防火墙在网络中的作用范文篇1

关键词防火墙；计算机网络；应用；探讨

中图分类号：TP393文献标识码：A文章编号：1671-7597（2013）21-0107-01

近年来，黑客攻击网站的事情时有发生。尽管网络给我们带来了便利，但因为计算机网络安全问题而出现的个人信息泄露、网银密码泄露等事件屡见不鲜。为了维护我们在网络上应享有的正当权益以及保护我们的个人信息，对计算机网络防火墙技术的探讨是很有必要的。

1防火墙技术的简介

防火墙是一种由软件和硬件结合起来而形成的网络安全系统。防火墙的主要作用是在内部网络和外部网络之间建立起一个筛选的过程，避免外部网络的不安全因素进入内部网络并给内部网络造成损坏。防火墙的这个作用能有效避免内部网络遭受外部网络的病毒的入侵，使内部网络的文件丢失或者被盗取给内部网络用户带来损失。防火墙除了能将外部网络的不安全因素筛选出来以外，还能使内部网络的用户设置允许访问内部网络的名单，这一特点给计算机的网络安全带来了很大的保障。内部网络用户设置了内部网络的访问名单以后，只有有访问权限的人才能进入内部网络，没有访问权限的人则无法访问内部网络。防火墙的这个特性能极大地避免外来者未经用户允许进入内部网络的情况的发生。

2防火墙技术的类型

防火墙技术可以有很多种分类的方法，其中包括依据构成防火墙的物质的不同来对防火墙进行分类、依据防火墙针对安全问题的解决方法来对防火墙进行分类、依据防火墙的构造来对防火墙进行分类以及依据防火墙起作用的地方来对防火墙进行分类。

2.1依据构成防火墙的物质的不同来对防火墙进行分类

依据构成防火墙的物质的不同来对防火墙进行分类的话可以把防火墙分为三个类型。这种分类分出来的防火墙类型是软件构成的防火墙、硬件构成的防火墙以及芯片构成的防火墙。

软件构成的防火墙有一定的局限性，只有在指定的计算机上，软件构成的防火墙才能工作。如今的计算机操作系统非常多，不同的计算机操作系统的兼容性也不一样。就比如在某些操作系统中软件构成的防火墙能工作，但在其他的操作系统中软件构成的防火墙不能工作。因此要想软件构成的防火墙工作，就要选对能使防火墙适应的操作系统。

硬件构成的防火墙是以PC作为它的间架结构的。硬件构成的防火墙没有独有的硬件平台。在中关村等电子产品比较丰富的地方，出售的防火墙都是这种类型的硬件构成的防火墙。

芯片构成的防火墙与硬件构成的防火墙相比较最大的特点就是有它自己的独立的硬件平台，它和软件构成的防火墙相比较而言芯片构成的防火墙没有软件构成的防火墙所具有的操作系统。但因为芯片构成的防火墙有着独特的芯片，因此芯片构成的防火墙在所有防火墙种类中的工作速度最快以及解决问题的能力要更强。

2.2依据防火墙针对安全问题的解决方法来对防火墙进行分类

依据防火墙真的安全问题的解决方法来进行分类可以把防火墙分为三个类型。运用这种方法进行分类所得出来的防火墙的类型分别是包过滤类型的防火墙、应用以及类型的防火墙和状态监测类型的防火墙。

包过滤类型的防火墙顾名思义就是通过对文件进行过滤来达到保护内部网络的目的的防火墙。它所运行的地方是在网络层和传输层，文件如果通过了过滤是安全的就会被传输进内部网络，如果文件没有通过过滤被检测出来存在安全问题，那么，这个文件就会被丢弃，不会让它进入到用户的内部网络。

应用以及类型的防火墙的运行原理是对不同的应用程序实行不同的，用这种方法来完成对外部数据传输进内部网络的监控。

外部网络的信息传入到内部网络时会进行分类，状态监测类型的防火墙的运行原理就是把这些分类以后的信息进行调整，然后根据不同时段所分类出来的信息进行一个总的判断，最后来判定能不能让信息进入到内部网络。

2.3依据防火墙的构造来对防火墙进行分类

依据防火墙的构造可以把防火墙分为三个类型。这三种类型的防火墙分别是只有一个主机的防火墙、由集成电路构成的防火墙以及分布式防火墙。只有一个主机的防火墙是比较老的防火墙，目前大部分防火墙都不只有一个主机，其主要原因是因为它的价格比较昂贵。由集成电路构成的防火墙就目前来说是这三种防火墙中应用得最多最广的，它的价格比只有一个主机的防火墙要便宜许多。而分布式防火墙是最新的一种防火墙，它的性能是非常优秀的，但因为在三种防火墙中它的价格最贵，所以在目前应用得并不是很广泛。

2.4依据防火墙起作用的地方来对防火墙进行分类

依据防火墙起作用的地方来对防火墙进行分类的话可以将防火墙分为三类，分别是位于网络边界的防火墙、软件构成的防火墙以及分布式的防火墙。

位于网络边界的防火墙工作的地方是在内部网络和外部网络的边界上，它所工作的原理是通过把内部网络和外部网络分开来达到保护用户的内部网络的目的。位于网络边界的防火墙一般都是由硬件构成的防火墙，因此如果要买的话金额是比较多的。

软件构成的防火墙通常都工作于单独的内部网络，只保护一台计算机，这种防火墙的购买金额是最低的，因此，它的防护作用也是最差的。

分布式的防火墙在上文已经提到过了，它的构建是最复杂的，它的构建既有软件也有硬件。分布式防火墙不仅可以对外部网络的文件传输进行筛选，还能对内部网络之间传输的数据进行过滤。

3防火墙的作用

防火墙的作用经过归纳总结一共有5个：①过滤掉不安全的文件；②避免外人在未经主人允许的情况下进入内部网络；③禁止用户访问一些非法的网站；④对网络进行实时的监控；⑤避免用户的文件被非法盗取。

4小结

本文简要介绍了防火墙的概念涵义以及防火墙的种类，并就防火墙种类的划分原则进行了简单介绍，随着计算机网络的发展，网络安全势必会成为人们关注的焦点问题，我们必须基于现有的防火墙水平，不断创新防护技术，实现更好的防护效果。

参考文献

[1]林汉祥.浅析计算机网络安全及防范[J].计算机光盘软件与应用，2013（15）.

[2]白会民.基于防火墙技术的计算机网络安全问题探讨[J].消费电子·理论版，2013（2）.

[3]张润秋，张庆敏，张恺.基于防火墙技术对网络安全防护的认识[J].计算机光盘软件与应用，2013（15）.

防火墙在网络中的作用范文篇2

关键词：防火墙技术；网络；技术；安全；体系架构

1防火墙的概念

防火墙实际上是一种隔离技术，它可以将内部网和公众访问网分开，是一种最重要的网络防护设备。从专业角度讲，防火墙是位于两个网络间，实施网络之间访问控制的一组组件集合，它可以在两个网络通讯时执行的一种访问控制尺度，它允许安全的数据进入内部网，同时将有威胁的数据拒之门外。最大限度地减少恶意用户访问给网络信息带来的威胁。防火墙的目的是在网络连接之间建立一个安全控制点，通过允许、拒绝或重新定向经过防火墙的数据流，实现对进、出内部网络的服务和访问进行审计和控制。

2防火墙的分类

防火墙有很多种形式，有的以软件形式运行在普通计算机之上，也有的以固件形式设计在路由器之中。防火墙的分类也有很多种分法，从软、硬件形式上可分为软件防火墙和硬件防火墙以及芯片级防火墙；从防火墙结构可分为单一主机防火墙、路由器集成式防火墙和分布式防火墙三种；按防火墙的应用部署位置可分为边界防火墙、个人防火墙和混合防火墙三大类；按防火墙性能可分为百兆级防火墙和千兆级防火墙；按防火墙技术可分为包过滤防火墙和应用级两大类。

3防火墙的功能

在没有防火墙的环境中，局域网内部上的每个节点都暴露给Internet上的其它主机，局域网的安全性要由其中每个节点的坚固程度来决定，并且安全性等同于其中最弱的节点，从而使得局域网规模越大，把所有主机保持在相同安全水平上的可管理能力就越小。

引入防火墙后，局域网的安全性在防火墙上得到了统一的加固，主要体现在：1）强化了安全访问策略。防火墙可以提供实施和执行网络访问策略的工具，实现对用户和服务的访问控制。2）记录与Internet之间的通信活动。作为内外网之间唯一的放完通道，防火墙能够记录内部网和外部网络之间发生的多有事件。3）实现了网段之间的隔离或控制。防火墙的隔离作用，可控制一个有问题网段中的问题在整个网络中的传播。4）提供一个安全策略的检查站。所有进出网络的信息都必须通过防火墙，这样的防火墙便成为一个安全检查点，把所有可疑的访问拒之门外。

4防火墙技术分析

4.1包过滤防火墙

数据包过滤是一种在内部网络与外部主机之间进行有选择的数据包转发记住，它按照一种被称为访问控制列表（accesscontrollist，ACL）的安全策略来决定是允许还是阻止某些类型的数据包通过。ACL可以被配置为根据数据包报头的任何部分进行接收或拒绝数据包，目前，这种过滤主要是针对数据包的协议地址（包括源地址和目的地址）、协议类型和TCP/IP端口（包括源端口和目的端口）来进行的。因此，数据包过滤服务被人为是工作在网络层与传输层的边界安全机制。

4.2状态检测防火墙

状态检测防火墙采用了状态检测包过滤的技术，是传统包过滤上的功能扩展。采用这种技术的防火墙对通过其建立的每一个连接都进行跟踪，并且根据需要动态地在过滤规则中增加或更新条目。状态检测防火墙在网络层有一个检查引擎，它截获数据包从中抽取出与应用层状态有关的信息，并以此为依据决定对该连接是接受还是拒绝。

4.3服务型防火墙

（proxy）服务是运行在防火墙主机上的专门程序。防火墙主机可以是一个同时拥有内部网络接口和外部网络接口的双重宿主主机，也可以是一些内部网络中唯一可以与Internet通信的堡垒主机。服务程序接受内部网用户对Internet服务的请求，按照相应的安全策略转发它们的请求，并返回Internet网上主机的响应。实际上，就是一个在应用层提供替代连接并充当服务的网关。具有应用相关性，要按照应用服务类型的不同，选择相应的服务。

4.4网络地址翻译

网络地址翻译（networkaddresstranslation，NAT），是一种通过将私有地址转换为可以在公网上被路由的公有IP地址，实现私有地址结点与外部公网结点之间相互通信的技术。它一般运行在内部网络与外部网络的边界上，当内部网络的一台主机想要向外部网络中的主机进行数据传输时，它先将数据包发到NAT设备；NAT设备上的NAT进程将首先查看IP包报头的内容，如果该包是被允许通过的，就用自己所拥有的一个全球唯一的IP地址替换掉包头内源地址字段中的私有IP地址，然后将数据包转发到外部网络的目标主机上；当外部主机回应包被发送回来时，NAT进程将接收它，并通过查看当前的网络地址转换表，用原来的内部主机私有地址替换回应包中的公有目标地址，然后将该回应包送到内部网的相应源主机上。

4.5个人防火墙

个人防火墙，也就是通常的单机版防火墙，个人防火墙是保护个人计算机接入公共网络（如因特网）的安全有效措施。个人防火墙以软件防火墙为主，很少见到有个人用硬件防火墙设备。个人防火墙不但可以抵挡外来攻击还可以抵挡内部的攻击。

4.6防火墙分析综述

通过对防火墙技术性的分析，我们对防火墙有了更加深刻的了解和认识。首先，防火墙只是整个网络安全防护的一部分，其他防护手段如病毒防治、密码技术、鉴别技术等对网络安全也相当重要；其次，防火墙不是绝对安全，只能防护经过防火墙的访问和攻击，而对绕过防火墙进入网络的访问无能为力；再次，防火墙的架构需要风险分析和需求分析，并要进行动态维护，在测试和验证等方面还会受到限制，所以防火墙的防护能力不一定能够满足安全政策的需要。

5防火墙体系结构

5.1防火墙硬件架构

在网络信息安全的平台上，多采用的x86、NP、ASIC三种架构的防火墙。

在低端千兆市场上，x86架构的防火墙是主流产品。x86系列架构的防火墙又被称为工控机防火墙，具有开发、设计门槛低、技术成熟等优点，但它对数据包的转发性能相对较弱。

在高端千兆市场上，基于NP的防火墙将占有较大的市场分额。网络处理器（NP）是可编程处理器，是专门用来处理数据包的，它内含的数据处理引擎可以并发进行数据处理工作，能够直接完成网络数据的处理。

ASIC架构的防火墙是采用专用集成电路ASIC技术设计的专门的数据包处理流水线，它可以优化存储器等资源利用，是公认的能满足千兆环境应用的技术方案。但集成电路ASIC技术的开发成本高、开发周期长、开发难度大，一直没能得到广泛的应用。

5.2防火墙软件架构

根据产品的需要构建完善的产品框架，以软件质量标准实现产品的框架，才是完善的软件架构实现模式。完善的软件架构可以使用户和软件之间、系统与软件之间找到很好的结合点。通过对软件产品和活动的评审和审计可以验证软件的质量，检验软件质量是否符合相应的规程和标准。产品框架的设计师关系到产品稳定性、实用性、安全性等的问题的关键，合理的软件架构可以使得操作系统得到优化，网络容易集成，还能确保应用互操作性。

6安全体系架构

安全体系结构是面向资源的结构模块化设计，对文件、节点对象、协议类型、应用行为、管理端口协议等资源直接进行控制，极大的提高了网络的安全性，并保证了配置的方便性。系统采用可纵向结构层次化设计和横向功能模块化设计，使得安全系统的层次分明，系统结构清晰合理。对象型设计模式在配置过程中需要先定义配置的对象，后续的配置都按配置进行设置策略。一体化硬件设计要使用高速芯片加速处理网络的数据报文。数据流区块化导引比较则是结合网络连接和当前会话状态进行分析和监控。

防火墙作为最早出现的网络安全产品在网络安全中起着非常重要的作用。近年来，随着防火墙发展人们对防火墙的要求越来越高，防火墙已不再是一个简单的安全产品，而是网络安全的代名词。一般情况下，内外网交界的位置对于网络安全来说非常关键，为了降低网络传输延迟，只有在这个位置放置防火墙、病毒检测设备等。在实际使用中，如果能将防火墙、病毒检测等相关安全产品联合起来协同配合使用，充分发挥它们各自的长处，建立一个有效的安全防范体系，网络安全性就可以有明显的提升。

总之，随着网络信息化的发展，互联网的安全威胁也越来越大，防火墙作为内部网和外部网之间的一种访问控制技术，己经成为保护网络安全的一个重要措施。尽管防火墙的作用非常重要，但在网络安全中不能把防火墙作为唯一的防御手段，还应当结合其他安全措施，建立全面的安全防御体系。

参考文献：

[1]张蓉、贾义，浅析防火墙的系统架构及技术实现，2010年，01期.

[2]刘立博，基于中间层驱动的分布式防火墙技术的研究，2007年，06期.