計算機網路基礎防火牆

⑴ 簡述計算機網路安全技術中「防火牆」（firewall）的基本功能及其技術分類

防火牆的本義原是指古代人們房屋之間修建的那道牆，這道牆在火災發生時可以阻止蔓延到別的房屋。而這里所說的防火牆當然不是指物理上的防火牆，而是指隔離在本地網路與外界網路之間的一道防禦系統。應該說，在互聯網上防火牆是一種非常有效的網路安全模型，通過它可以隔離風險區域(即Internet或有一定風險的網站)與安全區域(區域網或PC)的連接。同時可以監控進出網路的通信，讓安全的信息進入。

1、防火牆規則設置

雙擊任務欄的圖標彈出主界面，KFW防火牆已經內置42條規則，其中包括了20條標准安全規則及22條針對主流木馬程序的規則，這些規則能夠確保系統安全。雙擊任意一條規則可以進行編輯。KFW還提供5個安全等級，一般情況下使用中、高級即可，另外，還可根據網上安全情況來動態的設置規則，比如震盪波病毒在網上猖獗時可以添加對5554、1068、445等埠的攔截。

2、應用程序規則

KFW防火牆可以對應用程序設置規則，這項功能對付木馬十分有用。每當有新的程序要訪問網路時，KFW都會彈出確認框，它還可以對應用程序的收發數據包進行控制，並對數據包設置跟蹤。

3、數據包過濾和記錄

KFW防火牆有專業級別的包內容記錄功能，可以使您更深入的了解各種攻擊包的結構。實時數據包地址 、類型過濾可以阻止木馬的入侵和對危險埠的掃描。例如過濾藍色代碼病毒性攻擊包等，也可防範ICQ、QQ的死機攻擊。

4、網路埠列表

KFW防火牆的網路埠列表窗口中列出了所有使用網路埠的應用程序及其所使用的埠。 除了以上功能外，IP翻譯資料庫還可以顯示出IP地址所對應地理位置。

⑵ 計算機防火牆的主要作用是什麼

防火牆具有很好的保護作用，入侵者必須首先穿越防火牆的安全防線，才能接觸目標計算機。

從實現原理上分，防火牆的技術包括四大類：網路級防火牆（也叫包過濾型防火牆）、應用級網關、電路級網關和規則檢查防火牆。

1、網路級防火牆

一般來說，它是根據源地址和目的地址、應用程序、協議和每個IP包的埠來決定是否通過。路由器是「傳統的」網路級防火牆。大多數路由器可以通過檢查這些信息來確定是否轉發接收到的數據包，但無法確定IP數據包從何而來，從何而去。

防火牆檢查每個規則，直到發現數據包中的信息與規則匹配為止。如果沒有可以滿足的規則，防火牆將使用默認規則。通常，默認規則是要求防火牆丟棄數據包。其次，通過定義基於TCP或UDP包的埠號，防火牆可以確定是否允許建立特定的連接，如telnet和FTP連接。

2、應用級網關

應用級網關可以檢查傳入和傳出的數據包，通過網關復制和傳輸數據，防止可信伺服器和客戶端與不可信主機直接建立聯系。應用層網關可以理解應用層的協議，進行更復雜的訪問控制，並進行精細的注冊和審計。

它針對特定的網路應用服務協議，即數據過濾協議，能夠對數據包進行分析並形成相關的報表。應用網關對一些易於登錄和控制所有輸出和輸入通信的環境進行嚴格控制，以防止有價值的程序和數據被盜。在實際應用中，應用網關通常由一個專用的工作站系統來完成。

然而，每一個協議都需要相應的代理軟體，由於其工作量大，效率不如網路防火牆。應用層網關具有較好的訪問控制能力，是目前最安全的防火牆技術，但實現起來比較困難，一些應用層網關缺乏「透明性」。

實際上，當用戶通過可信網路上的防火牆訪問Internet時，他們經常發現存在延遲，必須多次登錄才能訪問Internet或intranet。

3、電路級網關

電路級網關用於監控可信客戶端或伺服器與不可信主機之間的TCP握手信息，以確定會話是否合法。在OSI模型中，電路級網關過濾會話層上的包，這比包過濾防火牆高兩層。電路級網關還提供了一個重要的安全功能：代理伺服器。

代理伺服器是Internet防火牆網關中設置的一種特殊的應用程序級代碼。此代理服務允許管理員允許或拒絕特定應用程序或應用程序的特定功能。包過濾技術和應用網關通過特定的邏輯判斷來決定是否允許特定的數據包通過。

一旦滿足判斷條件，防火牆內網的結構和運行狀態就會「暴露」給國外用戶，這就引入了代理服務的概念，即防火牆內外計算機系統應用層的「鏈路」被兩個代理服務「鏈路」終止，從而實現成功實現了防火牆內外計算機系統的隔離。

同時，代理服務還可以實現強大的數據流監控、過濾、記錄和報告功能。代理服務技術主要由專用計算機硬體（如工作站）承擔。

4、規則檢查防火牆

防火牆結合了包過濾防火牆、電路級網關和應用級網關的特點。與包過濾防火牆一樣，規則檢查防火牆可以通過OSI網路層上的IP地址和埠號過濾傳入和傳出的包。與電路級網關一樣，它可以檢查syn和ACK標記以及序列號是否按邏輯順序排列。

當然，和應用層網關一樣，它可以檢查OSI應用層上的包內容，看看這些內容是否符合企業網路的安全規則。盡管規則檢查防火牆集成了前三種防火牆的特性，但它不同於應用層網關，因為它不會破壞客戶機/伺服器模式來分析應用層中的數據。

它允許受信任的客戶端和不受信任的主機建立直接連接。規則檢查防火牆不依賴於與應用層相關的代理，而是依賴於某種演算法來識別傳入和傳出的應用層數據。這些演算法通過了解合法數據包的模式來比較傳入和傳出的數據包，從而在理論上比應用程序級代理更有效地過濾數據包。

(2)計算機網路基礎防火牆擴展閱讀；

防火牆技術的應用應考慮兩個方面：

首先，雖然許多防火牆產品聲稱它們具有此功能，但防火牆並不是反病毒的。其次，防火牆技術的另一個弱點是防火牆之間的數據更新是一個問題。

如果延遲太大，它將不支持實時服務請求。此外，防火牆採用過濾技術，通常會使網路性能降低50%以上。如果為了提高網路性能而購買高速路由器，將大大增加經濟預算。

防火牆對流經它的網路通信進行掃描，以便過濾掉一些攻擊，並避免它們在目標計算機上執行。防火牆還可以關閉未使用的埠。

同時還可以禁止特定埠的外流通信，阻止木馬。最後，它可以禁止特殊站點的訪問，從而防止來自未知入侵者的所有通信。

參考資料來源；網路——防火牆技術

⑶ 計算機網路信息安全中防火牆的應用是什麼

基本上都是360吧

⑷ 什麼是防火牆

防火牆（英語：Firewall）是通過有機結合各類用於安全管理與篩選的軟體和硬體設備，幫助計算機網路於其內、外網之間構建一道相對隔絕的保護屏障，以保護用戶資料與信息安全性的一種技術。

基本定義：防火牆是指一種將內部網和公眾訪問網（如Internet）分開的方法，它實際上是一種建立在現代通信網路技術和信息安全技術基礎上的應用性安全技術，隔離技術。越來越多地應用於專用網路與公用網路的互聯環境之中，尤其以接入Internet網路為最甚。
功能：防火牆主要是藉助硬體和軟體的作用於內部和外部網路的環境間產生一種保護的屏障，從而實現對計算機不安全網路因素的阻斷。只有在防火牆同意情況下，用戶才能夠進入計算機內，如果不同意就會被阻擋於外，防火牆技術的警報功能十分強大，在外部的用戶要進入到計算機內時，防火牆就會迅速的發出相應的警報，並提醒用戶的行為，並進行自我的判斷來決定是否允許外部的用戶進入到內部，只要是在網路環境內的用戶，這種防火牆都能夠進行有效的查詢，同時把查到信息朝用戶進行顯示，然後用戶需要按照自身需要對防火牆實施相應設置，對不允許的用戶行為進行阻斷。通過防火牆還能夠對信息數據的流量實施有效查看，並且還能夠對數據信息的上傳和下載速度進行掌握，便於用戶對計算機使用的情況具有良好的控制判斷，計算機的內部情況也可以通過這種防火牆進行查看，還具有啟動與關閉程序的功能，而計算機系統的內部中具有的日誌功能，其實也是防火牆對計算機的內部系統實時安全情況與每日流量情況進行的總結和整理。

⑸ 防火牆是什麼在網路環境中的應用

防火牆（英語：Firewall）在計算機科學領域中是一個架設在互聯網與企業內網之間的信息安全系統，根據企業預定的策略來監控往來的傳輸。

防火牆可能是一台專屬的網路設備或是運行於主機上來檢查各個網路介面上的網路傳輸。它是目前最重要的一種網路防護設備，從專業角度來說，防火牆是位於兩個(或多個)網路間，實行網路間訪問或控制的一組組件集合之硬體或軟體。

功能

防火牆最基本的功能就是隔離網路，透過將網路劃分成不同的區域（通常情況下稱為ZONE），制定出不同區域之間的訪問控制策略來控制不同信任程度區域間傳送的數據流。例如互聯網是不可信任的區域，而內部網路是高度信任的區域。以避免安全策略中禁止的一些通信。

它有控制信息基本的任務在不同信任的區域。 典型信任的區域包括互聯網(一個沒有信任的區域) 和一個內部網路(一個高信任的區域) 。 最終目標是:根據最小特權原則，在不同水平的信任區域，透過連通安全政策的運行，提供受控制的連通性。

例如：TCP/IPPort 135~139是Microsoft Windows的【網上鄰居】所使用的。

如果電腦有使用【網上鄰居】的【共享文件夾】，又沒使用任何防火牆相關的防護措施的話，就等於把自己的【共享文件夾】公開到Internet，使得任何人都有機會瀏覽目錄內的文件。

且早期版本的Windows有【網上鄰居】系統溢出的無密碼保護的漏洞（這里是指【共享文件夾】有設密碼，但可經由此系統漏洞，達到無須密碼便能瀏覽文件夾的需求）。

防火牆的本義，是指古代構築和使用木製結構房屋時，為防止火災發生及蔓延，人們將堅固石塊堆砌在房屋周圍做為屏障，這種防護結構建築就被稱為防火牆。

現代網路時代引用此喻意，指隔離本地網路與外界網路或是區域網間與互聯網或互聯網的一道防禦系統，藉由控制過濾限制消息來保護內部網資料的安全。

(5)計算機網路基礎防火牆擴展閱讀：

防火牆的重要性

1、記錄計算機網路之中的數據信息

數據信息對於計算機網路建設工作有著積極的促進作用，同時其對於計算機網路安全也有著一定程度上的影響。

通過防火牆技術能夠收集計算機網路在運行的過程當中的數據傳輸、信息訪問等多方面的內容，同時對收集的信息進行分類分組，藉此找出其中存在安全隱患的數據信息，採取針對性的措施進行解決，有效防止這些數據信息影響到計算機網路的安全。

除此之外，工作人員在對防火牆之中記錄的數據信息進行總結之後，能夠明確不同類型的異常數據信息的特點，藉此能夠有效提高計算機網路風險防控工作的效率和質量。

2、防止工作人員訪問存在安全隱患的網站

計算機網路安全問題之中有相當一部分是由工作人員進入了存在安全隱患的網站所導致的。通過應用防火牆技術能夠對工作人員的操作進行實時監控，一旦發現工作人員即將進入存在安全隱患的網站，防火牆就會立刻發出警報，藉此有效防止工作人員誤入存在安全隱患的網站，有效提高訪問工作的安全性。

3、控制不安全服務

計算機網路在運行的過程當中會出現許多不安全服務，這些不安全服務會嚴重影響到計算機網路的安全。通過應用防火牆技術能夠有效降低工作人員的實際操作風險，其能夠將不安全服務有效攔截下來，有效防止非法攻擊對計算機網路安全造成影響。

此外，通過防火牆技術還能夠實現對計算機網路之中的各項工作進行實施監控，藉此使得計算機用戶的各項工作能夠在一個安全可靠的環境之下進行，有效防止因為計算機網路問題給用戶帶來經濟損失。

缺點

正常狀況下，所有互聯網的數據包軟體都應經過防火牆的過濾，這將造成網路交通的瓶頸。例如在攻擊性數據包出現時，攻擊者會不時寄出數據包，讓防火牆疲於過濾數據包，而使一些合法數據包軟體亦無法正常進出防火牆。

⑹ 什麼是防火牆防火牆的類型有哪些

防火牆技術是通過有機結合各類用於安全管理與篩選的軟體和硬體設備，幫助計算機網路於其內、外網之間構建一道相對隔絕的保護屏障，以保護用戶資料與信息安全性的一種技術。

防火牆的主要類型

1、過濾防火牆

過濾防火牆，顧名思義，就是在計算機網路中起一個過濾的作用。這種防火牆會根據已經預設好的過濾規則，對在網路中流動的數據包進行過濾行為。如果符合過濾規則的數據包會被放行，如果數據包不滿足過濾規則，就會被刪除。數據包的過濾規則是基於數據包報審的特徵的。防火牆通過檢查數據包的源頭IP地址，目的IP地址，數據包遵守的協議，埠號等特徵來完成。第一代的防火牆就屬於過濾防火牆。

2、應用網關防火牆

已經介紹了的過濾防火牆在OSI七層協議中主要工作在數據鏈路層和IP層。與之不同的是，應用網關防火牆主要工作在最上層應用層。不僅如此，相比於基於過濾的防火牆來說，應用網關防火牆最大的特點是有一套自己的邏輯分析。基於這個邏輯分析，應用網關伺服器在應用層上進行危險數據的過濾，分析內部網路應用層的使用協議，並且對計算機網路內部的所有數據包進行分析，如果數據包沒有應用邏輯則不會被放行通過防火牆。

3、服務防火牆

上述的兩種防火牆都是應用在計算機網路中來阻擋惡意信息進入用戶的電腦的。服務防火牆則有其他的應用場景，服務防火牆主要用於伺服器的保護中。在現在的應用軟體中，往往需要通過和伺服器連接來獲得完整的軟體體驗。所以服務防火牆也就應運而生。服務防火牆用來防止外部網路的惡意信息進入到伺服器的網路環境中。

4、監控防火牆

如果說之前介紹的防火牆都是被動防守的話，那麼監控防火牆則是不僅僅防守，還會主動出擊。一方面監控防火牆可以像傳統的防火牆一樣，過濾網路中的有害數據。另一方面，監控防火牆可以主動對數據進行分析和測試，得到網路中是否存在外部攻擊。這種防火牆對內可以過濾，對外可以監控。從技術上來說，是傳統防火牆的重大升級。

5、應用代理類型防火牆

應用代理防火牆主要的工作范圍就是在OSI的最高層，位於應用層之上。其主要的特徵是可以完全隔離網路通信流，通過特定的代理程序就可以實現對應用層的監督與控制。這兩種防火牆是應用較為普遍的防火牆，其他一些防火牆應用效果也較為顯著，在實際應用中要綜合具體的需求以及狀況合理的選擇防火牆的類型，這樣才可以有效地避免防火牆的外部侵擾等問題的出現。

以上內容參考：網路-防火牆、網路-防火牆技術

⑺ 簡述計算機網路安全技術中「防火牆」（firewall）的基本功能及技術分類。

一 防火牆基本原理

首先，我們需要了解一些基本的防火牆實現原理。防火牆目前主要分包過濾，和狀態檢測的包過濾，應用層代理防火牆。但是他們的基本實現都是類似的。

│ │---路由器-----網卡│防火牆│網卡│----------內部網路│ │

防火牆一般有兩個以上的網路卡，一個連到外部（router)，另一個是連到內部網路。當打開主機網路轉發功能時，兩個網卡間的網路通訊能直接通過。當有防火牆時，他好比插在網卡之間，對所有的網路通訊進行控制。

說到訪問控制，這是防火牆的核心了：），防火牆主要通過一個訪問控製表來判斷的，他的形式一般是一連串的如下規則：

1 accept from+ 源地址，埠 to+ 目的地址，埠+ 採取的動作

2 deny ...........（deny就是拒絕。。)

3 nat ............(nat是地址轉換。後面說）

防火牆在網路層（包括以下的煉路層）接受到網路數據包後，就從上面的規則連表一條一條地匹配，如果符合就執行預先安排的動作了！如丟棄包。。。。

但是，不同的防火牆，在判斷攻擊行為時，有實現上的差別。下面結合實現原理說說可能的攻擊。

二 攻擊包過濾防火牆

包過濾防火牆是最簡單的一種了，它在網路層截獲網路數據包，根據防火牆的規則表，來檢測攻擊行為。他根據數據包的源IP地址；目的IP地址；TCP/UDP源埠；TCP/UDP目的埠來過濾！！很容易受到如下攻擊：

1 ip 欺騙攻擊：

這種攻擊，主要是修改數據包的源，目的地址和埠，模仿一些合法的數據包來騙過防火牆的檢測。如：外部攻擊者，將他的數據報源地址改為內部網路地址，防火牆看到是合法地址就放行了：）。可是，如果防火牆能結合介面，地址來匹配，這種攻擊就不能成功了：（

2 d.o.s拒絕服務攻擊

簡單的包過濾防火牆不能跟蹤 tcp的狀態，很容易受到拒絕服務攻擊，一旦防火牆受到d.o.s攻擊，他可能會忙於處理，而忘記了他自己的過濾功能。：）你就可以饒過了，不過這樣攻擊還很少的。！

3 分片攻擊

這種攻擊的原理是：在IP的分片包中，所有的分片包用一個分片偏移欄位標志分片包的順序，但是，只有第一個分片包含有TCP埠號的信息。當IP分片包通過分組過濾防火牆時，防火牆只根據第一個分片包的Tcp信息判斷是否允許通過，而其他後續的分片不作防火牆檢測，直接讓它們通過。

這樣，攻擊者就可以通過先發送第一個合法的IP分片，騙過防火牆的檢測，接著封裝了惡意數據的後續分片包就可以直接穿透防火牆，直接到達內部網路主機，從而威脅網路和主機的安全。

4 木馬攻擊

對於包過濾防火牆最有效的攻擊就是木馬了，一但你在內部網路安裝了木馬，防火牆基本上是無能為力的。

原因是：包過濾防火牆一般只過濾低埠（1-1024），而高埠他不可能過濾的（因為，一些服務要用到高埠，因此防火牆不能關閉高埠的），所以很多的木馬都在高埠打開等待，如冰河，subseven等。。。
但是木馬攻擊的前提是必須先上傳，運行木馬，對於簡單的包過濾防火牆來說，是容易做的。這里不寫這個了。大概就是利用內部網路主機開放的服務漏洞。

早期的防火牆都是這種簡單的包過濾型的，到現在已很少了，不過也有。現在的包過濾採用的是狀態檢測技術，下面談談狀態檢測的包過濾防火牆。狀態檢測技術最早是checkpoint提出的，在國內的許多防火牆都聲稱實現了狀態檢測技術。

可是：）很多是沒有實現的。到底什麼是狀態檢測？

一句話，狀態檢測就是從tcp連接的建立到終止都跟蹤檢測的技術。

原先的包過濾，是拿一個一個單獨的數據包來匹配規則的。可是我們知道，同一個tcp連接，他的數據包是前後關聯的，先是syn包，-》數據包=》fin包。數據包的前後序列號是相關的。

如果割裂這些關系，單獨的過濾數據包，很容易被精心夠造的攻擊數據包欺騙！！！如nmap的攻擊掃描，就有利用syn包，fin包，reset包來探測防火牆後面的網路。！

相反，一個完全的狀態檢測防火牆，他在發起連接就判斷，如果符合規則，就在內存登記了這個連接的狀態信息（地址，port，選項。。）,後續的屬於同一個連接的數據包，就不需要在檢測了。直接通過。而一些精心夠造的攻擊數據包由於沒有在內存登記相應的狀態信息，都被丟棄了。這樣這些攻擊數據包，就不能饒過防火牆了。

說狀態檢測必須提到動態規則技術。在狀態檢測里，採用動態規則技術，原先高埠的問題就可以解決了。實現原理是：平時，防火牆可以過濾內部網路的所有埠(1-65535),外部攻擊者難於發現入侵的切入點，可是為了不影響正常的服務，防火牆一但檢測到服務必須開放高埠時，如（ftp協議，irc等），防火牆在內存就可以動態地天加一條規則打開相關的高埠。等服務完成後，這條規則就又被防火牆刪除。這樣，既保障了安全，又不影響正常服務，速度也快。！
一般來說，完全實現了狀態檢測技術防火牆，智能性都比較高，一些掃描攻擊還能自動的反應，因此，攻擊者要很小心才不會被發現。

但是，也有不少的攻擊手段對付這種防火牆的。

⑻ 防火牆名詞解釋

防火牆技術是通過有機結合各類用於安全管理與篩選的軟體和硬體設備，幫助計算機網路於其內、外網之間構建一道相對隔絕的保護屏障，以保護用戶資料與信息安全性的一種技術。
防火牆技術的功能主要在於及時發現並處理計算機網路運行時可能存在的安全風險、數據傳輸等問題，其中處理措施包括隔離與保護，同時可對計算機網路安全當中的各項操作實施記錄與檢測，以確保計算機網路運行的安全性，保障用戶資料與信息的完整性，為用戶提供更好、更安全的計算機網路使用體驗。
防火牆對流經它的網路通信進行掃描，這樣能夠過濾掉一些攻擊，以免其在目標計算機上被執行。防火牆還可以關閉不使用的埠。而且它還能禁止特定埠的流出通信，封鎖特洛伊木馬。最後，它可以禁止來自特殊站點的訪問，從而防止來自不明入侵者的所有通信。

⑼ 在計算機網路系統中，防火牆技術的原理是什麼

防火牆是一種訪問控制技術，它用於加強兩個或多個網路間的邊界防衛能力。其工作原理如下：在公共網路和專用網路之間設立一道隔離牆，在此檢查是否允許進出專用網路的信息通過，或是否允許用戶的服務請求，從而阻止對信息資源的非法訪問和非授權用戶的進人。這是一種被動型防衛技術。建立防火牆時要求網路具有明確的邊界和服務類型，這樣才能夠隔離內外網路，達到防護目的。
防火牆並不僅僅指用來提供一個網路安全保障的主機、路由器或多機系統。應該說，防火牆是保障安全的手段，它有助於建立一個網路安全協議，並通過網路配置、主機系統、路由器以及諸如身份認證等手段來實現該安全協議。防火牆系統的主機目標是控制入、出一個網路的許可權，它迫使所有的連接都通過防火牆，以便接受檢查。
一個防火牆系統可以是一個路由器、一台主機或主機群，建立它們是為了防止一個需要保護的子網免受子網之外因素的干擾、破壞。防火牆一般是建立在高層的網關-比如站點通向Internet的連接上。但是，為了保護一個子網或部分主機群，也可以在子網邊界設置防火牆。

⑽ 防火牆是計算機網路安全中常用到的一種技術

防火牆是計算機網路安全必須用到的技術，其能夠將計算機網路資源確保在安全范圍內。這種技術的使用原理是要提前設置該保護目標，讓其有規律地對計算機網路信息以及數據進行授權和限制，防火牆技術在使用過程中會主動記錄網路信息與數據來源，其控制著計算機的運行條件與使用方法，以此杜絕外來攻擊對計算機內部造成的影響，其可以在不同的角度與層面上來確保計算機網路資源的安全。防火牆技術在計算機網路信息安全中發揮著非常重要的作用。