防火墙技术有哪些？

发布网友 发布时间：2022-04-19 16:39

我来回答

共8个回答

热心网友 时间：2022-03-29 12:07

从实现原理上分，防火墙的技术包括四大类：网络级防火墙、应用级网关、电路级网关和规则检查防火墙。

1、网络级防火墙

一般是基于源地址和目的地址、应用、协议以及每个IP包的端口来作出通过与否的判断。防火墙检查每一条规则直至发现包中的信息与某规则相符。

如果没有一条规则能符合，防火墙就会使用默认规则，一般情况下，默认规则就是要求防火墙丢弃该包。通过定义基于TCP或UDP数据包的端口号，防火墙能够判断是否允许建立特定的连接，如Telnet、FTP连接。

2、应用级网关

应用级网关能够检查进出的数据包，通过网关复制传递数据，防止在受信任服务器和客户机与不受信任的主机间直接建立联系。应用级网关能够理解应用层上的协议，能够做复杂一些的访问控制，并做精细的注册和稽核。

它针对特别的网络应用服务协议即数据过滤协议，并且能够对数据包分析并形成相关的报告。应用网关对某些易于登录和控制所有输出输入的通信的环境给予严格的控制，以防有价值的程序和数据被窃取。 

3、电路级网关

电路级网关用来监控受信任的客户或服务器与不受信任的主机间的TCP握手信息,这样来决定该会话是否合法，电路级网关是在OSI模型中会话层上来过滤数据包，这样比包过滤防火墙要高二层。

电路级网关代理服务器功能，代理服务器是设置在Internet防火墙网关的专用应用级代码。这种代理服务准许网管员允许或拒绝特定的应用程序或一个应用的特定功能。包过滤技术和应用网关是通过特定的逻辑判断来决定是否允许特定的数据包通过，成功地实现了防火墙内外计算机系统的隔离。

4、规则检查防火墙

该防火墙结合了包过滤防火墙、电路级网关和应用级网关的特点。能够在OSI网络层上通过IP地址和端口号，过滤进出的数据包，也能够检查SYN和ACK标记和序列数字是否逻辑有序。当然它也象应用级网关一样，可以在OSI应用层上检查数据包的内容，查看这些内容是否能符合企业网络的安全规则。

规则检查防火墙虽然集成前三者的特点，但是不同于一个应用级网关的是，它并不打破客户机/服务器模式来分析应用层的数据，它允许受信任的客户机和不受信任的主机建立直接连接。规则检查防火墙不依靠与应用层有关的代理，而是依靠某种算法来识别进出的应用层数据。

扩展资料

应用防火墙技术考虑以下方面：

1、防火墙是不能防病毒的。

2、防火墙技术的另外一个弱点在于数据在防火墙之间的更新是一个难题，如果延迟太大将无法支持实时服务请求。

防火墙采用滤波技术，滤波通常使网络的性能降低50%以上，如果为了改善网络性能而购置高速路由器，又会大大提高经济预算。

防火墙是企业网安全问题的常用方案，即把公共数据和服务置于防火墙外，使其对防火墙内部资源的访问受到*。作为一种网络安全技术，防火墙具有简单实用的特点，并且透明度高，可以在不修改原有网络应用系统的情况下达到一定的安全要求。

参考资料来源：百度百科—防水墙技术

热心网友 时间：2022-03-29 13:25

从实现原理上分，防火墙的技术包括四大类：网络级防火墙（也叫包过滤型防火墙）、应用级网关、电路级网关和规则检查防火墙。它们之间各有所长，具体使用哪一种或是否混合使用，要看具体需要。

网络级防火墙
一般是基于源地址和目的地址、应用、协议以及每个IP包的端口来作出通过与否的判断。一个路由器便是一个“传统”的网络级防火墙，大多数的路由器都能通过检查这些信息来决定是否将所收到的包转发，但它不能判断出一个IP包来自何方，去向何处。防火墙检查每一条规则直至发现包中的信息与某规则相符。如果没有一条规则能符合，防火墙就会使用默认规则，一般情况下，默认规则就是要求防火墙丢弃该包。其次，通过定义基于TCP或UDP数据包的端口号，防火墙能够判断是否允许建立特定的连接，如Telnet、FTP连接。

应用级网关
应用级网关能够检查进出的数据包，通过网关复制传递数据，防止在受信任服务器和客户机与不受信任的主机间直接建立联系。应用级网关能够理解应用层上的协议，能够做复杂一些的访问控制，并做精细的注册和稽核。它针对特别的网络应用服务协议即数据过滤协议，并且能够对数据包分析并形成相关的报告。应用网关对某些易于登录和控制所有输出输入的通信的环境给予严格的控制，以防有价值的程序和数据被窃取。 在实际工作中，应用网关一般由专用工作站系统来完成。但每一种协议需要相应的代理软件，使用时工作量大，效率不如网络级防火墙。 应用级网关有较好的访问控制，是最安全的防火墙技术，但实现困难，而且有的应用级网关缺乏“透明度”。在实际使用中，用户在受信任的网络上通过防火墙访问Internet时，经常会发现存在延迟并且必须进行多次登录（Login）才能访问Internet或Intranet。

电路级网关
电路级网关用来监控受信任的客户或服务器与不受信任的主机间的TCP握手信息,这样来决定该会话（Session）是否合法,电路级网关是在OSI模型中会话层上来过滤数据包,这样比包过滤防火墙要高二层。电路级网关还提供一个重要的安全功能：代理服务器（Proxy Server）。代理服务器是设置在Internet防火墙网关的专用应用级代码。这种代理服务准许网管员允许或拒绝特定的应用程序或一个应用的特定功能。包过滤技术和应用网关是通过特定的逻辑判断来决定是否允许特定的数据包通过，一旦判断条件满足，防火墙内部网络的结构和运行状态便“暴露”在外来用户面前，这就引入了代理服务的概念，即防火墙内外计算机系统应用层的“链接”由两个终止于代理服务的“链接”来实现，这就成功地实现了防火墙内外计算机系统的隔离。同时，代理服务还可用于实施较强的数据流监控、过滤、记录和报告等功能。代理服务技术主要通过专用计算机硬件（如工作站）来承担。

规则检查防火墙
该防火墙结合了包过滤防火墙、电路级网关和应用级网关的特点。它同包过滤防火墙一样，规则检查防火墙能够在OSI网络层上通过IP地址和端口号，过滤进出的数据包。它也象电路级网关一样，能够检查SYN和ACK标记和序列数字是否逻辑有序。当然它也象应用级网关一样，可以在OSI应用层上检查数据包的内容，查看这些内容是否能符合企业网络的安全规则。规则检查防火墙虽然集成前三者的特点，但是不同于一个应用级网关的是，它并不打破客户机/服务器模式来分析应用层的数据，它允许受信任的客户机和不受信任的主机建立直接连接。规则检查防火墙不依靠与应用层有关的代理，而是依靠某种算法来识别进出的应用层数据，这些算法通过已知合法数据包的模式来比较进出数据包，这样从理论上就能比应用级代理在过滤数据包上更有效。

热心网友 时间：2022-03-29 14:59

如果从防火墙的软、硬件形式来分的话，防火墙可以分为软件防火墙和硬件防火墙以及芯片级防火墙。

第一种：软件防火墙
软件防火墙运行于特定的计算机上，它需要客户预先安装好的计算机操作系统的支持，一般来说这台计算机就是整个网络的网关。俗称“个人防火墙”。软件防火墙就像其它的软件产品一样需要先在计算机上安装并做好配置才可以使用。防火墙厂商中做网络版软件防火墙最出名的莫过于Checkpoint。使用这类防火墙，需要网管对所工作的操作系统平台比较熟悉。
第二种：硬件防火墙
这里说的硬件防火墙是指“所谓的硬件防火墙”。之所以加上"所谓"二字是针对芯片级防火墙说的了。它们最大的差别在于是否基于专用的硬件平台。目前市场上大多数防火墙都是这种所谓的硬件防火墙，他们都基于PC架构，就是说，它们和普通的家庭用的PC没有太大区别。在这些PC架构计算机上运行一些经过裁剪和简化的操作系统，最常用的有老版本的Unix、Linux和FreeBSD系统。 值得注意的是，由于此类防火墙采用的依然是别人的内核，因此依然会受到OS（操作系统）本身的安全性影响。
传统硬件防火墙一般至少应具备三个端口，分别接内网，*和DMZ区（非军事化区），现在一些新的硬件防火墙往往扩展了端口，常见四端口防火墙一般将第四个端口做为配置口、管理端口。很多防火墙还可以进一步扩展端口数目。
第三种：芯片级防火墙
芯片级防火墙基于专门的硬件平台，没有操作系统。专有的ASIC芯片促使它们比其他种类的防火墙速度更快，处理能力更强，性能更高。做这类防火墙最出名的厂商有NetScreen、FortiNet、Cisco等。这类防火墙由于是专用OS（操作系统）,因此防火墙本身的漏洞比较少，不过价格相对比较高昂。
防火墙技术虽然出现了许多，但总体来讲可分为“包过滤型”和“应用代理型”两大类。前者以以色列的Checkpoint防火墙和美国Cisco公司的PIX防火墙为代表，后者以美国NAI公司的Gauntlet防火墙为代表。

热心网友 时间：2022-03-29 16:51

防火墙分类1
如果从防火墙的软、硬件形式来分的话，防火墙可以分为软件防火墙和硬件防火墙以及芯片级防火墙。
第一种：软件防火墙
软件防火墙运行于特定的计算机上，它需要客户预先安装好的计算机操作系统的支持，一般来说这台计算机就是整个网络的网关。俗称“个人防火墙”。软件防火墙就像其它的软件产品一样需要先在计算机上安装并做好配置才可以使用。防火墙厂商中做网络版软件防火墙最出名的莫过于Checkpoint。使用这类防火墙，需要网管对所工作的操作系统平台比较熟悉。
第二种：硬件防火墙
这里说的硬件防火墙是指“所谓的硬件防火墙”。之所以加上"所谓"二字是针对芯片级防火墙说的了。它们最大的差别在于是否基于专用的硬件平台。目前市场上大多数防火墙都是这种所谓的硬件防火墙，他们都基于PC架构，就是说，它们和普通的家庭用的PC没有太大区别。在这些PC架构计算机上运行一些经过裁剪和简化的操作系统，最常用的有老版本的Unix、Linux和FreeBSD系统。 值得注意的是，由于此类防火墙采用的依然是别人的内核，因此依然会受到OS（操作系统）本身的安全性影响。
传统硬件防火墙一般至少应具备三个端口，分别接内网，*和DMZ区（非军事化区），现在一些新的硬件防火墙往往扩展了端口，常见四端口防火墙一般将第四个端口做为配置口、管理端口。很多防火墙还可以进一步扩展端口数目。
第三种：芯片级防火墙
芯片级防火墙基于专门的硬件平台，没有操作系统。专有的ASIC芯片促使它们比其他种类的防火墙速度更快，处理能力更强，性能更高。做这类防火墙最出名的厂商有NetScreen、FortiNet、Cisco等。这类防火墙由于是专用OS（操作系统）,因此防火墙本身的漏洞比较少，不过价格相对比较高昂。
防火墙技术虽然出现了许多，但总体来讲可分为“包过滤型”和“应用代理型”两大类。前者以以色列的Checkpoint防火墙和美国Cisco公司的PIX防火墙为代表，后者以美国NAI公司的Gauntlet防火墙为代表。
(1). 包过滤(Packet filtering)型
包过滤型防火墙工作在OSI网络参考模型的网络层和传输层，它根据数据包头源地址，目的地址、端口号和协议类型等标志确定是否允许通过。只有满足过滤条件的数据包才被转发到相应的目的地，其余数据包则被从数据流中丢弃。

热心网友 时间：2022-03-29 18:59

(转)

多年来，企业一直依靠状态检测防火墙、入侵检测系统、基于主机的防病毒系统和反垃圾邮件解决方案来保证企业用户和资源的安全。但是情况在迅速改变，那些传统的单点防御安全设备面临新型攻击已难以胜任。为了检测出最新的攻击，安全设备必须提高检测技术。本文着重介绍针对未知的威胁和有害流量的检测与防护，在防火墙中多个前沿的检测技术组合在一起，提供启发式扫描和异常检测，增强防病毒、反垃圾邮件和其它相关的功能。

　　新一代攻击的特点

　　1、混合型攻击使用多种技术的混合－—如病毒、蠕虫、木马和后门攻击，往往通过Email和被感染的网站发出，并很快的传递到下一代攻击或攻击的变种，使得对于已知或未知的攻击难以被阻挡。这种混合型攻击的例子有Nimda、CodeRed和Bugbear等。

　　2、现在针对新漏洞的攻击产生速度比以前要快得多。防止各种被称之为“零小时”（zero-hour）或“零日”（zero-day）的新的未知的威胁变得尤其重要。

　　3、带有社会工程陷阱元素的攻击，包括间谍软件、网络欺诈、基于邮件的攻击和恶意Web站点等数量明显的增加。攻击者们伪造合法的应用程序和邮件信息来欺骗用户去运行它们。

图1 Gartner发布的漏洞与补丁时间表
　　传统的安全方法正在失效

　　如今最流行的安全产品是状态检测防火墙、入侵检测系统和基于主机的防病毒软件。但是它们面对新一代的安全威胁却作用越来越小。状态检测防火墙是通过跟踪会话的发起和状态来工作的。状态检测防火墙通过检查数据包头，分析和监视网络层（L3）和协议层（L4），基于一套用户自定义的防火墙策略来允许、拒绝或转发网络流量。传统防火墙的问题在于黑客已经研究出大量的方法来绕过防火墙策略。这些方法包括：

　　（1）利用端口扫描器的探测可以发现防火墙开放的端口。

　　（2）攻击和探测程序可以通过防火墙开放的端口穿越防火墙。

　　（3）PC上感染的木马程序可以从防火墙的可信任网络发起攻击。由于会话的发起方来自于内部，所有来自于不可信任网络的相关流量

　　都会被防火墙放过。当前流行的从可信任网络发起攻击应用程序包括后门、木马、键盘记录工具等，它们产生非授权访问或将私密信息发送给攻击者。

　　较老式的防火墙对每一个数据包进行检查，但不具备检查包负载的能力。病毒、蠕虫、木马和其它恶意应用程序能未经检查而通过。

　　当攻击者将攻击负载拆分到多个分段的数据包里，并将它们打乱顺序发出时，较新的深度包检测防火墙往往也会被愚弄。

　　对深度检测的需求

　　现今为了成功的保护企业网络，安全防御必须部署在网络的各个层面，并采用更新的检测和防护机制。用于增强现有安全防御的一些新型安全策略包括：

　　设计较小的安全区域来保护关键系统。

　　增加基于网络的安全平台，以提供在线（“in-line”）检测和防御。

　　采用统一威胁管理（Unified Threat Management，简称UTM），提供更好的管理、攻击关联，降低维护成本。

　　研究有效的安全策略，并培训用户。

　　增加基于网络的安全

　　基于网络的安全设备能够部署在现有的安全体系中来提高检测率，并在有害流量进入公司网络之前进行拦截。基于网络的安全设备在线（“in-line”）部署，阻挡攻击的能力要比传统的依靠镜像流量的“旁路式”安全设备强得多。基于网络的安全设备的例子包括入侵防御系统（IPS）、防病毒网关、反垃圾邮件网关和统一威胁管理（UTM）设备。UTM设备是将多种安全特性相结合的统一安全平台。除了实时阻挡攻击之外，基于网络的安全还包括以下优点：

　　减少维护成本。攻击特征、病毒库和探测引擎可以对单台设备而不是上百台主机更新。

　　升级对于用户、系统或者应用来说是透明的，无需停机，更新可以实时进行——不像操作系统和应用程序打补丁那样需要重启系统。

　　保护在基于网络的安全设备后面的所有主机，因此减少了基于主机的病毒特征库、操作系统补丁和应用程序补丁升级的急迫性，使IT专业人员在发生问题之前有较充分的时间来测试补丁。

　　保持以前使用的设备、操作系统和应用，无需将它们都升级到最新的版本。

　　在网络边界或关键节点上阻挡攻击，在恶意流量进入公司网络之前将其拦截。

　　不像基于主机的安全应用那样可能被最终用户或恶意程序关闭。

　　可与已有的安全技术共存并互补。

　　高级安全检测技术

　　作为UTM安全设备的领导厂商， Fortinet(飞塔)公司的FortiGate安全平台通过动态威胁防御技术、高级启发式异常扫描引擎提供了较好的检测能力，包括：

　　集成关键安全组件的状态检测防火墙。

　　可实时更新病毒和攻击特征的网关防病毒。

　　IDS和IPS预置一千多个攻击特征，并提供用户定制特征的机制。

　　VPN（支持PPTP、L2TP、 IPSec，和SSL VPN）。

　　反垃圾邮件具备多种用户自定义的阻挡机制，包括黑白名单和实时黑名单（RBL）。

　　Web内容过滤具有用户可定义的过滤和全自动过滤服务。

　　带宽管理防止带宽滥用。

　　用户认证，防止非授权的网络访问。

　　动态威胁防御提供先进的威胁关联技术。

　　ASIC加速提供比基于PC工控机的安全方案高出4-6倍的性能。

　　加固的操作系统，不含第三方组件，保证了物理上的安全。

　　完整的系列支持服务，包括日志和报告生成器、客户端安全组件。

　　动态威胁防御系统

　　Fortinet的动态威胁防御系统（DTPS）是超越传统防火墙、针对已知和未知威胁、提升检测能力的技术。它将防病毒、IDS、IPS和防火墙模块中的有关攻击的信息进行关联，并将各种安全模块无缝地集成在一起。DTPS技术使每一个安全功能之间可以互相通信，并关联“威胁索引”信息，以识别可疑的恶意流量，这些流量可能还未被提取攻击特征。通过跟踪每一安全组件的检测活动，DTPS能降低误报率，以提高整个系统的检测精确度。相比之下，由多个不同厂商的安全部件（防病毒、IDS、IPS、防火墙）组合起来的安全方案则缺乏协调检测工作的能力。

热心网友 时间：2022-03-29 21:23

防火墙采用的主要技术包括以下几种。 1.包过滤技术 其原理在于监视并过滤网络上流入流出的包，拒绝发送那些可疑的包。由于包过滤技术无法有效地区分相同IP地址的不同用户，安全性相对较差。 2.代理服务技术 其原理是在网关计算机上运行应用代理程序，运行时由两部分连接构成：一部分是应用网关同内部网用户计算机建立的连接，另一部分是代替原来的客户程序与服务器建立的连接。通过代理服务，内部网用户可以通过应用网关安全地使用Internet服务，而对于非法用户的请求将予拒绝。代理服务技术与包过滤技术不同之处，在于内部网和外部网之间不存在直接连接，同时提供审计和日志服务。 3.网络地址转换技术 其原理如同电话交换总机，当不同的内部网络用户向外连接时，使用相同的IP地址(总机号码)；内部网络用户互相通信时则使用内部IP地址(分机号码)。内部网络对外部网络来说是不可见的，防火墙能详尽记录每一个内部网计算机的通信，确保每个数据包的正确传送。 4.虚拟专用网VPN技术 虚拟专用网(VPN)是局域网在广域网上的扩展，是专用计算机网络在Internet上的延伸。VPN通过专用隧道技术在公共网络上仿真一条点到点的专线，实现安全的信息传输。虽然VPN不是真正的专用网络，但却能够实现专用网络的功能。 5.审计技术通过对网络上发生的各种访问过程进行记录和产生日志，并对日志进行统计处理，从而对网络资源的使用情况进行分析，对异常现象进行追踪监视。 6.信息加密技术 加密路由器对路由的信息进行加密处理，然后通过Internet传输到目的端进行解密。

热心网友 时间：2022-03-30 00:05

最主要的就是网络封包与数据拦截技术 还有数据过滤技术

热心网友 时间：2022-03-30 03:03

咏怀古迹·其五(杜甫)宿府(杜甫)