Internet防火墻是這樣的系統(tǒng)(或一組系統(tǒng))，它能夠使機構內部網(wǎng)絡的安全性大大增強。要使一個防火墻有效，所有的Internet信息都必須經(jīng)過這一道防火墻，接受防火墻的安全檢查。只有授權的數(shù)據(jù)才能夠通過防火墻，并且防火墻本身也必須能夠免于滲透。但是，防火墻系統(tǒng)一旦發(fā)生被攻擊者現(xiàn)象時，就不能為我們提供任何的保護了。――我們應當特別注意的是，Internet不只是由堡壘主機和路由器以及其他設備共同形成的防火墻，它本身還是一個重要的安全方式。下面就由學習啦小編跟大家說說現(xiàn)階段的防火墻技術知識有哪些。

　　現(xiàn)階段的防火墻技術知識介紹一：

　　一、防火墻功能

　　總結來說，有這樣幾個功能：

　　(一)將不可靠的服務與不合法的用戶清除。

　　(二)訪問特殊的網(wǎng)站會有限制。

　　(三)可以進行互聯(lián)網(wǎng)的安全和預警的檢測。

　　二、防火墻的技術

　　根據(jù)層次可以將防火墻分成兩類，一個是報文過濾，另一個是應用層網(wǎng)關。前者是于IP層進行的，在是因特網(wǎng)時，完全不能感受到它，操作十分簡單。它有一個特別明顯的弱點就是不可以在用戶的級別中進行過濾處理，也就是無法辨別不一樣的用戶，也不能阻止惡意盜取IP地址的行為。若是有人將自己的IP地址改成一個合法的地址，完全能夠輕松地躲過過濾的危機。

　　這種過濾形式也可以用應用層網(wǎng)關將弱點改善?？梢岳枚喾N方式對應用層進行防火墻的設置，以下就是幾種常見的設計。

　　(一)應用代理服務器(Application Gateway Proxy)

　　此類防火墻是在應用層進行保護的，主要就是檢查授權以及一些代理業(yè)務。如果外面的主機想要訪問這個網(wǎng)站，就一定要先在這里驗證一下身份。只有驗證合格之后，才會專門為用戶專門一個程序，將外面的主機連接進來。整個過程中，防火墻完全可以攔截外部主機的訪問，也可以控制訪問的方式與時間。另外，受到了防火墻保護的內部用戶如果需要連接到外部的主機，也要經(jīng)過驗證，才能執(zhí)行各項指令。

　　這種防火墻有一個顯著的優(yōu)勢，就是將內部的IP地址掩藏起來，也能夠給個別的用戶訪問的權利。即使有人真的運用了一個正常的IP地址，也無法經(jīng)過嚴格的認證程序。這種方式在安全性上比報文過濾更出色。然而，這種方式也因此讓應用網(wǎng)關無法保持透明度，用戶往往需要不斷認證，有許多不方面的地方。另外，這種技術還要在每個網(wǎng)關都設置專門的訪問程序。

　　(二)回路級代理服務器

　　這就是人們常用的一般的服務器，可以進行多項協(xié)議，卻無法解釋應用協(xié)議，一定要以其它的方式來獲取信息。因此，這種服務器往往需要用戶程序進行修改。

　　這種服務器也被稱為套接字服務器，意味著這是一個以國際標準為準神的一種技術。如果受到了保護的客戶機要跟外面的網(wǎng)絡進行信息的交流，只有防火墻上面的服務器對用戶進行各項的認證之后，沒有問題，才能讓套接字服務器跟外面的服務器進行連接。站在用戶的位置上，看到的保護網(wǎng)與外面的網(wǎng)絡進行信息交流的時候完全是透明的，根本感受不到有一層防火墻，就因為所有的用戶都不必登錄進入防火墻。然而，在客戶端使用的用戶所用的軟件一定要適應 “Socketsified API”，受到保護的用戶在進入公共網(wǎng)的時候所用的IP地址全都是屬于防火墻的。

　　(三)IP通道(IP Tunnels)

　　有時會有這樣的情況出現(xiàn)，一個公司有多個分公司，利用互聯(lián)網(wǎng)互相傳遞信息。這時候，就能夠利用IP Tunnels來阻礙網(wǎng)上的黑客對信息的攔截，這樣就形成了一個互聯(lián)網(wǎng)上的虛擬企業(yè)系統(tǒng)。

　　假如分公司的網(wǎng)絡中的一臺主機要傳遞報文給另一個分公司，這個報文在通過本網(wǎng)的防火墻的時候，會先判斷一下報文是不是發(fā)到同一個系統(tǒng)中的分公司的。如果是，就再添上一個爆頭，這樣就形成了到另一個分公司防火墻的報文。原先發(fā)出報文的IP地址也會加入數(shù)據(jù)系統(tǒng)一起加密傳送到另一個分公司的防火墻。;另一個分公司的防火墻在接收到這則報文以后，會再判斷其IP地址是不是同一個公司系統(tǒng)之內的。如果是，就將報頭去除，再進行解密，傳輸?shù)骄W(wǎng)絡中。從網(wǎng)絡上看，就是兩方的防火墻在進行信息交流。如果有黑客進行偽裝的報文傳送，就會因為不能進行解密而被傳送失敗。

　　(四)網(wǎng)絡地址轉換器(NAT Network Address Translate)

　　如果受到保護的網(wǎng)絡連接到了互聯(lián)網(wǎng)上，用戶訪問互聯(lián)網(wǎng)的時候，就必須用合法的IP地址。然而，合法的互聯(lián)網(wǎng)地址數(shù)量是有限的，并且受到保護的網(wǎng)絡一般也都有獨到的網(wǎng)絡地址方案。網(wǎng)絡地址轉換器是將一個合法的網(wǎng)絡地址集團安裝到防火墻上面。如果內網(wǎng)的用戶想要訪問互聯(lián)網(wǎng)，防火墻就會自動從準備好的地址集團中給用戶挑選一個還沒有分配的地址，這個用戶可以利用這一地址傳遞信息。另外，一些內網(wǎng)的服務器，如Web，轉換器可以給它分配一個固定的地址來使用。外網(wǎng)的用戶也可以在經(jīng)過了防火墻驗證之后訪問到內網(wǎng)的信息。此類技術可以讓主機多、IP地址少的問題得到緩解，在外網(wǎng)也無法獲取內網(wǎng)的IP地址，更加安全可靠。

　　(五)隔離域名服務器(Split Domain Name Sever)

　　此類技術是利用防火墻來分離受到了保護的網(wǎng)絡所擁有的域名服務器與外網(wǎng)的域名服務器的，這樣外網(wǎng)的域名服務器只可以見到防火墻上的IP地址，不能看到受到了保護的網(wǎng)絡的信息，如此就能夠讓受到了保護的網(wǎng)絡擁有的IP地址得到保護。

　　(六)郵件轉發(fā)技術(Mail forwarding)

　　如果防火墻運用了以上說的幾類技術形式而讓外網(wǎng)只能夠了解到防火墻上的IP地址和域名的時候，那些外網(wǎng)傳遞過來的郵件也只能發(fā)送到防火墻。防火墻會對郵件進行來源檢測，如果其來源的地址是合法的，也是符合傳遞要求的，防火墻才會轉換郵件，傳送到內網(wǎng)的郵件服務器，再轉發(fā)到目標主機上。

　　現(xiàn)階段的防火墻技術知識介紹二：

　　21世紀全世界的計算機不僅從一般性的防衛(wèi)變成了一種非常普通的防范，而且還從一種專門的領域變成了無處不在。網(wǎng)絡防火墻技術是一種用來加強網(wǎng)絡之間訪問控制，防止外部網(wǎng)絡用戶以非法手段通過外部網(wǎng)絡進入內部網(wǎng)絡，訪問內部網(wǎng)絡資源，保護內部網(wǎng)絡操作環(huán)境的特殊網(wǎng)絡互聯(lián)設備。

　　一、防火墻的分類

　　根據(jù)防火墻所采用的技術不同，我們可以將它分為四種基本類型：包過濾型、網(wǎng)絡地址轉換—NAT、代理型和監(jiān)測型。

　　(一)包過濾型

　　包過濾型產(chǎn)品是防火墻的初級產(chǎn)品，其技術依據(jù)是網(wǎng)絡中的分包傳輸技術。網(wǎng)絡上的數(shù)據(jù)都是以“包”為單位進行傳輸?shù)?，?shù)據(jù)被分割成為一定大小的數(shù)據(jù)包，每一個數(shù)據(jù)包中都會包含一些特定信息，如數(shù)據(jù)的源地址、目標地址、TCP/UDP源端口和目標端口等。

　　(二)網(wǎng)絡地址轉化—NAT

　　網(wǎng)絡地址轉換是一種用于把IP地址轉換成臨時的、外部的、注冊的IP地址標準。它允許具有私有IP地址的內部網(wǎng)絡訪問因特網(wǎng)。

　　(三)代理型

　　代理型防火墻也可以被稱為代理服務器，它的安全性要高于包過濾型產(chǎn)品，并已經(jīng)開始向應用層發(fā)展。代理服務器位于客戶機與服務器之間，完全阻擋了二者間的數(shù)據(jù)交流。從客戶機來看，代理服務器相當于一臺真正的服務器;而從服務器來看，代理服務器又是一臺真正的客戶機。當客戶機需要使用服務器上的數(shù)據(jù)時，首先將數(shù)據(jù)請求發(fā)給代理服務器，代理服務器再根據(jù)這一請求向服務器索取數(shù)據(jù)，然后再由代理服務器將數(shù)據(jù)傳輸給客戶機。

　　(四)監(jiān)測型

　　監(jiān)測型防火墻能夠對各層的數(shù)據(jù)進行主動的、實時的監(jiān)測，在對這些數(shù)據(jù)加以分析的基礎上，監(jiān)測型防火墻能夠有效地判斷出各層中的非法侵入。同時，檢測型防火墻產(chǎn)品一般還帶有分布式探測器，這些探測器安置在各種應用服務器和其他網(wǎng)絡的節(jié)點之中，不僅能夠檢測來自網(wǎng)絡外部的攻擊，同時對來自內部的惡意破壞也有極強的防范作用。

　　二、現(xiàn)代企業(yè)面臨的安全風險

　　現(xiàn)代企業(yè)對網(wǎng)絡依賴主要來自于運行在網(wǎng)絡上的各種應用，同樣的，網(wǎng)絡的范圍也覆蓋到整個企業(yè)的運營區(qū)域。

　　(一)網(wǎng)絡內部

　　網(wǎng)絡內部，即面向企業(yè)內部員工的工作站，我們不能保證用戶每一次操作都是正確與安全的，絕大情況下，他們僅知道如何去使用面前的計算機來完成屬于自己的本職工作。

　　(二)混合性威脅

　　用多種方法和技術來傳播和實施的攻擊或威脅，因而必須有多種方法來保護和壓制這種攻擊或威脅。如：CodeRed.CodeRedII.CodeBlue.Nimda.

　　三、利用防火墻解決企業(yè)中存在的安全風險

　　通過在內部網(wǎng)絡中的每臺工作站上部署防病毒，防火墻，入侵檢測，補丁管理與系統(tǒng)監(jiān)控，我們可以集中收集內部網(wǎng)絡中的威脅，分析面對的風險，靈活適當?shù)恼{整安全管理策略。更重要的就是從網(wǎng)絡結構上的接入層，匯聚層和核心交換層設備上做好訪問控制與流量管理。

　　如果部署安全策略，在提高安全性的同時，勢必會影響其可用性。這個矛盾是不可調和的。關鍵區(qū)域的防火墻主要是面對內部用戶，保護重要服務和資源的訪問控制與完善安全日志的收集。邊界防火墻不僅僅要防御來自外部的各種威脅，也要提供諸如NAT服務，出站控制，遠程用戶和移動用戶訪問的授權等。我們可以將各種防御的職能根據(jù)網(wǎng)絡的結構和提供的應用來分派到兩類防火墻上來。即內部防火墻重點保護DMZ區(qū)域，提供深層次的檢測與告警。因為一旦涉及到數(shù)據(jù)包深入檢測，將會大大影響設備的性能。

　　如今的防火墻的功能越來越強大，這里我們選擇業(yè)界一流的防火墻CheckPoint的StatefulInspection(狀態(tài)檢測技術)和WebIntelligence(Web智能技術)來簡單介紹下對于防火墻的智能防御與Web安全保護。簡單來說，狀態(tài)檢測技術工作在OSI參考模型的DataLink與Network層之間，數(shù)據(jù)包在操作系統(tǒng)內核中，在數(shù)據(jù)鏈路層和網(wǎng)絡層時間被檢查。防火墻會生成一個會話的狀態(tài)表，InspectEngine檢測引擎依照RFC標準維護和檢查數(shù)據(jù)包的上下文關系。該技術是CheckPoint發(fā)明的專利技術。狀態(tài)檢測對流量的控制效率是很高的，同時對于防火墻的負載和網(wǎng)絡數(shù)據(jù)流增加的延遲也是非常小?？梢员ＷC整個防火墻快速，有效的控制數(shù)據(jù)的進出和做出控制決策。

　　CheckPoint的WebIntelligence，有一種名為MaliciousCodeProt-ector(可疑代碼防護器)來提供對應用層的保護。如何去判斷上述的一些威脅呢?MCP使用了通過分拆及分析嵌入在網(wǎng)絡傳輸中的可執(zhí)行代碼，模擬行來判斷攻擊，將可執(zhí)行代碼放置到一個虛擬的仿真服務器中運行，檢測是否對虛擬系統(tǒng)造成威脅，最終來決定是否定義為攻擊行為。該技術最大的優(yōu)勢是可以非常精確的阻止已知和未知攻擊，并且誤報率相當?shù)汀?/p>

　　四、結語

　　一個好的防火墻應該具有高度安全性、高透明性和高網(wǎng)絡性能。此外，人們也在開展其他計算機網(wǎng)絡安全技術的研究，隨著Internet在我國的迅速發(fā)展，防火墻技術引起了各方面的廣泛關注。一方面在對國外信息安全和防火墻技術的發(fā)展進行跟蹤，另一方面也已經(jīng)自行開展了一些研究工作。目前使用較多的，是在路由器上采用分組過濾技術提供安全保證，對其它方面的技術尚缺乏深入了解。防火墻技術還處在一個發(fā)展階段，仍有許多問題有待解決。因此，密切關注防火墻的最新發(fā)展，對推動Internet在我國的健康發(fā)展有著重要的意義。