功能上則向「透明」、「低級」方面發展。最終防火牆將成為一個快速注冊核查系統，可保護數據以加密方式通過，使所有組織可以放心地在節點。