網路安全技術防火牆

A. 網路防火牆的作用是什麼

防火牆（Firewall）是指一個由軟體或硬體設備組合而成，處於企業或網路群體電腦與外界通道之間，用來加強網際網路與內部網之間安全防範的一個或一組系統。它控制網路內外的信息交流，提供接入控制和審查跟蹤，是一種訪問控制機制。
一般防火牆具備以下特點：
廣泛的服務支持。通過將動態的、應用層的過濾能力和認證相結合，可實現WWW瀏覽、HTIP服務、FIP服務等；通過對專用數據的加密支持，保證通過Internet進行的虛擬專用網商務活動不受破壞；客戶端認證只允許指定的用戶訪問內部網路或選擇服務，是企業本地網與分支機構、商業夥伴和移動用戶間安全通信的附加部分；反欺騙。欺騙是從外部獲取網路訪問權的常用手段，它使數據包好象來自網路內部。防火牆能監視這樣的數據包並能扔掉它們。
防火牆的設置有兩條原則：一是「凡是未被准許的就是禁止的」。另一條策略與此正好相反，它堅持「凡是未被禁止的就是允許的」。防火牆先是轉發所有的信息，起初這堵牆幾乎不起作用，如同虛設；然後再逐項剔除有害的內容，被禁止的內容越多，防火牆的作用就越大。在此策略下，網路的靈活性得到完整地保留。但是就怕漏過的信息太多，使安全風險加大，並且網路管理者往往疲於奔命，工作量增大。
正因為安全領域中有許多變動的因素，所以安全策略的制定不應建立在靜態的基礎上。在制定防火牆安全規則時，應符合「可適應性的安全管理」模型的原則，即：
安全=風險分析＋執行策略＋系統實施＋漏洞監測＋實時響應從而滿足綜合性與整體性相結合的要求。
現有的防火牆技術主要有兩大類：數據包過濾技術和代理服務技術。第一類是數據包過濾技術（PacketFilter）。它是在網路層對數據包實施有選擇的放行。第二類是代理服務技術（ProXyService）。這是一種基於代理伺服器的防火牆技術，通常由兩部分構成--客戶與代理伺服器連接，代理伺服器再與外部伺服器連接，而內部網路與外部網路之間沒有直接的連接關系。
防火牆是有其局限性的：
防火牆不能防止繞過防火牆的攻擊。比如，一個企業內聯網設置了防火牆，但是該網路的一個用戶基於某種理由另外直接與網路的服務提供商連接，繞過了企業內聯網的保護，為該網留下了一個供人攻擊的後門，成了一個潛在的安全隱患。
防火牆經不起人為因素的攻擊。由於防火牆對網路安全實施單點挖掘，因此可能受到黑客們的攻擊。像企業內聯網由於管理原因造成的人為破壞，防火牆是無能為力的。
防火牆不能保證數據的秘密性，不能對數據進行鑒別，也不能保證網路不受病毒的攻擊。任何防火牆不可能對通過的數據流中每一個文件進行掃描檢查病毒。
目前市場上很多流行的安全設備都屬於靜態安全技術范疇，如防火牆和系統外殼等外圍保護設備。外圍保護設備針對的是來自系統外部的攻擊，一旦外部侵入者進入了系統，他們便不受任何阻擋。認證手段也與此類似，一旦侵入者騙過了認證系統，那麼侵入者便成為系統的內部人員。傳統防火牆的缺點在於無法做到安全與速度同步提高，一旦考慮到安全因素而對網路數據流量進行深入檢測和分析，那麼網路傳輸速度勢必受到影響。
靜態安全技術的缺點是需要人工來實施和維護，不能主動跟蹤侵入者。傳統的防火牆產品就是典型的這類產品。其高昂的維護費用和對網路性能的影響，任何人都無法迴避。系統管理員需要專門的安全分析軟體和技術來確定防火牆是否受到攻擊。
針對靜態安全技術的不足，許多世界網路安全和管理專家都提出了各自的解決方案，如NAI為傳統的防火牆技術做出了重要的補充和強化，其最新的防火牆系統GauntletFirewa113.0forwindowsNT包含了NAI技術專家多年來的研究成果「自適應代理技術」等。

B. 常用的網路安全技術有哪些

計算機網路安全技術簡稱網路安全技術，指致力於解決諸如如何有效進行介入控制，以及如何保證數據傳輸的安全性的技術手段，主要包括物理安全分析技術，網路結構安全分析技術，系統安全分析技術，管理安全分析技術，及其它的安全服務和安全機制策略。

技術分類虛擬網技術

虛擬網技術主要基於近年發展的區域網交換技術(ATM和乙太網交換）。交換技術將傳統的基於廣播的區域網技術發展為面向連接的技術。因此，網管系統有能力限制區域網通訊的范圍而無需通過開銷很大的路由器。防火牆技術網路防火牆技術是一種用來加強網路之間訪問控制,防止外部網路用戶以非法手段通過外部網路進入內部網路,訪問內部網路資源,保護內部網路操作環境的特殊網路互聯設備.它對兩個或多個網路之間傳輸的數據包如鏈接方式按照一定的安全策略來實施檢查,以決定網路之間的通信是否被允許,並監視網路運行狀態.

防火牆產品主要有堡壘主機,包過濾路由器,應用層網關(代理伺服器)以及電路層網關,屏蔽主機防火牆,雙宿主機等類型.

病毒防護技術

病毒歷來是信息系統安全的主要問題之一。由於網路的廣泛互聯，病毒的傳播途徑和速度大大加快。

將病毒的途徑分為：

(1 ) 通過FTP，電子郵件傳播。

(2) 通過軟盤、光碟、磁帶傳播。

(3) 通過Web游覽傳播，主要是惡意的Java控制項網站。

(4) 通過群件系統傳播。

病毒防護的主要技術如下：

(1) 阻止病毒的傳播。

在防火牆、代理伺服器、SMTP伺服器、網路伺服器、群件伺服器上安裝病毒過濾軟體。在桌面PC安裝病毒監控軟體。

(2) 檢查和清除病毒。

使用防病毒軟體檢查和清除病毒。

(3) 病毒資料庫的升級。

病毒資料庫應不斷更新，並下發到桌面系統。

(4) 在防火牆、代理伺服器及PC上安裝Java及ActiveX控制掃描軟體，禁止未經許可的控制項下載和安裝。入侵檢測技術利用防火牆技術，經過仔細的配置，通常能夠在內外網之間提供安全的網路保護，降低了網路安全風險。但是，僅僅使用防火牆、網路安全還遠遠不夠：

(1) 入侵者可尋找防火牆背後可能敞開的後門。

(2) 入侵者可能就在防火牆內。

(3) 由於性能的限制，防火牆通常不能提供實時的入侵檢測能力。入侵檢測系統是近年出現的新型網路安全技術，目的是提供實時的入侵檢測及採取相應的防護手段，如記錄證據用於跟蹤和恢復、斷開網路連接等。

實時入侵檢測能力之所以重要首先它能夠對付來自內部網路的攻擊，其次它能夠縮短hacker入侵的時間。

入侵檢測系統可分為兩類：基於主機和基於網路的入侵檢測系統。安全掃描技術

網路安全技術中，另一類重要技術為安全掃描技術。安全掃描技術與防火牆、安全監控系統互相配合能夠提供很高安全性的網路。

安全掃描工具通常也分為基於伺服器和基於網路的掃描器。

認證和數字簽名技術

認證技術主要解決網路通訊過程中通訊雙方的身份認可，數字簽名作為身份認證技術中的一種具體技術，同時數字簽名還可用於通信過程中的不可抵賴要求的實現。VPN技術1、企業對VPN 技術的需求

企業總部和各分支機構之間採用internet網路進行連接，由於internet是公用網路，因此，必須保證其安全性。我們將利用公共網路實現的私用網路稱為虛擬私用網(VPN)。

2、數字簽名

數字簽名作為驗證發送者身份和消息完整性的根據。公共密鑰系統(如RSA)基於私有/公共密鑰對，作為驗證發送者身份和消息完整性的根據。CA使用私有密鑰計算其數字簽名，利用CA提供的公共密鑰，任何人均可驗證簽名的真實性。偽造數字簽名從計算能力上是不可行的。

3、IPSEC

IPSec作為在IP v4及IP v6上的加密通訊框架，已為大多數廠商所支持，預計在1998年將確定為IETF標准，是VPN實現的Internet標准。

IPSec主要提供IP網路層上的加密通訊能力。該標准為每個IP包增加了新的包頭格式，Authentication
Header(AH)及encapsualting security
payload(ESP)。IPsec使用ISAKMP/Oakley及SKIP進行密鑰交換、管理及加密通訊協商(Security
Association)。

C. 防火牆技術有哪些

從實現原理上分，防火牆的技術包括四大類：網路級防火牆、應用級網關、電路級網關和規則檢查防火牆。

1、網路級防火牆

一般是基於源地址和目的地址、應用、協議以及每個IP包的埠來作出通過與否的判斷。防火牆檢查每一條規則直至發現包中的信息與某規則相符。

如果沒有一條規則能符合，防火牆就會使用默認規則，一般情況下，默認規則就是要求防火牆丟棄該包。通過定義基於TCP或UDP數據包的埠號，防火牆能夠判斷是否允許建立特定的連接，如Telnet、FTP連接。

2、應用級網關

應用級網關能夠檢查進出的數據包，通過網關復制傳遞數據，防止在受信任伺服器和客戶機與不受信任的主機間直接建立聯系。應用級網關能夠理解應用層上的協議，能夠做復雜一些的訪問控制，並做精細的注冊和稽核。

它針對特別的網路應用服務協議即數據過濾協議，並且能夠對數據包分析並形成相關的報告。應用網關對某些易於登錄和控制所有輸出輸入的通信的環境給予嚴格的控制，以防有價值的程序和數據被竊取。

3、電路級網關

電路級網關用來監控受信任的客戶或伺服器與不受信任的主機間的TCP握手信息,這樣來決定該會話是否合法，電路級網關是在OSI模型中會話層上來過濾數據包，這樣比包過濾防火牆要高二層。

電路級網關代理伺服器功能，代理伺服器是設置在Internet防火牆網關的專用應用級代碼。這種代理服務准許網管員允許或拒絕特定的應用程序或一個應用的特定功能。包過濾技術和應用網關是通過特定的邏輯判斷來決定是否允許特定的數據包通過，成功地實現了防火牆內外計算機系統的隔離。

4、規則檢查防火牆

該防火牆結合了包過濾防火牆、電路級網關和應用級網關的特點。能夠在OSI網路層上通過IP地址和埠號，過濾進出的數據包，也能夠檢查SYN和ACK標記和序列數字是否邏輯有序。當然它也象應用級網關一樣，可以在OSI應用層上檢查數據包的內容，查看這些內容是否能符合企業網路的安全規則。

規則檢查防火牆雖然集成前三者的特點，但是不同於一個應用級網關的是，它並不打破客戶機/伺服器模式來分析應用層的數據，它允許受信任的客戶機和不受信任的主機建立直接連接。規則檢查防火牆不依靠與應用層有關的代理，而是依靠某種演算法來識別進出的應用層數據。

(3)網路安全技術防火牆擴展閱讀

應用防火牆技術考慮以下方面：

1、防火牆是不能防病毒的。

2、防火牆技術的另外一個弱點在於數據在防火牆之間的更新是一個難題，如果延遲太大將無法支持實時服務請求。

防火牆採用濾波技術，濾波通常使網路的性能降低50%以上，如果為了改善網路性能而購置高速路由器，又會大大提高經濟預算。

防火牆是企業網安全問題的常用方案，即把公共數據和服務置於防火牆外，使其對防火牆內部資源的訪問受到限制。作為一種網路安全技術，防火牆具有簡單實用的特點，並且透明度高，可以在不修改原有網路應用系統的情況下達到一定的安全要求。

D. 網路安全技術主要有哪些

1、防火牆

網路防火牆技術是一種特殊的網路互聯設備，用於加強網路間的訪問控制，防止外網用戶通過外網非法進入內網，訪問內網資源，保護內網運行環境。它根據一定的安全策略，檢查兩個或多個網路之間傳輸的數據包，如鏈路模式，以決定網路之間的通信是否允許，並監控網路運行狀態。

目前防火牆產品主要有堡壘主機、包過濾路由器、應用層網關(代理伺服器)、電路層網關、屏蔽主機防火牆、雙宿主機等。

2、殺毒軟體技術

殺毒軟體絕對是使用最廣泛的安全技術解決方案，因為這種技術最容易實現，但是我們都知道殺毒軟體的主要功能是殺毒，功能非常有限，不能完全滿足網路安全的需求，這種方式可能還是能滿足個人用戶或者小企業的需求，但是如果個人或者企業有電子商務的需求，就不能完全滿足。

幸運的是，隨著反病毒軟體技術的不斷發展，目前主流的反病毒軟體可以防止木馬等黑客程序的入侵。其他殺毒軟體開發商也提供軟體防火牆，具有一定的防火牆功能，在一定程度上可以起到硬體防火牆的作用，比如KV300、金山防火牆、諾頓防火牆等等。

3、文件加密和數字簽名技術

與防火牆結合使用的安全技術包括文件加密和數字簽名技術，其目的是提高信息系統和數據的安全性和保密性。防止秘密數據被外界竊取、截獲或破壞的主要技術手段之一。隨著信息技術的發展，人們越來越關注網路安全和信息保密。

目前，各國除了在法律和管理上加強數據安全保護外，還分別在軟體和硬體技術上採取了措施。它促進了數據加密技術和物理防範技術的不斷發展。根據功能的不同，文件加密和數字簽名技術主要分為數據傳輸、數據存儲、數據完整性判別等。

(4)網路安全技術防火牆擴展閱讀：

首屆全VR線上網路安全大會舉辦

日前，DEF CON CHINA組委會正式官宣，歷經20餘月的漫長等待，DEF CON CHINA Party將於3月20日在線上舉辦。

根據DEF CON CHINA官方提供的信息，本次DEF CON CHINA Party將全程使用VR的方式在線上進行，這也是DEF CON歷史上的首次「全VR」大會。為此，主辦方構建了名為The DEF CONstruct的虛擬空間和賽博世界。在計算機語言中，Construct通常被譯為結構體。

E. 防火牆是計算機網路安全中常用到的一種技術

防火牆是計算機網路安全必須用到的技術，其能夠將計算機網路資源確保在安全范圍內。這種技術的使用原理是要提前設置該保護目標，讓其有規律地對計算機網路信息以及數據進行授權和限制，防火牆技術在使用過程中會主動記錄網路信息與數據來源，其控制著計算機的運行條件與使用方法，以此杜絕外來攻擊對計算機內部造成的影響，其可以在不同的角度與層面上來確保計算機網路資源的安全。防火牆技術在計算機網路信息安全中發揮著非常重要的作用。

F. 防火牆技術是一種什麼樣的安全模型

防火牆是一種能夠保護電腦網路安全的技術性措施，它可以通過網路邊界上建立相對應的網路通信監控系統來隔離內部和外部的網路，避免網路入侵傷害。

防火牆技術是一種被動式安全模式。防火牆是一種能夠保護電腦網路安全的技術性措施，它可以通過網路邊界上建立相對應的網路通信監控系統來隔離內部和外部的網路，避免網路入侵傷害。

防火牆（Firewall），也稱防護牆，是由Check Point創立者Gil Shwed於1993年發明並引入國際互聯網（US5606668（A）1993-12-15）。它是一種位於內部網路與外部網路之間的網路安全系統。一項信息安全的防護系統，依照特定的規則，允許或是限制傳輸的數據通過。

所謂防火牆指的是一個由軟體和硬體設備組合而成、在內部網和外部網之間、專用網與公共網之間的界面上構造的保護屏障.是一種獲取安全性方法的形象說法，它是一種計算機硬體和軟體的結合，使Internet與Intranet之間建立起一個安全網關（Security Gateway），從而保護內部網免受非法用戶的侵入，防火牆主要由服務訪問規則、驗證工具、包過濾和應用網關4個部分組成，防火牆就是一個位於計算機和它所連接的網路之間的軟體或硬體。該計算機流入流出的所有網路通信和數據包均要經過此防火牆。

G. 分別簡述防火牆的工作原理和主要功能是什麼

1、工作原理

防火牆主要是藉助硬體和軟體的作用於內部和外部網路的環境間產生一種保護的屏障，從而實現對計算機不安全網路因素的阻斷。只有在防火牆同意情況下，用戶才能夠進入計算機內，如果不同意就會被阻擋於外。

2、主要功能

防火牆對流經它的網路通信進行掃描，這樣能夠過濾掉一些攻擊，以免其在目標計算機上被執行。防火牆還可以關閉不使用的埠。而且它還能禁止特定埠的流出通信，封鎖特洛伊木馬。最後，它可以禁止來自特殊站點的訪問，從而防止來自不明入侵者的所有通信。

重要性

1、記錄計算機網路之中的數據信息

數據信息對於計算機網路建設工作有著積極的促進作用，同時其對於計算機網路安全也有著一定程度上的影響。通過防火牆技術能夠收集計算機網路在運行的過程當中的數據傳輸、信息訪問等多方面的內容，同時對收集的信息進行分類分組，藉此找出其中存在安全隱患的數據信息，採取針對性的措施進行解決，有效防止這些數據信息影響到計算機網路的安全。

2、防止工作人員訪問存在安全隱患的網站

計算機網路安全問題之中有相當一部分是由工作人員進入了存在安全隱患的網站所導致的。通過應用防火牆技術能夠對工作人員的操作進行實時監控，一旦發現工作人員即將進入存在安全隱患的網站，防火牆就會立刻發出警報，藉此有效防止工作人員誤入存在安全隱患的網站，有效提高訪問工作的安全性。

H. 什麼是防火牆技術

從實現原理上分，防火牆的技術包括四大類：網路級防火牆、應用級網關、電路級網關和規則檢查防火牆。

1、網路級防火牆

一般是基於源地址和目的地址、應用、協議以及每個IP包的埠來作出通過與否的判斷。防火牆檢查每一條規則直至發現包中的信息與某規則相符。

如果沒有一條規則能符合，防火牆就會使用默認規則，一般情況下，默認規則就是要求防火牆丟棄該包。通過定義基於TCP或UDP數據包的埠號，防火牆能夠判斷是否允許建立特定的連接，如Telnet、FTP連接。

2、應用級網關

應用級網關能夠檢查進出的數據包，通過網關復制傳遞數據，防止在受信任伺服器和客戶機與不受信任的主機間直接建立聯系。應用級網關能夠理解應用層上的協議，能夠做復雜一些的訪問控制，並做精細的注冊和稽核。

它針對特別的網路應用服務協議即數據過濾協議，並且能夠對數據包分析並形成相關的報告。應用網關對某些易於登錄和控制所有輸出輸入的通信的環境給予嚴格的控制，以防有價值的程序和數據被竊取。

3、電路級網關

電路級網關用來監控受信任的客戶或伺服器與不受信任的主機間的TCP握手信息,這樣來決定該會話是否合法，電路級網關是在OSI模型中會話層上來過濾數據包，這樣比包過濾防火牆要高二層。

電路級網關代理伺服器功能，代理伺服器是設置在Internet防火牆網關的專用應用級代碼。這種代理服務准許網管員允許或拒絕特定的應用程序或一個應用的特定功能。包過濾技術和應用網關是通過特定的邏輯判斷來決定是否允許特定的數據包通過，成功地實現了防火牆內外計算機系統的隔離。

4、規則檢查防火牆

該防火牆結合了包過濾防火牆、電路級網關和應用級網關的特點。能夠在OSI網路層上通過IP地址和埠號，過濾進出的數據包，也能夠檢查SYN和ACK標記和序列數字是否邏輯有序。當然它也象應用級網關一樣，可以在OSI應用層上檢查數據包的內容，查看這些內容是否能符合企業網路的安全規則。

規則檢查防火牆雖然集成前三者的特點，但是不同於一個應用級網關的是，它並不打破客戶機/伺服器模式來分析應用層的數據，它允許受信任的客戶機和不受信任的主機建立直接連接。規則檢查防火牆不依靠與應用層有關的代理，而是依靠某種演算法來識別進出的應用層數據。

(8)網路安全技術防火牆擴展閱讀

應用防火牆技術考慮以下方面：

1、防火牆是不能防病毒的。

2、防火牆技術的另外一個弱點在於數據在防火牆之間的更新是一個難題，如果延遲太大將無法支持實時服務請求。

防火牆採用濾波技術，濾波通常使網路的性能降低50%以上，如果為了改善網路性能而購置高速路由器，又會大大提高經濟預算。

防火牆是企業網安全問題的常用方案，即把公共數據和服務置於防火牆外，使其對防火牆內部資源的訪問受到限制。作為一種網路安全技術，防火牆具有簡單實用的特點，並且透明度高，可以在不修改原有網路應用系統的情況下達到一定的安全要求。

I. 簡述防火牆的作用及其安全方案

防火牆的作用：

1、過濾進出網路的數據。

2、管理進出訪問網路的行為。

3、封堵某些禁止業務。

4、記錄通過防火牆信息內容和活動。

5、對網路攻擊檢測和告警。

安全方案：

防火牆可以禁止諸如眾所周知的不安全的NFS協議進出受保護網路，這樣外部的攻擊者就不可能利用這些脆弱的協議來攻擊內部網路。

防火牆同時可以保護網路免受基於路由的攻擊，如IP選項中的源路由攻擊和ICMP重定向中的重定向路徑。防火牆可以拒絕所有以上類型攻擊的報文並通知防火牆管理員。

(9)網路安全技術防火牆擴展閱讀：

區域網內部，不連接互聯網外網的一般是不需要防火牆，監控單獨一個網路的時候才需要，一般都接在區域網內，通過路由器處的防火牆，而大型網路連接外網的，是需要防火牆的。

防火牆具有很好的保護作用。入侵者必須首先穿越防火牆的安全防線，才能接觸目標計算機。你可以將防火牆配置成許多不同保護級別。高級別的保護可能會禁止一些服務，如視頻流等。

J. 防火牆的原有含義是什麼新含義又是什麼

原有含義：能抵擋住火勢蔓延的牆。
新含義：所謂「防火牆」是指一種將內部網和公眾訪問網（如Internet）分開的方法，它實際上是一種建立在現代通信網路技術和信息安全技術基礎上的應用性安全技術，隔離技術。越來越多地應用於專用網路與公用網路的互聯環境之中，尤其以接入Internet網路為最甚。
防火牆主要是藉助硬體和軟體的作用於內部和外部網路的環境間產生一種保護的屏障，從而實現對計算機不安全網路因素的阻斷。只有在防火牆同意情況下，用戶才能夠進入計算機內，如果不同意就會被阻擋於外，防火牆技術的警報功能十分強大，在外部的用戶要進入到計算機內時，防火牆就會迅速的發出相應的警報，並提醒用戶的行為，並進行自我的判斷來決定是否允許外部的用戶進入到內部，只要是在網路環境內的用戶，這種防火牆都能夠進行有效的查詢，同時把查到信息朝用戶進行顯示，然後用戶需要按照自身需要對防火牆實施相應設置，對不允許的用戶行為進行阻斷。通過防火牆還能夠對信息數據的流量實施有效查看，並且還能夠對數據信息的上傳和下載速度進行掌握，便於用戶對計算機使用的情況具有良好的控制判斷，計算機的內部情況也可以通過這種防火牆進行查看，還具有啟動與關閉程序的功能，而計算機系統的內部中具有的日誌功能，其實也是防火牆對計算機的內部系統實時安全情況與每日流量情況進行的總結和整理。
防火牆是在兩個網路通訊時執行的一種訪問控制尺度，能最大限度阻止網路中的黑客訪問你的網路。是指設置在不同網路（如可信任的企業內部網和不可信的公共網）或網路安全域之間的一系列部件的組合。它是不同網路或網路安全域之間信息的唯一出入口，能根據企業的安全政策控制（允許、拒絕、監測）出入網路的信息流，且本身具有較強的抗攻擊能力。它是提供信息安全服務，實現網路和信息安全的基礎設施。在邏輯上，防火牆是一個分離器，一個限制器，也是一個分析器，有效地監控了內部網和Internet之間的任何活動，保證了內部網路的安全。