电路级防火墙

Ⅰ 目前有哪几种防火墙技术，各自的特点是什么

首先这要看你怎么区别防火墙
一，如果你是按物理上分，可以分为硬件防火墙（比如思科的ASA），和软件防火墙（比如WINDOWS系统本身自的防火墙）
二，如果是按照原理分，可以分为包过滤（这是第一代），应用代理（第二代），状态监视（第三代）
包过滤的原理也是特点：
这是第一代防火墙，又称为网络层防火墙，在每一个数据包传送到源主机时都会在网络层进行过滤，对于不合法的数据访问，防火墙会选择阻拦以及丢弃。这种防火墙的连接可以通过一个网卡即一张网卡由内网的IP地址，又有公网的IP地址和两个网卡一个网卡上有私有网络的IP地址，另一个网卡有外部网络的IP地址。
包过滤的缺点，有一攻击是无法防护，比如DDOS等。
应用代理的原理也是特点：
应用程序代理防火墙又称为应用层防火墙，工作于OSI的应用层上。应用程序代理防火墙实际上并不允许在它连接的网络之间直接通信。相反，它是接受来自内部网络特定用户应用程序的通信，然后建立于公共网络服务器单独的连接。
应用代理的缺点是速度相比慢一些。
状态监视的原理也是特点：
应用程序代理防火墙又称为应用层防火墙，工作于OSI的应用层上。应用程序代理防火墙实际上并不允许在它连接的网络之间直接通信。相反，它是接受来自内部网络特定用户应用程序的通信，然后建立于公共网络服务器单独的连接。
相对而言状态监视是比较不错的，就缺点而言，就是技术复杂，有时过于机械，不灵活。

Ⅱ 常用防火墙技术只要有哪2种

防火墙技术 - 概念原理

防火墙是汽车中一个部件的名称。在汽车中，利用防火墙把乘客和引擎隔开，以便汽车引擎一旦着火，防火墙不但能保护乘客安全，而同时还能让司机继续控制引擎。再电脑术语中，当然就不是这个意思了，我们可以类比来理解，在网络中，所谓“防火墙”，是指一种将内部网和公众访问网(如Internet)分开的方法，它实际上是一种隔离技术。防火墙是在两个网络通讯时执行的一种访问控制尺度，它能允许你“同意”的人和数据进入你的网络，同时将你“不同意”的人和数据拒之门外，最大限度地阻止网络中的黑客来访问你的网络。换句话说，如果不通过防火墙，公司内部的人就无法访问Internet，Internet上的人也无法和公司内部的人进行通信。

防火墙（FireWall）成为近年来新兴的保护计算机网络安全技术性措施。它是一种隔离控制技术，在某个机构的网络和不安全的网络（如Internet）之间设置屏障，阻止对信息资源的非法访问，也可以使用防火墙阻止重要信息从企业的网络上被非法输出。作为Internet网的安全性保护软件，FireWall已经得到广泛的应用。通常企业为了维护内部的信息系统安全，在企业网和Internet间设立FireWall软件。企业信息系统对于来自Internet的访问，采取有选择的接收方式。它可以允许或禁止一类具体的IP地址访问，也可以接收或拒绝TCP/IP上的某一类具体的应用。如果在某一台IP主机上有需要禁止的信息或危险的用户，则可以通过设置使用FireWall过滤掉从该主机发出的包。如果一个企业只是使用Internet的电子邮件和WWW服务器向外部提供信息，那么就可以在FireWall上设置使得只有这两类应用的数据包可以通过。这对于路由器来说，就要不仅分析IP层的信息，而且还要进一步了解TCP传输层甚至应用层的信息以进行取舍。FireWall一般安装在路由器上以保护一个子网，也可以安装在一台主机上，保护这台主机不受侵犯。
防火墙技术 - 种类

从实现原理上分，防火墙的技术包括四大类：网络级防火墙（也叫包过滤型防火墙）、应用级网关、电路级网关和规则检查防火墙。它们之间各有所长，具体使用哪一种或是否混合使用，要看具体需要。
1 、网络级防火墙：一般是基于源地址和目的地址、应用、协议以及每个IP包的端口来作出通过与否的判断。一个路由器便是一个“传统”的网络级防火墙，大多数的路由器都能通过检查这些信息来决定是否将所收到的包转发，但它不能判断出一个IP包来自何方，去向何处。防火墙检查每一条规则直至发现包中的信息与某规则相符。如果没有一条规则能符合，防火墙就会使用默认规则，一般情况下，默认规则就是要求防火墙丢弃该包。其次，通过定义基于TCP或UDP数据包的端口号，防火墙能够判断是否允许建立特定的连接，如Telnet、FTP连接。
2 、应用级网关：应用级网关能够检查进出的数据包，通过网关复制传递数据，防止在受信任服务器和客户机与不受信任的主机间直接建立联系。应用级网关能够理解应用层上的协议，能够做复杂一些的访问控制，并做精细的注册和稽核。它针对特别的网络应用服务协议即数据过滤协议，并且能够对数据包分析并形成相关的报告。应用网关对某些易于登录和控制所有输出输入的通信的环境给予严格的控制，以防有价值的程序和数据被窃取。 在实际工作中，应用网关一般由专用工作站系统来完成。但每一种协议需要相应的代理软件，使用时工作量大，效率不如网络级防火墙。 应用级网关有较好的访问控制，是目前最安全的防火墙技术，但实现困难，而且有的应用级网关缺乏“透明度”。在实际使用中，用户在受信任的网络上通过防火墙访问Internet时，经常会发现存在延迟并且必须进行多次登录（Login）才能访问Internet或Intranet。
3 、电路级网关：电路级网关用来监控受信任的客户或服务器与不受信任的主机间的TCP握手信息,这样来决定该会话（Session）是否合法,电路级网关是在OSI模型中会话层上来过滤数据包,这样比包过滤防火墙要高二层。电路级网关还提供一个重要的安全功能：代理服务器（Proxy Server）。代理服务器是设置在Internet防火墙网关的专用应用级代码。这种代理服务准许网管员允许或拒绝特定的应用程序或一个应用的特定功能。包过滤技术和应用网关是通过特定的逻辑判断来决定是否允许特定的数据包通过，一旦判断条件满足，防火墙内部网络的结构和运行状态便“暴露”在外来用户面前，这就引入了代理服务的概念，即防火墙内外计算机系统应用层的“链接”由两个终止于代理服务的“链接”来实现，这就成功地实现了防火墙内外计算机系统的隔离。同时，代理服务还可用于实施较强的数据流监控、过滤、记录和报告等功能。代理服务技术主要通过专用计算机硬件（如工作站）来承担。

4 、规则检查防火墙：该防火墙结合了包过滤防火墙、电路级网关和应用级网关的特点。它同包过滤防火墙一样，规则检查防火墙能够在OSI网络层上通过IP地址和端口号，过滤进出的数据包。它也象电路级网关一样，能够检查SYN和ACK标记和序列数字是否逻辑有序。当然它也象应用级网关一样，可以在OSI应用层上检查数据包的内容，查看这些内容是否能符合企业网络的安全规则。规则检查防火墙虽然集成前三者的特点，但是不同于一个应用级网关的是，它并不打破客户机/服务器模式来分析应用层的数据，它允许受信任的客户机和不受信任的主机建立直接连接。规则检查防火墙不依靠与应用层有关的代理，而是依靠某种算法来识别进出的应用层数据，这些算法通过已知合法数据包的模式来比较进出数据包，这样从理论上就能比应用级代理在过滤数据包上更有效。
防火墙技术 - 使用防火墙

防火墙具有很好的保护作用。入侵者必须首先穿越防火墙的安全防线，才能接触目标计算机。你可以将防火墙配置成许多不同保护级别。高级别的保护可能会禁止一些服务，如视频流等，但至少这是你自己的保护选择。
在具体应用防火墙技术时，还要考虑到两个方面：
1、防火墙是不能防病毒的，尽管有不少的防火墙产品声称其具有这个功能。 2、防火墙技术的另外一个弱点在于数据在防火墙之间的更新是一个难题，如果延迟太大将无法支持实时服务请求。并且，防火墙采用滤波技术，滤波通常使网络的性能降低50%以上，如果为了改善网络性能而购置高速路由器，又会大大提高经济预算。
总之，防火墙是企业网安全问题的流行方案，即把公共数据和服务置于防火墙外，使其对防火墙内部资源的访问受到限制。作为一种网络安全技术，防火墙具有简单实用的特点，并且透明度高，可以在不修改原有网络应用系统的情况下达到一定的安全要求。
防火墙技术 - 功能

防火墙对流经它的网络通信进行扫描，这样能够过滤掉一些攻击，以免其在目标计算机上被执行。防火墙还可以关闭不使用的端口。而且它还能禁止特定端口的流出通信，封锁特洛伊木马。最后，它可以禁止来自特殊站点的访问，从而防止来自不明入侵者的所有通信。1、防火墙是网络安全的屏障：一个防火墙（作为阻塞点、控制点）能极大地提高一个内部网络的安全性，并通过过滤不安全的服务而降低风险。由于只有经过精心选择的应用协议才能通过防火墙，所以网络环境变得更安全。如防火墙可以禁止诸如众所周知的不安全的NFS协议进出受保护网络，这样外部的攻击者就不可能利用这些脆弱的协议来攻击内部网络。防火墙同时可以保护网络免受基于路由的攻击，如IP选项中的源路由攻击和ICMP重定向中的重定向路径。防火墙应该可以拒绝所有以上类型攻击的报文并通知防火墙管理员。

2、防火墙可以强化网络安全策略：通过以防火墙为中心的安全方案配置，能将所有安全软件（如口令、加密、身份认证、审计等）配置在防火墙上。与将网络安全问题分散到各个主机上相比，防火墙的集中安全管理更经济。例如在网络访问时，一次一密口令系统和其它的身份认证系统完全可以不必分散在各个主机上，而集中在防火墙一身上。
3、对网络存取和访问进行监控审计：如果所有的访问都经过防火墙，那么，防火墙就能记录下这些访问并作出日志记录，同时也能提供网络使用情况的统计数据。当发生可疑动作时，防火墙能进行适当的报警，并提供网络是否受到监测和攻击的详细信息。另外，收集一个网络的使用和误用情况也是非常重要的。首先的理由是可以清楚防火墙是否能够抵挡攻击者的探测和攻击，并且清楚防火墙的控制是否充足。而网络使用统计对网络需求分析和威胁分析等而言也是非常重要的。

4、防止内部信息的外泄：通过利用防火墙对内部网络的划分，可实现内部网重点网段的隔离，从而限制了局部重点或敏感网络安全问题对全局网络造成的影响。再者，隐私是内部网络非常关心的问题，一个内部网络中不引人注意的细节可能包含了有关安全的线索而引起外部攻击者的兴趣，甚至因此而暴漏了内部网络的某些安全漏洞。使用防火墙就可以隐蔽那些透漏内部细节如Finger，DNS等服务。Finger显示了主机的所有用户的注册名、真名，最后登录时间和使用shell类型等。但是Finger显示的信息非常容易被攻击者所获悉。攻击者可以知道一个系统使用的频繁程度，这个系统是否有用户正在连线上网，这个系统是否在被攻击时引起注意等等。防火墙可以同样阻塞有关内部网络中的DNS信息，这样一台主机的域名和IP地址就不会被外界所了解。除了安全作用，防火墙还支持具有Internet服务特性的企业内部网络技术体系VPN（虚拟专用网）。
防火墙技术 - 意义特征

防火墙的英文名为“FireWall”，它是目前一种最重要的网络防护设备。从专业角度讲，防火墙是位于两个(或多个)网络间，实施网络之间访问控制的一组组件集合。防火墙的本义是指古代构筑和使用木制结构房屋的时候，为防止火灾的发生和蔓延，人们将坚固的石块堆砌在房屋周围作为屏障，这种防护构筑物就被称之为“防火墙”。其实与防火墙一起起作用的就是“门”。如果没有门，各房间的人如何沟通呢，这些房间的人又如何进去呢？当火灾发生时，这些人又如何逃离现场呢？这个门就相当于我们这里所讲的防火墙的“安全策略”，所以在此我们所说的防火墙实际并不是一堵实心墙，而是带有一些小孔的墙。这些小孔就是用来留给那些允许进行的通信，在这些小孔中安装了过滤机制，也就是上面所介绍的“单向导通性”。

我们通常所说的网络防火墙是借鉴了古代真正用于防火的防火墙的喻义，它指的是隔离在本地网络与外界网络之间的一道防御系统。防火可以使企业内部局域网（LAN）网络与Internet之间或者与其他外部网络互相隔离、限制网络互访用来保护内部网络。典型的防火墙具有以下三个方面的基本特性：（一）内部网络和外部网络之间的所有网络数据流都必须经过防火墙。这是防火墙所处网络位置特性，同时也是一个前提。因为只有当防火墙是内、外部网络之间通信的唯一通道，才可以全面、有效地保护企业网部网络不受侵害。根据美国国家安全局制定的《信息保障技术框架》 ，防火墙适用于用户网络系统的边界，属于用户网络边界的安全保护设备。所谓网络边界即是采用不同安全策略的两个网络连接处，比如用户网络和互联网之间连接、和其它业务往来单位的网络连接、用户内部网络不同部门之间的连接等。防火墙的目的就是在网络连接之间建立一个安全控制点，通过允许、拒绝或重新定向经过防火墙的数据流，实现对进、出内部网络的服务和访问的审计和控制。

典型的防火墙体系网络结构一端连接企事业单位内部的局域网，而另一端则连接着互联网。所有的内、外部网络之间的通信都要经过防火墙。（二）只有符合安全策略的数据流才能通过防火墙防火墙最基本的功能是确保网络流量的合法性，并在此前提下将网络的流量快速的从一条链路转发到另外的链路上去。从最早的防火墙模型开始谈起，原始的防火墙是一台“双穴主机”，即具备两个网络接口，同时拥有两个网络层地址。防火墙将网络上的流量通过相应的网络接口接收上来，按照OSI协议栈的七层结构顺序上传，在适当的协议层进行访问规则和安全审查，然后将符合通过条件的报文从相应的网络接口送出，而对于那些不符合通过条件的报文则予以阻断。因此，从这个角度上来说，防火墙是一个类似于桥接或路由器的、多端口的（网络接口>=2）转发设备，它跨接于多个分离的物理网段之间，并在报文转发过程之中完成对报文的审查工作。

（三）防火墙自身应具有非常强的抗攻击免疫力：这是防火墙之所以能担当企业内部网络安全防护重任的先决条件。防火墙处于网络边缘，它就像一个边界卫士一样，每时每刻都要面对黑客的入侵，这样就要求防火墙自身要具有非常强的抗击入侵本领。它之所以具有这么强的本领防火墙操作系统本身是关键，只有自身具有完整信任关系的操作系统才可以谈论系统的安全性。其次就是防火墙自身具有非常低的服务功能，除了专门的防火墙嵌入系统外，再没有其它应用程序在防火墙上运行。当然这些安全性也只能说是相对的。目前国内的防火墙几乎被国外的品牌占据了一半的市场，国外品牌的优势主要是在技术和知名度上比国内产品高。而国内防火墙厂商对国内用户了解更加透彻，价格上也更具有优势。防火墙产品中，国外主流厂商为思科（Cisco）、CheckPoint、NetScreen等，国内主流厂商为东软、天融信、联想、方正等，它们都提供不同级别的防火墙产品。

防火墙的硬件体系结构曾经历过通用CPU架构、ASIC架构和网络处理器架构，他们各自的特点分别如下：通用CPU架构：通用CPU架构最常见的是基于Intel X86架构的防火墙，在百兆防火墙中Intel X86架构的硬件以其高灵活性和扩展性一直受到防火墙厂商的青睐；由于采用了PCI总线接口，Intel X86架构的硬件虽然理论上能达到2Gbps的吞吐量甚至更高，但是在实际应用中，尤其是在小包情况下，远远达不到标称性能，通用CPU的处理能力也很有限。国内安全设备主要采用的就是基于X86的通用CPU架构。ASIC架构：ASIC（Application Specific Integrated Circuit，专用集成电路）技术是国外高端网络设备几年前广泛采用的技术。由于采用了硬件转发模式、多总线技术、数据层面与控制层面分离等技术， ASIC架构防火墙解决了带宽容量和性能不足的问题，稳定性也得到了很好的保证。
ASIC技术的性能优势主要体现在网络层转发上，而对于需要强大计算能力的应用层数据的处理则不占优势，而且面对频繁变异的应用安全问题，其灵活性和扩展性也难以满足要求。由于该技术有较高的技术和资金门槛，主要是国内外知名厂商在采用，国外主要代表厂商是Netscreen，国内主要代表厂商为天融信。网络处理器架构：由于网络处理器所使用的微码编写有一定技术难度，难以实现产品的最优性能，因此网络处理器架构的防火墙产品难以占有大量的市场份额。随着网络处理器的主要供应商Intel、 Broadcom、IBM等相继出售其网络处理器业务，目前该技术在网络安全产品中的应用已经走到了尽头。

Ⅲ 各种类型的防火墙应用

包过滤型防火墙 实现费用最少！
电路级网关
电路级网关用来监控受信任的客户或服务器与不受信任的主机间的TCP握手信息，这样来决定该会话是否合法，电路级网关是在OSI模型中会话层上来过滤数据包，这样比包过滤防火墙要高两层。另外，电路级网关还提供一个重要的安全功能:网络地址转移(NAT)将所有公司内部的IP地址映射到一个“安全”的 IP地址，这个地址是由防火墙使用的。有两种方法来实现这种类型的网关，一种是由一台主机充当筛选路由器而另一台充当应用级防火墙。另一种是在第一个防火墙主机和第二个之间建立安全的连接。这种结构的好处是当一次攻击发生时能提供容错功能。
应用级网关
应用级网关可以工作在OSI七层模型的任一层上，能够检查进出的数据包，通过网关复制传递数据，防止在受信任服务器和客户机与不受信任的主机间直接建立联系。应用级网关能够理解应用层上的协议，能够做复杂一些的访问控制，并做精细的注册。通常是在特殊的服务器上安装软件来实现的。
包过滤
包过滤是处理网络上基于packet-by-packet流量的设备。包过滤设备允许或阻止包，典型的实施方法是通过标准的路由器。包过滤是几种不同防火墙的类型之一，在本课后面我们将做详细地讨论。

一般公司还是用硬件类的防火墙！规则检查防火墙 初级！ 知识有限 只了解这些

Ⅳ 某单位想用防火墙对 telnet 协议的命令进行限制，应选在什么类型的防火墙

根据网络体系结构来进行的分类，可以有以下几种类型的防火墙： 1.网络级防火墙 一般是基于源地址和目的地址、应用或协议以及每个IP包的端口来作出通过与否的判断。一个路由器便是一个“传统”的网络级防火墙，大多数的路由器都能通过检查这些信息来决定是否将所收到的包转发，但它不能判断出一个IP包来自何方，去向何处。 先进的网络级防火墙可以判断这一点，它可以提供内部信息以说明所通过的连接状态和一些数据流的内容，把判断的信息同规则表进行比较，在规则表中定义了各种规则来表明是否同意或拒绝包的通过。包过滤防火墙检查每一条规则直至发现包中的信息与某规则相符。如果没有一条规则能符合，防火墙就会使用默认规则，一般情况下，默认规则就是要求防火墙丢弃该包。其次，通过定义基于TCP或UDP数据包的端口号，防火墙能够判断是否允许建立特定的连接，如Telnet、FTP连接。 下面是某一网络级防火墙的访问控制规则： (1)允许网络123.1.0使用FTP(21口)访问主机150.0.0.1； (2) 允许IP地址为202.103.1.18和202.103.1.14的用户Telnet(23口)到主机150.0.0.2上； (3)允许任何地址的E-mail(25口)进入主机150.0.0.3； (4)允许任何WWW数据（80口）通过； (5)不允许其他数据包进入。 网络级防火墙简洁、速度快、费用低，并且对用户透明，但是对网络的保护很有限，因为它只检查地址和端口，对网络更高协议层的信息无理解能力。 2.应用级网关 应用级网关就是我们常常说的“代理服务器”，它能够检查进出的数据包，通过网关复制传递数据，防止在受信任服务器和客户机与不受信任的主机间直接建立联系。应用级网关能够理解应用层上的协议，能够做复杂一些的访问控制，并做精细的注册和稽核。但每一种协议需要相应的代理软件，使用时工作量大，效率不如网络级防火墙。 常用的应用级防火墙已有了相应的代理服务器， 例如： HTTP、 NNTP、 FTP、Telnet、rlogin、X-windows等，但是，对于新开发的应用，尚没有相应的代理服务，它们将通过网络级防火墙和一般的代理服务。 应用级网关有较好的访问控制，是目前最安全的防火墙技术，但实现困难，而且有的应用级网关缺乏"透明度"。在实际使用中，用户在受信任的网络上通过防火墙访问Internet时，经常会发现存在延迟并且必须进行多次登录（Login） 才能访问Internet或Intranet。 3.电路级网关 电路级网关用来监控受信任的客户或服务器与不受信任的主机间的TCP握手信息,这样来决定该会话(Session) 是否合法,电路级网关是在OSI模型中会话层上来过滤数据包,这样比包过滤防火墙要高二层。 实际上电路级网关并非作为一个独立的产品存在，它与其他的应用级网关结合在一起， 如TrustInformationSystems公司的GauntletInternetFirewall；DEC公司的AltaVistaFirewall等产品。另外，电路级网关还提供一个重要的安全功能：代理服务器（ProxyServer） ，代理服务器是个防火墙，在其上运行一个叫做"地址转移"的进程，来将所有你公司内部的IP地址映射到一个"安全"的IP地址，这个地址是由防火墙使用的。但是，作为电路级网关也存在着一些缺陷，因为该网关是在会话层工作的，它就无法检查应用层级的数据包。 4.规则检查防火墙 该防火墙结合了包过滤防火墙、电路级网关和应用级网关的特点。它同包过滤防火墙一样， 规则检查防火墙能够在OSI网络层上通过IP地址和端口号，过滤进出的数据包。它也象电路级网关一样，能够检查SYN和ACK标记和序列数字是否逻辑有序。当然它也象应用级网关一样，可以在OSI应用层上检查数据包的内容，查看这些内容是否能符合公司网络的安全规则。 规则检查防火墙虽然集成前三者的特点，但是不同于一个应用级网关的是，它并不打破客户机/服务机模式来分析应用层的数据， 它允许受信任的客户机和不受信任的主机建立直接连接。规则检查防火墙不依靠与应用层有关的代理，而是依靠某种算法来识别进出的应用层数据，这些算法通过已知合法数据包的模式来比较进出数据包，这样从理论上就能比应用级代理在过滤数据包上更有效。 目前在市场上流行的防火墙大多属于规则检查防火墙，因为该防火墙对于用户透明，在OSI最高层上加密数据，不需要你去修改客户端的程序，也不需对每个需要在防火墙上运行的服务额外增加一个代理。

Ⅳ 什么是防火墙技术

从实现原理上分，防火墙的技术包括四大类：网络级防火墙、应用级网关、电路级网关和规则检查防火墙。

1、网络级防火墙

一般是基于源地址和目的地址、应用、协议以及每个IP包的端口来作出通过与否的判断。防火墙检查每一条规则直至发现包中的信息与某规则相符。

如果没有一条规则能符合，防火墙就会使用默认规则，一般情况下，默认规则就是要求防火墙丢弃该包。通过定义基于TCP或UDP数据包的端口号，防火墙能够判断是否允许建立特定的连接，如Telnet、FTP连接。

2、应用级网关

应用级网关能够检查进出的数据包，通过网关复制传递数据，防止在受信任服务器和客户机与不受信任的主机间直接建立联系。应用级网关能够理解应用层上的协议，能够做复杂一些的访问控制，并做精细的注册和稽核。

它针对特别的网络应用服务协议即数据过滤协议，并且能够对数据包分析并形成相关的报告。应用网关对某些易于登录和控制所有输出输入的通信的环境给予严格的控制，以防有价值的程序和数据被窃取。

3、电路级网关

电路级网关用来监控受信任的客户或服务器与不受信任的主机间的TCP握手信息,这样来决定该会话是否合法，电路级网关是在OSI模型中会话层上来过滤数据包，这样比包过滤防火墙要高二层。

电路级网关代理服务器功能，代理服务器是设置在Internet防火墙网关的专用应用级代码。这种代理服务准许网管员允许或拒绝特定的应用程序或一个应用的特定功能。包过滤技术和应用网关是通过特定的逻辑判断来决定是否允许特定的数据包通过，成功地实现了防火墙内外计算机系统的隔离。

4、规则检查防火墙

该防火墙结合了包过滤防火墙、电路级网关和应用级网关的特点。能够在OSI网络层上通过IP地址和端口号，过滤进出的数据包，也能够检查SYN和ACK标记和序列数字是否逻辑有序。当然它也象应用级网关一样，可以在OSI应用层上检查数据包的内容，查看这些内容是否能符合企业网络的安全规则。

规则检查防火墙虽然集成前三者的特点，但是不同于一个应用级网关的是，它并不打破客户机/服务器模式来分析应用层的数据，它允许受信任的客户机和不受信任的主机建立直接连接。规则检查防火墙不依靠与应用层有关的代理，而是依靠某种算法来识别进出的应用层数据。

(5)电路级防火墙扩展阅读

应用防火墙技术考虑以下方面：

1、防火墙是不能防病毒的。

2、防火墙技术的另外一个弱点在于数据在防火墙之间的更新是一个难题，如果延迟太大将无法支持实时服务请求。

防火墙采用滤波技术，滤波通常使网络的性能降低50%以上，如果为了改善网络性能而购置高速路由器，又会大大提高经济预算。

防火墙是企业网安全问题的常用方案，即把公共数据和服务置于防火墙外，使其对防火墙内部资源的访问受到限制。作为一种网络安全技术，防火墙具有简单实用的特点，并且透明度高，可以在不修改原有网络应用系统的情况下达到一定的安全要求。

Ⅵ 计算机防火墙的主要作用是什么

防火墙具有很好的保护作用，入侵者必须首先穿越防火墙的安全防线，才能接触目标计算机。

从实现原理上分，防火墙的技术包括四大类：网络级防火墙（也叫包过滤型防火墙）、应用级网关、电路级网关和规则检查防火墙。

1、网络级防火墙

一般来说，它是根据源地址和目的地址、应用程序、协议和每个IP包的端口来决定是否通过。路由器是“传统的”网络级防火墙。大多数路由器可以通过检查这些信息来确定是否转发接收到的数据包，但无法确定IP数据包从何而来，从何而去。

防火墙检查每个规则，直到发现数据包中的信息与规则匹配为止。如果没有可以满足的规则，防火墙将使用默认规则。通常，默认规则是要求防火墙丢弃数据包。其次，通过定义基于TCP或UDP包的端口号，防火墙可以确定是否允许建立特定的连接，如telnet和FTP连接。

2、应用级网关

应用级网关可以检查传入和传出的数据包，通过网关复制和传输数据，防止可信服务器和客户端与不可信主机直接建立联系。应用层网关可以理解应用层的协议，进行更复杂的访问控制，并进行精细的注册和审计。

它针对特定的网络应用服务协议，即数据过滤协议，能够对数据包进行分析并形成相关的报表。应用网关对一些易于登录和控制所有输出和输入通信的环境进行严格控制，以防止有价值的程序和数据被盗。在实际应用中，应用网关通常由一个专用的工作站系统来完成。

然而，每一个协议都需要相应的代理软件，由于其工作量大，效率不如网络防火墙。应用层网关具有较好的访问控制能力，是目前最安全的防火墙技术，但实现起来比较困难，一些应用层网关缺乏“透明性”。

实际上，当用户通过可信网络上的防火墙访问Internet时，他们经常发现存在延迟，必须多次登录才能访问Internet或intranet。

3、电路级网关

电路级网关用于监控可信客户端或服务器与不可信主机之间的TCP握手信息，以确定会话是否合法。在OSI模型中，电路级网关过滤会话层上的包，这比包过滤防火墙高两层。电路级网关还提供了一个重要的安全功能：代理服务器。

代理服务器是Internet防火墙网关中设置的一种特殊的应用程序级代码。此代理服务允许管理员允许或拒绝特定应用程序或应用程序的特定功能。包过滤技术和应用网关通过特定的逻辑判断来决定是否允许特定的数据包通过。

一旦满足判断条件，防火墙内网的结构和运行状态就会“暴露”给国外用户，这就引入了代理服务的概念，即防火墙内外计算机系统应用层的“链路”被两个代理服务“链路”终止，从而实现成功实现了防火墙内外计算机系统的隔离。

同时，代理服务还可以实现强大的数据流监控、过滤、记录和报告功能。代理服务技术主要由专用计算机硬件（如工作站）承担。

4、规则检查防火墙

防火墙结合了包过滤防火墙、电路级网关和应用级网关的特点。与包过滤防火墙一样，规则检查防火墙可以通过OSI网络层上的IP地址和端口号过滤传入和传出的包。与电路级网关一样，它可以检查syn和ACK标记以及序列号是否按逻辑顺序排列。

当然，和应用层网关一样，它可以检查OSI应用层上的包内容，看看这些内容是否符合企业网络的安全规则。尽管规则检查防火墙集成了前三种防火墙的特性，但它不同于应用层网关，因为它不会破坏客户机/服务器模式来分析应用层中的数据。

它允许受信任的客户端和不受信任的主机建立直接连接。规则检查防火墙不依赖于与应用层相关的代理，而是依赖于某种算法来识别传入和传出的应用层数据。这些算法通过了解合法数据包的模式来比较传入和传出的数据包，从而在理论上比应用程序级代理更有效地过滤数据包。

(6)电路级防火墙扩展阅读；

防火墙技术的应用应考虑两个方面：

首先，虽然许多防火墙产品声称它们具有此功能，但防火墙并不是反病毒的。其次，防火墙技术的另一个弱点是防火墙之间的数据更新是一个问题。

如果延迟太大，它将不支持实时服务请求。此外，防火墙采用过滤技术，通常会使网络性能降低50%以上。如果为了提高网络性能而购买高速路由器，将大大增加经济预算。

防火墙对流经它的网络通信进行扫描，以便过滤掉一些攻击，并避免它们在目标计算机上执行。防火墙还可以关闭未使用的端口。

同时还可以禁止特定端口的外流通信，阻止木马。最后，它可以禁止特殊站点的访问，从而防止来自未知入侵者的所有通信。

参考资料来源；网络——防火墙技术

Ⅶ 防火墙技术的防火墙种类

从实现原理上分，防火墙的技术包括四大类：网络级防火墙（也叫包过滤型回防火墙）、应用级网答关、电路级网关和规则检查防火墙。它们之间各有所长，具体使用哪一种或是否混合使用，要看具体需要。 该防火墙结合了包过滤防火墙、电路级网关和应用级网关的特点。它同包过滤防火墙一样，规则检查防火墙能够在OSI网络层上通过IP地址和端口号，过滤进出的数据包。它也象电路级网关一样，能够检查SYN和ACK标记和序列数字是否逻辑有序。当然它也象应用级网关一样，可以在OSI应用层上检查数据包的内容，查看这些内容是否能符合企业网络的安全规则。规则检查防火墙虽然集成前三者的特点，但是不同于一个应用级网关的是，它并不打破客户机/服务器模式来分析应用层的数据，它允许受信任的客户机和不受信任的主机建立直接连接。规则检查防火墙不依靠与应用层有关的代理，而是依靠某种算法来识别进出的应用层数据，这些算法通过已知合法数据包的模式来比较进出数据包，这样从理论上就能比应用级代理在过滤数据包上更有效。

Ⅷ 防火墙技术有哪些

从实现原理上分，防火墙的技术包括四大类：网络级防火墙、应用级网关、电路级网关和规则检查防火墙。

1、网络级防火墙

一般是基于源地址和目的地址、应用、协议以及每个IP包的端口来作出通过与否的判断。防火墙检查每一条规则直至发现包中的信息与某规则相符。

如果没有一条规则能符合，防火墙就会使用默认规则，一般情况下，默认规则就是要求防火墙丢弃该包。通过定义基于TCP或UDP数据包的端口号，防火墙能够判断是否允许建立特定的连接，如Telnet、FTP连接。

2、应用级网关

应用级网关能够检查进出的数据包，通过网关复制传递数据，防止在受信任服务器和客户机与不受信任的主机间直接建立联系。应用级网关能够理解应用层上的协议，能够做复杂一些的访问控制，并做精细的注册和稽核。

它针对特别的网络应用服务协议即数据过滤协议，并且能够对数据包分析并形成相关的报告。应用网关对某些易于登录和控制所有输出输入的通信的环境给予严格的控制，以防有价值的程序和数据被窃取。

3、电路级网关

电路级网关用来监控受信任的客户或服务器与不受信任的主机间的TCP握手信息,这样来决定该会话是否合法，电路级网关是在OSI模型中会话层上来过滤数据包，这样比包过滤防火墙要高二层。

电路级网关代理服务器功能，代理服务器是设置在Internet防火墙网关的专用应用级代码。这种代理服务准许网管员允许或拒绝特定的应用程序或一个应用的特定功能。包过滤技术和应用网关是通过特定的逻辑判断来决定是否允许特定的数据包通过，成功地实现了防火墙内外计算机系统的隔离。

4、规则检查防火墙

该防火墙结合了包过滤防火墙、电路级网关和应用级网关的特点。能够在OSI网络层上通过IP地址和端口号，过滤进出的数据包，也能够检查SYN和ACK标记和序列数字是否逻辑有序。当然它也象应用级网关一样，可以在OSI应用层上检查数据包的内容，查看这些内容是否能符合企业网络的安全规则。

规则检查防火墙虽然集成前三者的特点，但是不同于一个应用级网关的是，它并不打破客户机/服务器模式来分析应用层的数据，它允许受信任的客户机和不受信任的主机建立直接连接。规则检查防火墙不依靠与应用层有关的代理，而是依靠某种算法来识别进出的应用层数据。

(8)电路级防火墙扩展阅读

应用防火墙技术考虑以下方面：

1、防火墙是不能防病毒的。

2、防火墙技术的另外一个弱点在于数据在防火墙之间的更新是一个难题，如果延迟太大将无法支持实时服务请求。

防火墙采用滤波技术，滤波通常使网络的性能降低50%以上，如果为了改善网络性能而购置高速路由器，又会大大提高经济预算。

防火墙是企业网安全问题的常用方案，即把公共数据和服务置于防火墙外，使其对防火墙内部资源的访问受到限制。作为一种网络安全技术，防火墙具有简单实用的特点，并且透明度高，可以在不修改原有网络应用系统的情况下达到一定的安全要求。

Ⅸ 大家能给我具体解释一下防火墙吗谢谢!

·定义防火墙 防火墙的技术分析
据公安部的资料，1998年中国共破获电脑黑客案件近百起，利用计算机网络进行的各类违法行为在中国以每年30％的速度递增。有媒介报道，中国95％的与Internet相连的网络管理中心都遭到过黑客的攻击或侵入，其中银行、金融和证券机构是黑客攻击的重点。

随着网络犯罪的递增，网络防火墙开始受人关注。在此，笔着向大家介绍一下“防火墙”的基本知识。

防火墙是什么?

所谓“防火墙”，是指一种将内部网和公众访问网(Internet)分开的方法，实际上是一种隔离技术。防火墙是在两个网络通讯时执行的一种访问控制尺度，它能允许你“同意”的人和数据进入你的网络，同时将你“不同意”的人和数据拒之门外，最大限度地阻止网络中的黑客来访问你的网络，防止他们更改、拷贝、毁坏你的重要信息。

防火墙的安全技术分析

防火墙对网络的安全起到了一定的保护作用，但并非万无一失。通过对防火墙的基本原理和实现方式进行分析和研究，笔者对防火墙的安全性有如下几点认识。

1、正确选用、合理配置防火墙非常不容易

防火墙作为网络安全的一种防护手段，有多种实现方式。建立合理的防护系统，配置有效的防火墙应遵循这样四个基本步骤：(1)风险分析；(2)需求分析；(3)确立安全政策；(4)选择准确的防护手段，并使之与安全政策保持一致。然而，多数防火墙的设立没有或很少进行充分的风险分析和需求分析，而只是根据不很完备的安全政策选择了一种似乎能“满足”需要的防火墙，这样的防火墙能否“防火”还是个问题。

2、需要正确评估防火墙的失效状态

评价防火墙性能如何及能否起到安全防护作用，不仅要看它工作是否正常，能否阻挡或捕捉到恶意攻击和非法访问的蛛丝马迹，而且要看到一旦防火墙被攻破，它的状态如何? 按级别来分，有四种状态：(1)未受伤害能够继续正常工作；(2)关闭并重新启动，同时恢复到正常工作状态；(3)关闭并禁止所有的数据通行；(4)关闭并允许所有的数据通行。前两种状态比较理想，而第四种最不安全。但是许多防火墙由于没有条件进行失效状态测试和验证，无法确定其失效状态等级，因此网络必然存在安全隐患。

3、防火墙必须进行动态维护

防火墙安装和投入使用后，并非万事大吉。要想充分发挥它的安全防护作用，必须对它进行跟踪和维护，要与商家保持密切的联系，时刻注视商家的动态。因为商家一旦发现其产品存在安全漏洞，就会尽快发布补救(Patch) 产品，此时应尽快确认真伪(防止特洛伊木马等病毒)，并对防火墙进行更新。

4、目前很难对防火墙进行测试验证

防火墙能否起到防护作用，最根本、最有效的证明方法是对其进行测试，甚至站在“黑客”的角度采用各种手段对防火墙进行攻击。然而具体执行时难度较大：

(1)防火墙性能测试目前还是一种很新的技术，尚无正式出版刊物，可用的工具和软件更是寥寥无几。目前只有美国ISS公司提供防火墙性能测试的工具软件。

(2)防火墙测试技术尚不先进，与防火墙设计并非完全吻合，使得测试工作难以达到既定的效果。

(3)选择“谁”进行公正的测试也是一个问题。

可见，防火墙的性能测试决不是一件简单的事情，但这种测试又相当必要。

5、非法攻击防火墙的基本“招数”

(1)通常情况下，有效的攻击都是从相关的子网进行的。因为这些网址得到了防火墙的信赖，虽说成功与否尚取决于机遇等因素，但对攻击者而言很值得一试。

(2)破坏防火墙的另一种方式是攻击与干扰相结合。也就是在攻击期间使防火墙始终处于繁忙的状态。防火墙过分的繁忙有时会导致它忘记履行安全防护的职能，处于失效状态。

(3)需要特别注意的是，防火墙也可能被内部攻击。因为安装了防火墙后，随意访问被严格禁止了， 这样内部人员无法在闲暇的时间通过Telnet浏览邮件或使用FTP向外发送信息，个别人会对防火墙不满进而可能攻击它、破坏它，期望回到从前的状态。这里，攻击的目标常常是防火墙或防火墙运行的操作系统，因此不仅涉及网络安全，还涉及主机安全问题。

以上分析表明，防火墙的安全防护性能依赖的因素很多，防火墙并非万能。

目前大多数防火墙都是基于路由器的数据包分组过滤类型，防护能力差，存在各种网络外部或网络内部攻击防火墙的技术手段。
·防火墙的基本类型
实现防火墙的技术包括四大类：

1、网络级防火墙

一般是基于源地址和目的地址、应用或协议以及每个IP包的端口来作出通过与否的判断。一个路由器便是一个“传统”的网络级防火墙，大多数的路由器都能通过检查这些信息来决定是否将所收到的包转发，但它不能判断出一个IP包来自何方，去向何处。

先进的网络级防火墙可以判断这一点，它可以提供内部信息以说明所通过的连接状态和一些数据流的内容，把判断的信息同规则表进行比较，在规则表中定义了各种规则来表明是否同意或拒绝包的通过。包过滤防火墙检查每一条规则直至发现包中的信息与某规则相符。如果没有一条规则能符合，防火墙就会使用默认规则，一般情况下，默认规则就是要求防火墙丢弃该包。其次，通过定义基于TCP或UDP数据包的端口号，防火墙能够判断是否允许建立特定的连接，如Telnet、FTP连接。

下面是某一网络级防火墙的访问控制规则：

(1)允许网络123.1.0使用FTP(21口)访问主机150.0.0.1；

(2) 允许IP地址为202.103.1.18和202.103.1.14的用户Telnet (23口) 到主机150.0.0.2上；

(3)允许任何地址的E－mail(25口)进入主机150.0.0.3；

(4)允许任何WWW数据（80口）通过；

(5)不允许其他数据包进入。

网络级防火墙简洁、速度快、费用低，并且对用户透明，但是对网络的保护很有限，因为它只检查地址和端口，对网络更高协议层的信息无理解能力。

2、应用级网关

应用级网关能够检查进出的数据包，通过网关复制传递数据，防止在受信任服务器和客户机与不受信任的主机间直接建立联系。应用级网关能够理解应用层上的协议，能够做复杂一些的访问控制，并做精细的注册。但每一种协议需要相应的代理软件，使用时工作量大，效率不如网络级防火墙。

常用的应用级防火墙已有了相应的代理服务器， 例如： HTTP、 NNTP、 FTP、Telnet、rlogin、X－Window等，但是，对于新开发的应用，尚没有相应的代理服务，它们将通过网络级防火墙和一般的代理服务。

应用级网关有较好的访问控制，是目前最安全的防火墙技术，但实现困难，而且有的应用级网关缺乏“透明度”。在实际使用中，用户在受信任的网络上通过防火墙访问Internet时， 经常会发现存在延迟并且必须进行多次登录(Login)才能访问Internet或Intranet。

3、电路级网关

电路级网关用来监控受信任的客户或服务器与不受信任的主机间的TCP握手信息,这样来决定该会话(Session) 是否合法,电路级网关是在OSI模型中会话层上来过滤数据包,这样比包过滤防火墙要高两层。

实际上电路级网关并非作为一个独立的产品存在，它与其他的应用级网关结合在一起， 如Trust Information Systems公司的Gauntlet Internet Firewall； DEC公司的Alta Vista Firewall等产品。 另外，电路级网关还提供一个重要的安全功能：代理服务器（Proxy Server） ，代理服务器是个防火墙，在其上运行一个叫做“地址转移”的进程，来将所有你公司内部的IP地址映射到一个“安全”的IP地址，这个地址是由防火墙使用的。但是，作为电路级网关也存在着一些缺陷，因为该网关是在会话层工作的，它就无法检查应用层级的数据包。

4、规则检查防火墙

该防火墙结合了包过滤防火墙、电路级网关和应用级网关的特点。它同包过滤防火墙一样， 规则检查防火墙能够在OSI网络层上通过IP地址和端口号，过滤进出的数据包。它也像电路级网关一样，能够检查SYN和ACK标记和序列数字是否逻辑有序。当然它也像应用级网关一样， 可以在OSI应用层上检查数据包的内容，查看这些内容是否能符合公司网络的安全规则。

规则检查防火墙虽然集成前三者的特点，但是不同于一个应用级网关，它并不打破客户机/服务机模式来分析应用层的数据，它允许受信任的客户机和不受信任的主机建立直接连接。规则检查防火墙不依靠与应用层有关的代理，而是依靠某种算法来识别进出的应用层数据，这些算法通过已知合法数据包的模式来比较进出数据包，这样从理论上就能比应用级代理在过滤数据包上更有效。

目前在市场上流行的防火墙大多属于规则检查防火墙，因为该防火墙对于用户透明，在OSI最高层上加密数据，不需要你去修改客户端的程序，也不需对每个需要在防火墙上运行的服务额外增加一个代理。如现在最流行的防火墙之一On Technology软件公司生产的On Guard和Check Point软件公司生产的Fire Wall－1防火墙都是一种规则检查防火墙。

从趋势上看，未来的防火墙将位于网络级防火墙和应用级防火墙之间。也就是说，网络级防火墙将变得更加能够识别通过的信息，而应用级防火墙在目前的功能上则向“透明”、“低级”方面发展。最终防火墙将成为一个快速注册核查系统，可保护数据以加密方式通过，使所有组织可以放心地在节点。