所谓防火墙，就是一种用来加强网络之间访问控制 的特殊网络互联设备，如路由器、网关等。它对两 个或多个网络之间传输的数据包和连接方式按照一 定的安全策略进行检查，以决定网络之间的通信是 否被允许。其中被保护的网络称为内部网络，另一 方则称为外部网络或公用网络。它能有效地控制内 部网络与外部网络之间的访问及数据传送，从而达 到保护内部网络的信息不受外部非授权用户的访问 和过滤不良信息的目的。


目前，Internet上的Web网站中，超过三分之一的 站点都是有某种防火墙保护的，任何关键性的服务 器，都应该放在防火墙之后。部署防火墙技术，可 以大大提高网络的安全性，主要表现在： 1．防火墙是网络安全的屏障 一个防火墙（作为阻塞点、控制点）能极大地提 高一个内部网络的安全性，并通过过滤不安全的服 务而降低风险。


2．应用级网关防火墙 应用级网关也就是通常我们提到的代理服务器。 它适用于特定的互联网服务，如超文 本传输(HTTP)、远程文件传输(FTP)等。代理服务 器通常运行在两个网络之间，它对于客户来说像是 一台真的服务器，而对于外界的服务器来说，它又 是一台客户机。当代理服务器接收到用户对某站点 的访问请求后会检查该请求是否符合规定，如果规 则允许用户访问该站点的话，代理服务器会像一个 客户一样去那个站点取回所需信息再转发给客户。



防火墙技术：包过路技术、代理技术、状态检测技 术. 防火墙的设计结构：筛选路由器、双重宿主机、屏 蔽主机、屏蔽子网结构. 入侵检测种类：基于主机（HIDS）、基于网络 （NIDS）、分布式（DIDS）入侵检测系统. 入侵检测的步骤：收集信息，分析数据，响应.

所谓“防火墙”，是指一种将内部网和公众访问网 (Internet)相对分开的方法，它实际上是一种隔离 技术。防火墙是在两个网络通信时执行的—种访问 控制尺度，它能允许用户“同意”的人和数据进入 自己的网络，同时将未经认可的访问者和数据拒之 门外，最大限度地阻止网络中的黑客入侵行为，防 止自己的信息被更改、拷贝和毁坏。防火墙包括阻 止外来访问的任何设备，通常是软件和硬件和组合 体，它通常根据一些规则来过滤想要或不想要的地 址。

（３）防火墙不能防范病毒。 防火墙不能防范网络 上或PC机中的病毒。虽然许多防火墙可以扫描所有 通过它的信息，以决定是否允许它通过，但这种扫 描是针对源地址、目标地址和端口号，而不是数据 的具体内容。即使是先进的数据包过滤系统，也难 以防范病毒，因为病毒的种类太多，而且病毒可以 通过许多种手段隐藏在数据中。



没有万能的网络安全技术，防火墙也不例外。防火 墙有以下三方面的局限： （１）防火墙不能防范网络内部的攻击。比如，防 火墙无法禁止变节者或内部间谍将敏感数据拷贝到 软盘上。 （２）防火墙不能防范不通过它的连接。防火墙能 够有效地防止通过它进行信息传输，但它不能防止 不通过它的信息传输。例如，如果允许对防火墙后 面的内部系统进行拨号访问，那么防火墙绝对没有 办法阻止侵入者进行拨号入侵。


3．对网络存取和访问进行监控审计 如果所有的访问都经过防火墙，那么，防火墙就 能记录下这些访问并作出日志记录，同 时也能提供网络使用情况的统统计数据。当发生可 疑动作时，防火墙能进行适当的报警，并提供网织 是否受到监测和入侵的详细信息。




4．防止内部信息的外泄 通过利用防火墙对内部网络的划分，可实现内部 网重点网段的隔离．从而限制了局部重 点或敏感网络安全问题对全局网络造成的影响。再 者，隐私是内部网络非常关心的问题，一 个内部网络中不引人注意的细节可能包含了有关安 全的线索而引起外部入侵者的兴趣，甚至 因此而暴漏了内部网络的某些安全漏洞。使用防火 墙就可以隐蔽那些透漏内部细节如Finger.等。

防火墙最基本的构件既不是软件也不是硬件，而是 构造防火墙的人的思想。尽管防火墙有各种不同的 类型，但所有的防火墙都有—个共同的特征：基于 源地址基础上的区分或拒绝某些访问的能力。ຫໍສະໝຸດ

从总体上看，防火墙应具有以下五大基本功能： （1）过滤进出网络的数据包。 （2）管理进出网络的访问行为。 （3）封堵某些禁止的访问行为。 （4）记录通过防火墙的信息内容和活动。 （5）对网络攻击进行检测和告警。 为实现以上功能，在防火墙产品的开发中，人们 要应用网络拓扑技术、计算机操作系 统技术、路由技术、加密技术、访问控制技术、安 全审计技术等成熟或先进的手段。




3．状态监测防火墙 这种防火墙具有非常好的安全特性，它使用了一 个在网关上执行网络安全策略的软件 模块，称之为监测引擎。监测引擎在不影响网络正 常运行的前提下，采用抽取有关数据的 方法对网络通信的各层实施监测，抽取状态信息， 并动态地保存起来作为以后执行安全策 略的参考。监测引擎支持多种协议和应用程序，并 可以很容易地实现应用和服务的扩充。

1．包过滤防火墙 在互联网络这样的TCP／IP网络上，所有往来的 信息都被分割成许许多多一定长度的信息包，包中 包含发送者的IP地址和接收者的IP地址信息。当这 些信息包被送上互联网络时，路由器会读取接收者 的IP并选择一条合适的物理线路发送出去，信息包 可能经由不同的路线抵达目的地，当所有的包抵达 目的地后会重新组装还原。包过滤式的防火墙会检 查所有通过的信息包中的IP地址，并按照系统管理 员所给定的过滤规则进行过滤。



目前，防火墙技术已经受到了越来越多的重视。随 着新技术的发展，混合使用包过滤技 术、代理服务技术和其他一些新技术的防火墙正在 出现。越来越多的客户端和服务器端的应 用程序本身就支持代理服务方式。比如，许多www 客户服务软件包就具有代理能力。而许 多像Socks这样的软件在运行编译时也支持类代理 服务。




2．防火墙可以强化网络安全策略 通过以防火墙为中心的安全方案配置，能将所有 安全软件(如口令、加密、身份认证、 市计等)配置在防火墙上。与将网络安全问题分散到 各个主机上相比，防火墙的集中安全管 理更经济。例如在网络访问时，一次—密口令系统 和其他的身份认证系统完全可以不必分散 在各个主机上，而集中在防火墙一身上。