防火墙是如何实现网络安全的

Ⅰ 计算机防火墙原理

众所周知，互联网上存在大量的非法信息攻击和不安全行为，不仅给用户造成了严重的经济损失，也给网络安全带来了极大的威胁，因此，网络安全防护是非常重要的。由于网络世界存在着各种漏洞、病毒、木马等等各种攻击的存在，而且是非常频繁。由于各种原因导致了网络安全威胁的日益严重，各种网络攻击也层出不穷。那么对于网络安全防御系统来说呢？其实网络安全防火墙就是将计算机主机和互联网上存在的不安全因素隔离开来。

Ⅱ 什么是防火墙，以及防火墙可以实现什么功能.

火墙定义

防火墙就是一个位于计算机和它所连接的网络之间的软件或硬件(其中硬件防火墙用的很少只有国防部等地才用,因为它价格昂贵)。该计算机流入流出的所有网络通信均要经过此防火墙。

防火墙的功能

防火墙对流经它的网络通信进行扫描，这样能够过滤掉一些攻击，以免其在目标计算机上被执行。防火墙还可以关闭不使用的端口。而且它还能禁止特定端口的流出通信，封锁特洛伊木马。最后，它可以禁止来自特殊站点的访问，从而防止来自不明入侵者的所有通信。

为什么使用防火墙

防火墙具有很好的保护作用。入侵者必须首先穿越防火墙的安全防线，才能接触目标计算机。你可以将防火墙配置成许多不同保护级别。高级别的保护可能会禁止一些服务，如视频流等，但至少这是你自己的保护选择。

防火墙的类型

防火墙有不同类型。一个防火墙可以是硬件自身的一部分，你可哪梁以将因特网连接和计算机都插入其中。防火墙也可以在一个独立的机器上运行，该机器作为它背后网络中所有计算机的代理和防火墙。最后，直接连在因特网的机器可以使用个人防火墙。

防火墙的概念

当然，既然打算由浅入深的来了解，就要先看看防火墙的概念了。防火墙是汽车中一个部件的名称。在汽车中，利用防火墙把乘客和引擎隔开，以便汽车引擎一旦着火，防火墙不但能保护乘客安全，而同时还能让司机继续控制引擎。再电脑术语中，当然就不是这个意思了，我们可以类比来理解，在网络中，所谓“防火墙”，是指一种将内部网和公众访问网(如Internet)分开的方法，它实际上是一种隔离技术。防火墙是在两个网络通讯时执行的一种访问控制尺度，它能允许你“同意”的人和数据进入你的网络，同时将你“不同意”的人和数据拒之门外，最大限度地阻止网络中的黑客来访问你的网络。换句话说，如果不通过防火墙，公司内部的人就无法访问Internet，Internet上的人也无法和公司内部的人进行通信。

防火墙的功能

防火墙是网络安全的配知屏障：

一个防火墙（作为阻塞点、控制点）能极大地提高一个内部网络的安全性，并通过过滤不安全的服务而降低风险。由于只有经过精心选择的应用协议才能通过防火墙，所以网络环境变得更安全。如防火墙可以禁止诸如众所周知的不安全的NFS协议进出受保护网络，这样外部的攻击者就不可能利用这些脆弱的协议来攻击内部网络。防火墙同培缓消时可以保护网络免受基于路由的攻击，如IP选项中的源路由攻击和ICMP重定向中的重定向路径。防火墙应该可以拒绝所有以上类型攻击的报文并通知防火墙管理员。

防火墙可以强化网络安全策略：

通过以防火墙为中心的安全方案配置，能将所有安全软件（如口令、加密、身份认证、审计等）配置在防火墙上。与将网络安全问题分散到各个主机上相比，防火墙的集中安全管理更经济。例如在网络访问时，一次一密口令系统和其它的身份认证系统完全可以不必分散在各个主机上，而集中在防火墙一身上。

对网络存取和访问进行监控审计：

如果所有的访问都经过防火墙，那么，防火墙就能记录下这些访问并作出日志记录，同时也能提供网络使用情况的统计数据。当发生可疑动作时，防火墙能进行适当的报警，并提供网络是否受到监测和攻击的详细信息。另外，收集一个网络的使用和误用情况也是非常重要的。首先的理由是可以清楚防火墙是否能够抵挡攻击者的探测和攻击，并且清楚防火墙的控制是否充足。而网络使用统计对网络需求分析和威胁分析等而言也是非常重要的。

防止内部信息的外泄：

通过利用防火墙对内部网络的划分，可实现内部网重点网段的隔离，从而限制了局部重点或敏感网络安全问题对全局网络造成的影响。再者，隐私是内部网络非常关心的问题，一个内部网络中不引人注意的细节可能包含了有关安全的线索而引起外部攻击者的兴趣，甚至因此而暴漏了内部网络的某些安全漏洞。使用防火墙就可以隐蔽那些透漏内部细节如Finger，DNS等服务。Finger显示了主机的所有用户的注册名、真名，最后登录时间和使用shell类型等。但是Finger显示的信息非常容易被攻击者所获悉。攻击者可以知道一个系统使用的频繁程度，这个系统是否有用户正在连线上网，这个系统是否在被攻击时引起注意等等。防火墙可以同样阻塞有关内部网络中的DNS信息，这样一台主机的域名和IP地址就不会被外界所了解。

除了安全作用，防火墙还支持具有Internet服务特性的企业内部网络技术体系VPN（虚拟专用网）。

防火墙的英文名为“FireWall”，它是目前一种最重要的网络防护设备。从专业角度讲，防火墙是位于两个(或多个)网络间，实施网络之间访问控制的一组组件集合。

防火墙在网络中经常是以下图所示的两种图标出现的。左边那个图标非常形象，真正像一堵墙一样。而右边那个图标则是从防火墙的过滤机制来形象化的，在图标中有一个二极管图标。而二极管我们知道，它具有单向导电性，这样也就形象地说明了防火墙具有单向导通性。这看起来与现在防火墙过滤机制有些矛盾，不过它却完全体现了防火墙初期的设计思想，同时也在相当大程度上体现了当前防火墙的过滤机制。因为防火最初的设计思想是对内部网络总是信任的，而对外部网络却总是不信任的，所以最初的防火墙是只对外部进来的通信进行过滤，而对内部网络用户发出的通信不作限制。当然目前的防火墙在过滤机制上有所改变，不仅对外部网络发出的通信连接要进行过滤，对内部网络用户发出的部分连接请求和数据包同样需要过滤，但防火墙仍只对符合安全策略的通信通过，也可以说具有“单向导通”性。

防火墙的本义是指古代构筑和使用木制结构房屋的时候，为防止火灾的发生和蔓延，人们将坚固的石块堆砌在房屋周围作为屏障，这种防护构筑物就被称之为“防火墙”。其实与防火墙一起起作用的就是“门”。如果没有门，各房间的人如何沟通呢，这些房间的人又如何进去呢？当火灾发生时，这些人又如何逃离现场呢？这个门就相当于我们这里所讲的防火墙的“安全策略”，所以在此我们所说的防火墙实际并不是一堵实心墙，而是带有一些小孔的墙。这些小孔就是用来留给那些允许进行的通信，在这些小孔中安装了过滤机制，也就是上面所介绍的“单向导通性”。

我们通常所说的网络防火墙是借鉴了古代真正用于防火的防火墙的喻义，它指的是隔离在本地网络与外界网络之间的一道防御系统。防火可以使企业内部局域网（LAN）网络与Internet之间或者与其他外部网络互相隔离、限制网络互访用来保护内部网络。典型的防火墙具有以下三个方面的基本特性：

（一）内部网络和外部网络之间的所有网络数据流都必须经过防火墙

这是防火墙所处网络位置特性，同时也是一个前提。因为只有当防火墙是内、外部网络之间通信的唯一通道，才可以全面、有效地保护企业网部网络不受侵害。

根据美国国家安全局制定的《信息保障技术框架》，防火墙适用于用户网络系统的边界，属于用户网络边界的安全保护设备。所谓网络边界即是采用不同安全策略的两个网络连接处，比如用户网络和互联网之间连接、和其它业务往来单位的网络连接、用户内部网络不同部门之间的连接等。防火墙的目的就是在网络连接之间建立一个安全控制点，通过允许、拒绝或重新定向经过防火墙的数据流，实现对进、出内部网络的服务和访问的审计和控制。

典型的防火墙体系网络结构如下图所示。从图中可以看出，防火墙的一端连接企事业单位内部的局域网，而另一端则连接着互联网。所有的内、外部网络之间的通信都要经过防火墙。

（二）只有符合安全策略的数据流才能通过防火墙

防火墙最基本的功能是确保网络流量的合法性，并在此前提下将网络的流量快速的从一条链路转发到另外的链路上去。从最早的防火墙模型开始谈起，原始的防火墙是一台“双穴主机”，即具备两个网络接口，同时拥有两个网络层地址。防火墙将网络上的流量通过相应的网络接口接收上来，按照OSI协议栈的七层结构顺序上传，在适当的协议层进行访问规则和安全审查，然后将符合通过条件的报文从相应的网络接口送出，而对于那些不符合通过条件的报文则予以阻断。因此，从这个角度上来说，防火墙是一个类似于桥接或路由器的、多端口的（网络接口>=2）转发设备，它跨接于多个分离的物理网段之间，并在报文转发过程之中完成对报文的审查工作。如下图：

（三）防火墙自身应具有非常强的抗攻击免疫力

这是防火墙之所以能担当企业内部网络安全防护重任的先决条件。防火墙处于网络边缘，它就像一个边界卫士一样，每时每刻都要面对黑客的入侵，这样就要求防火墙自身要具有非常强的抗击入侵本领。它之所以具有这么强的本领防火墙操作系统本身是关键，只有自身具有完整信任关系的操作系统才可以谈论系统的安全性。其次就是防火墙自身具有非常低的服务功能，除了专门的防火墙嵌入系统外，再没有其它应用程序在防火墙上运行。当然这些安全性也只能说是相对的。

目前国内的防火墙几乎被国外的品牌占据了一半的市场，国外品牌的优势主要是在技术和知名度上比国内产品高。而国内防火墙厂商对国内用户了解更加透彻，价格上也更具有优势。防火墙产品中，国外主流厂商为思科（Cisco）、CheckPoint、NetScreen等，国内主流厂商为东软、天融信、联想、方正等，它们都提供不同级别的防火墙产品。来自:引用

Ⅲ 防火墙在网络中承担哪些安全防护工作

防火墙是设置在被保护网络和外部毕行网络之间的一道屏障，实行枯现网络的安全保护，以防止发手带哗生不可预测的、潜在破坏性的侵入。

Ⅳ 防火墙的工作原理是什么！

防火墙的工作原理是什么！

:itcso./news/20060324/1044465098-2.s

防火墙的原理是指设定在不同网路（如可信任的企业内部网和不可信的公共网）或网路安全域之间的一系列部件的组合。它是不同网路或网路安全域之间资讯的唯一出入口，通过监测、限制、更改跨越防火墙的资料流，尽可能地对外部遮蔽网路内部的资讯、结构和执行状况，有选择地接受外部访问，对内部强化装置监管、控制对服务器与外部网路的访问，在被保护网路和外部网路之间架起一道屏障，以防止发生不可预测的、潜在的破坏性侵入。防火墙有两种，硬体防火墙和软体防火墙，他们都能起到保护作用并筛选出网路上的攻击者，防火墙通常使用的安全控制手段主要有包过滤、状态检测、代理服务，包过滤技术是一种简单、有效的安全控制技术，它通过在网路间相互连线的装置上载入允许、禁止来自某些特定的源地址、目的地址、TCP端口号等规则，对通过装置的资料包进行检查，限制资料包进出内部网路。包过滤的最大优点是对使用者透明，传输效能高。但由于安全控制层次在网路层、传输层，安全控制的力度也只限于源地址、目的地址和端口号，因而只能进行较为初步的安全控制，对于恶意的拥塞攻击、记忆体覆盖攻击或病毒等高层次的攻击手段，则无能为力。
状态检测是比包过滤更为有效的安全控制方法。对新建的应用连线，状态检测检查预先设定的安全规则，允许符合规则的连线通过，并在记忆体中记录下该连线的相关资讯，生成状态表。对该连线的后续资料包，只要符合状态表，就可以通过。这种方式的好处在于：由于不需要对每个资料包进行规则检查，而是一个连线的后续资料包（通常是大量的资料包）通过杂凑算法，直接进行状态检查，从而使得效能得到了较大提高；而且，由于状态表是动态的，因而可以有选择地、动态地开通1024号以上的端口，使得安全性得到进一步地提高，希望回答可以帮到你。

防火墙的工作原理?

防火墙主要用语对付黑客用的。可以降低中毒机率。要防毒还得靠防毒软体
防火墙能增强机构内部网路的安全性。防火墙系统决定了哪些内部服务可以被外界访问；外界的哪些人可以访问内部的服务以及哪些外部服务可以被内部人员访问。防火墙必须只允许授权的资料通过，而且防火墙本身也必须能够免于渗透。

防火墙的五大功能
一般来说，防火墙具有以下几种功能：
1．允许网路管理员定义一个中心点来防止非法使用者进入内部网路。
2．可以很方便地监视网路的安全性，并报警。
3．可以作为部署NAT（Neork Address Translation，网路地址变换）的地点，利用NAT技术，将有限的IP地址动态或静态地与内部的IP地址对应起来，用来缓解地址空间短缺的问题。
4．是审计和记录Inter使用费用的一个最佳地点。网路管理员可以在此向管理部门提供Inter连线的费用情况，查出潜在的频宽瓶颈位置，并能够依据本机构的核算模式提供部门级的计费。

计算机防火墙的工作原理是什么

在计算机和你网好知路间 插入一个过滤系统
这个过滤系统 可以认为定义一些 规则，那些是好的流量那些事违规的流量，好的就转发，或者违规的就丢掉。
定义一些资料包的行为，那些包的行为师攻击行为，该做出是那么样的防范。
这么一些个系统就叫做防火墙。

arp防火墙的工作原理

比如说有一个盲人，他的孙子只要从他面前走过，他总会给孙子一块糖吃，于了有一些捣乱的小孩子就会反复的从他面燃宏前走过，装孙子，骗糖吃，这个盲人不高兴了，他就养了一条狗，这个狗可以看得见，可以记得谁是真的孙子，谁是装孙子，以后谁要再来装孙子就会被狗咬了，ARP防火墙有点像那条狗的作用，分出谁是真的，谁是假的。对于一般使用者，就是记得正确有闸道器MAC地址。

防火墙的工作原理事什么

网路层防火墙可视为一种 IP 封包过滤友段消器，运作在底层的 TCP/IP 协议堆叠上。我们可以以列举的方式，只允许符合特定规则的封包通过，其余的一概禁止穿越防火墙（病毒除外，防火墙不能防止病毒侵入）。这些规则通常可以经由管理员定义或修改，不过某些防火墙装置可能只能套用内建的规则。
我们也能以另一种较宽松的角度来制定防火墙规则，只要封包不符合任何一项“否定规则”就予以放行。现在的作业系统及网路装置大多已内建防火墙功能。
较新的防火墙能利用封包的多样属性来进行过滤，例如：来源 IP 地址、来源端口号、目的 IP 地址或端口号、服务型别(如 或是 FTP)。也能经由通讯协议、TTL 值、来源的网域名称或网段...等属性来进行过滤。

防火墙的基本工作原理是什么

任何计算机病毒实际上都是计算机程式程式码，是一段程式，是一串数字的排列组合。就像每个指纹具有的其他人没有的特征一样，病毒程式中必然有独有的、其它程式所不具备的排列方式。称为病毒特征码。
病毒软体公司的一个基本工作就是发现新病毒，并找出其特征码。我们升级病毒库，就是把特征码存在计算机 *** 防火墙和防毒软体使用。
病毒防火墙的功能，就是在资料流动的位置，用毒特征码和资料流中的资料对比，一旦发现和 病毒特征码相同的资料，就认为是发现病毒，采取相应措施。（防毒软体是和硬盘及记忆体中的资料比对，防火墙只管进出计算机的资料流）
由于病毒有上万种，计算机中的资料流动途径也有多种，所以如何比对，在那个位置比对，以达到又快又不出错，是考验各种防火墙技术水平的。
另外从什么途径获得病毒特征码也很重要。大多防毒商都会共享资料，但如果某一家老是不能发现新病毒，并找出其特征码的能力，大家就会“不带它玩”

请教防火墙的工作原理

防火墙就是一种过滤塞（目前你这么理解不算错），你可以让你喜欢的东西通过这个塞子，别的玩意都统统过滤掉。在网路的世界里，要由防火墙过滤的就是承载通讯资料的通讯包。
天下的防火墙至少都会说两个词：Yes或者No。直接说就是接受或者拒绝。最简单的防火墙是乙太网桥。但几乎没有人会认为这种原始防火墙能管多大用。大多数防火墙采用的技术和标准可谓五花八门。这些防火墙的形式多种多样：有的取代系统上已经装备的T CP/IP协议栈；有的在已有的协议栈上建立自己的软体模组；有的干脆就是独立的一套作业系统。还有一些应用型的防火墙只对特定型别的网路连线提供保护（比如S MTP或者HTTP协议等）。还有一些基于硬体的防火墙产品其实应该归入安全路由器一类。以上的产品都可以叫做防火墙，因为他们的工作方式都是一样的：分析出入防火墙的资料包，决定放行还是把他们扔到一边。
所有的防火墙都具有IP地址过滤功能。这项任务要检查IP包头，根据其IP源地址和目标地址作出放行/丢弃决定。看看下面这张图，两个网段之间隔了一个防火墙，防火墙的一端有台U NIX计算机，另一边的网段则摆了台PC客户机。

防火墙的工作原理? 怎么工作的啊》》？

什么是防火墙?
防火墙就是一种过滤塞(目前你这么理解不算错)，你可以让你喜欢的东西通过这个塞子，别的玩意都统统过滤掉。在网路的世界里，要由防火墙过滤的就是承载通讯资料的通讯包。
天下的防火墙至少都会说两个词：Yes或者No。直接说就是接受或者拒绝。最简单的防火墙是乙太网桥。但几乎没有人会认为这种原始防火墙能管多大用。大多数防火墙采用的技术和标准可谓五花八门。这些防火墙的形式多种多样：有的取代系统上已经装备的TCP/IP协议栈;
有的在已有的协议栈上建立自己的软体模组;有的干脆就是独立的一套作业系统。还有一些应用型的防火墙只对特定型别的网路连线提供保护(比如 SMTP或者HTTP协议等)。还有一些基于硬体的防火墙产品其实应该归入安全路由器一类。以上的产品都可以叫做防火墙，因为他们的工作方式都是一样的：分析出入防火墙的资料包，决定放行还是把他们扔到一边。
所有的防火墙都具有IP地址过滤功能。这项任务要检查IP包头，根据其IP源地址和目标地址作出放行/丢弃决定。看看下面这张图，两个网段之间隔了一个防火墙，防火墙的一端有台UNIX计算机，另一边的网段则摆了台PC客户机。
防火墙说明
当PC客户机向UNIX计算机发起tel请求时，PC的tel客户程式就产生一个TCP包并把它传给本地的协议栈准备传送。接下来，协议栈将这个TCP包“塞”到一个IP包里，然后通过PC机的TCP/IP栈所定义的路径将它传送给UNIX计算机。在这个例子里，这个IP包必须经过横在PC和UNIX计算机中的防火墙才能到达UNIX计算机。
现在我们“命令”(用专业术语来说就是配制)防火墙把所有发给UNIX计算机的资料包都给拒了，完成这项工作以后，“心肠”比较好的防火墙还会通知客户程式一声呢!既然发向目标的IP资料没法转发，那么只有和UNIX计算机同在一个网段的使用者才能访问UNIX计算机了。
防火墙说明2
还有一种情况，你可以命令防火墙专给那台可怜的PC机找茬，别人的资料包都让过就它不行。这正是防火墙最基本的功能：根据IP地址做转发判断。但要上了大场面这种小伎俩就玩不转了，由于黑客们可以采用IP地址欺骗技术，伪装成合法地址的计算机就可以穿越信任这个地址的防火墙了。不过根据地址的转发决策机制还是最基本和必需的。另外要注意的一点是，不要用DNS主机名建立过滤表，对DNS的伪造比IP地址欺骗要容易多了
服务器TCP/UDP 端口过滤
仅仅依靠地址进行资料过滤在实际运用中是不可行的，还有个原因就是目标主机上往往执行着多种通讯服务，比方说，我们不想让使用者采用 tel的方式连到系统，但这绝不等于我们非得同时禁止他们使用SMTP/POP邮件服务器吧?所以说，在地址之外我们还要对服务器的TCP/ UDP端口进行过滤。
防火墙3
比如，预设的tel服务连线端口号是23。假如我们不许PC客户机建立对UNIX计算机(在这时我们当它是服务器)的tel连线，那么我们只需命令防火墙检查传送目标是UNIX服务器的资料包，把其中具有23目标端口号的包过滤就行了。这样，我们把IP地址和目标服务器 TCP/UDP端口结合起来不就可以作为过滤标准来实现相当可靠的防火墙了吗?不，没这么简单。
客户机也有TCP/UDP端口
TCP/IP是一种端对端协议，每个网路节点都具有唯一的地址。网路节点的应用层也是这样，处于应用层的每个应用程式和服务都具有自己的对应 “地址”，也就是端口号。地址和端口都具备了才能建立客户机和服务器的各种应用之间的有效通讯联络。比如，tel服务器在端口23侦听入站连线。同时tel客户机也有一个端口号，否则客户机的IP栈怎么知道某个资料包是属于哪个应用程式的呢?
由于历史的原因，几乎所有的TCP/IP客户程式都使用大于1023的随机分配端口号。只有UNIX计算机上的root使用者才可以访问1024 以下的端口，而这些端口还保留为服务器上的服务所用。所以，除非我们让所有具有大于1023端口号的资料包进入网路，否则各种网路连线都没法正常工作。
这对防火墙而言可就麻烦了，如果阻塞入站的全部端口，那么所有的客户机都没法使用网路资源。因为服务器发出响应外部连线请求的入站(就是进入防火墙的意思)资料包都没法经过防火墙的入站过滤。反过来，开启所有高于1023的端口就可行了吗?也不尽然。由于很多服务使用的端口都大于1023，比如 X client、基于RPC的NFS服务以及为数众多的非UNIX IP产品等(NetWare/IP)就是这样的。那么让达到1023端口标准的资料包都进入网路的话网路还能说是安全的吗?连这些客户程式都不敢说自己是足够安全的。
防火墙4
双向过滤
OK，咱们换个思路。我们给防火墙这样下命令：已知服务的资料包可以进来，其他的全部挡在防火墙之外。比如，如果你知道使用者要访问Web服务器，那就只让具有源端口号80的资料包进入网路：
防火墙5
不过新问题又出现了。首先，你怎么知道你要访问的服务器具有哪些正在执行的端口号呢? 象HTTP这样的服务器本来就是可以任意配置的，所采用的端口也可以随意配置。如果你这样设定防火墙，你就没法访问哪些没采用标准端口号的的网路站点了! 反过来，你也没法保证进入网路的资料包中具有端口号80的就一定来自Web服务器。有些黑客就是利用这一点制作自己的入侵工具，并让其执行在本机的80端口!
检查ACK位
源地址我们不相信，源端口也信不得了，这个不得不与黑客共舞的疯狂世界上还有什么值得我们信任呢?还好，事情还没到走投无路的地步。对策还是有的，不过这个办法只能用于TCP协议。
TCP是一种可靠的通讯协议，“可靠”这个词意味着协议具有包括纠错机制在内的一些特殊性质。为了实现其可靠性，每个TCP连线都要先经过一个 “握手”过程来交换连线引数。还有，每个传送出去的包在后续的其他包被发送出去之前必须获得一个确认响应。但并不是对每个TCP包都非要采用专门的ACK 包来响应，实际上仅仅在TCP包头上设定一个专门的位就可以完成这个功能了。所以，只要产生了响应包就要设定ACK位。连线会话的第一个包不用于确认，所以它就没有设定ACK位，后续会话交换的TCP包就要设定ACK位了。
防火墙6
举个例子，PC向远端的Web服务器发起一个连线，它生成一个没有设定ACK位的连线请求包。当服务器响应该请求时，服务器就发回一个设定了 ACK位的资料包，同时在包里标记从客户机所收到的位元组数。然后客户机就用自己的响应包再响应该资料包，这个资料包也设定了ACK位并标记了从服务器收到的位元组数。通过监视ACK位，我们就可以将进入网路的资料限制在响应包的范围之内。于是，远端系统根本无法发起TCP连线但却能响应收到的资料包了。
这套机制还不能算是无懈可击，简单地举个例子，假设我们有台内部Web服务器，那么端口80就不得不被开启以便外部请求可以进入网路。还有，对 UDP包而言就没法监视ACK位了，因为UDP包压根就没有ACK位。还有一些TCP应用程式，比如FTP，连线就必须由这些服务器程式自己发起。
FTP带来的困难
一般的Inter服务对所有的通讯都只使用一对端口号，FTP程式在连线期间则使用两对端口号。第一对端口号用于FTP的“命令通道”提供登入和执行命令的通讯链路，而另一对端口号则用于FTP的“资料通道”提供客户机和服务器之间的档案传送。
在通常的FTP会话过程中，客户机首先向服务器的端口21(命令通道)传送一个TCP连线请求，然后执行LOGIN、DIR等各种命令。一旦使用者请求服务器传送资料，FTP服务器就用其20端口(资料通道)向客户的资料端口发起连线。问题来了，如果服务器向客户机发起传送资料的连线，那么它就会发送没有设定ACK位的资料包，防火墙则按照刚才的规则拒绝该资料包同时也就意味着资料传送没戏了。通常只有高阶的、也就是够聪明的防火墙才能看出客户机刚才告诉服务器的端口，然后才许可对该端口的入站连线。
UDP端口过滤
好了，现在我们回过头来看看怎么解决UDP问题。刚才说了，UDP包没有ACK位所以不能进行ACK位过滤。UDP 是发出去不管的“不可靠”通讯，这种型别的服务通常用于广播、路由、多媒体等广播形式的通讯任务。NFS、DNS、WINS、NetBIOS-over- TCP/IP和 NetWare/IP都使用UDP。
看来最简单的可行办法就是不允许建立入站UDP连线。防火墙设定为只许转发来自内部接口的UDP包，来自外部接口的UDP包则不转发。现在的问题是，比方说，DNS名称解析请求就使用UDP，如果你提供DNS服务，至少得允许一些内部请求穿越防火墙。还有IRC这样的客户程式也使用UDP，如果要让你的使用者使用它，就同样要让他们的UDP包进入网路。我们能做的就是对那些从本地到可信任站点之间的连线进行限制。但是，什么叫可信任!如果黑客采取地址欺骗的方法不又回到老路上去了吗?
有些新型路由器可以通过“记忆”出站UDP包来解决这个问题：如果入站UDP包匹配最近出站UDP包的目标地址和端口号就让它进来。如果在记忆体中找不到匹配的UDP包就只好拒绝它了!但是，我们如何确信产生资料包的外部主机就是内部客户机希望通讯的服务器呢?如果黑客诈称DNS服务器的地址，那么他在理论上当然可以从附着DNS的UDP端口发起攻击。只要你允许DNS查询和反馈包进入网路这个问题就必然存在。办法是采用代理服务器。
所谓代理服务器，顾名思义就是代表你的网路和外界打交道的服务器。代理服务器不允许存在任何网路内外的直接连线。它本身就提供公共和专用的 DNS、邮件服务器等多种功能。代理服务器重写资料包而不是简单地将其转发了事。给人的感觉就是网路内部的主机都站在了网路的边缘，但实际上他们都躲在代理的后面，露面的不过是代理这个假面具。
小结
IP地址可能是假的，这是由于IP协议的源路有机制所带来的，这种机制告诉路由器不要为资料包采用正常的路径，而是按照包头内的路径传送资料包。于是黑客就可以使用系统的IP地址获得返回的资料包。有些高阶防火墙可以让使用者禁止源路由。通常我们的网路都通过一条路径连线ISP，然后再进入 Inter。这时禁用源路由就会迫使资料包必须沿着正常的路径返回。
还有，我们需要了解防火墙在拒绝资料包的时候还做了哪些其他工作。比如，防火墙是否向连线发起系统发回了“主机不可到达”的ICMP讯息?或者防火墙真没再做其他事?这些问题都可能存在安全隐患。ICMP“主机不可达”讯息会告诉黑客“防火墙专门阻塞了某些端口”，黑客立即就可以从这个讯息中闻到一点什么气味。如果ICMP“主机不可达”是通讯中发生的错误，那么老实的系统可能就真的什么也不传送了。反过来，什么响应都没有却会使发起通讯的系统不断地尝试建立连线直到应用程式或者协议栈超时，结果终端使用者只能得到一个错误资讯。当然这种方式会让黑客无法判断某端口到底是关闭了还是没有使用。

Ⅳ 防火墙是怎么实现的

1.所谓防火墙指的是一个由软件和硬件设备组合而成、在内部网和外部网之间、专用网与公共网之间的界面上构造的保护屏障.是一种获取安全性方法的形象说法，它是一种计算机硬件和软件的结合，使Internet与Intranet之间建立起一个安全网关（Security Gateway），从而保护内部网免受非法用户的侵入，防火墙主要由服务访问规则、验证工具、包过滤和应用网关4个部分组成，防火墙就是一个位于计算机和它所连接的网络之间的软件或硬件。该计算机流入流出的所有网络通信和数据包含早均要经过此防尺老庆火墙。
2.在网络中，所谓“防火墙”，是指一种将内部网和公众访问网（如Internet）分开的方法，它实际上是一种隔离技术。防火墙是在两个网络通讯时执行的一种访问控制尺度，它能允许你“同意”的人和数据进入你的网络，同时将陵握你“不同意”的人和数据拒之门外，最大限度地阻止网络中的黑客来访问你的网络。换句话说，如果不通过防火墙，公司内部的人就无法访问Internet，Internet上的人也无法和公司内部的人进行通信。

Ⅵ 防火墙的工作原理是什么

防火墙的原理是指设置在不同网络（如可信任的企业内肢肆岁部网和不可信的公共网）或网络安全域之间的一系列部件的组合。

它是不同网络或网络安全域之间信息的唯一出入口，通过监测、限制、更改跨越防火墙的数据流，尽可能地对外部屏蔽网络内部的信息、结构和运行状况，有选择地接受外部访问。

对内部强化设备监管、控制对服务器与外部网络的访问，在被保护网络和外部网络之间架起一道屏障，以防止发生不可预测的、潜在的破坏性侵入。

防火墙有两种，硬件防火墙和软件防火墙，都能起到保护作用并筛选出网络上的攻击者。

防火墙通常使用的安全控制手段主要有包过滤、状态检测、代理服务，包过滤技术是一种简单、有效的安全控制技术。

它通过在网络间相互连接的设备上加载允许、禁止来自雹伍某些特定的源地址、目的地址、TCP端口号等规则，对通过设备的数据包进行检查，限制数据包进出内部网络。

包过滤的最大优点是对用户透明，传输性能高。

但由于安全控制层次在网络层、传输层，安全控制的力度也只限于源地址。

目的地址和端口号，因而只能进行较为初步的安全控制，对于恶意的拥塞攻击、内存覆盖攻击或病毒等高层次的攻击手段，则无能为力。

(6)防火墙是如何实现网络安全的扩展阅读

防火墙基本特性

1、内部网络和外部网络之间的所有网络数据流都必须经过防火墙

这是防火墙所处网络位置特性，同时也是一个前提。

因为只有当防火墙是内、外部网络之间通信的唯一通道，才可以全面、有效地保护企业历睁网内部网络不受侵害。

根据美国国家安全局制定的《信息保障技术框架》，防火墙适用于用户网络系统的边界，属于用户网络边界的安全保护设备。

所谓网络边界即是采用不同安全策略的两个网络连接处，比如用户网络和互联网之间连接、和其它业务往来单位的网络连接、用户内部网络不同部门之间的连接等。

防火墙的目的就是在网络连接之间建立一个安全控制点，通过允许、拒绝或重新定向经过防火墙的数据流，实现对进、出内部网络的服务和访问的审计和控制。

所有的内、外部网络之间的通信都要经过防火墙。

2、只有符合安全策略的数据流才能通过防火墙

防火墙最基本的功能是确保网络流量的合法性，并在此前提下将网络的流量快速的从一条链路转发到另外的链路上去。

从最早的防火墙模型开始谈起，原始的防火墙是一台“双穴主机”，即具备两个网络接口，同时拥有两个网络层地址。

防火墙将网络上的流量通过相应的网络接口接收上来，按照OSI协议栈的七层结构顺序上传。

在适当的协议层进行访问规则和安全审查，然后将符合通过条件的报文从相应的网络接口送出，而对于那些不符合通过条件的报文则予以阻断。

因此，从这个角度上来说，防火墙是一个类似于桥接或路由器的、多端口的（网络接口>=2）转发设备，它跨接于多个分离的物理网段之间，并在报文转发过程之中完成对报文的审查工作。

Ⅶ 简述防火墙的作用及其安全方案

防火墙的作用：

1、过滤进出网络的数据。

2、管理进出访问网络的行为。

3、封堵某些禁止业务。

4、记录通过防火墙信息内容和活动。

5、对网络攻击检测和告警。

安全方案：

防火墙可以禁止诸如众所周知的不安全的NFS协议进出受保护网络，这样外部的攻击者就不可能利用这些脆弱的协议来攻击内部网络。

防火墙同时可以保护网络免受基于路由的攻击，如IP选项中的源路由攻击和ICMP重定向中的重定向路径。防火墙可以拒绝所有以上类型攻击的报文并通知防火墙管理员。

(7)防火墙是如何实现网络安全的扩展阅读：

局域网内部，不连接互联网外网的一般是不需要防火墙，监控单独一个网络的时候才需要，一般都接在局域网内，通过路由器处的防火墙，而大型网络连接外网的，是需要防火墙的。

防火墙具有很好的保护作用。入侵者必须首先穿越防火墙的安全防线，才能接触目标计算机。你可以将防火墙配置成许多不同保护级别。高级别的保护可能会禁止一些服务，如视频流等。

Ⅷ 试述防火墙在网络安全中所起的作用。

【答案】：(1)网络安全的控制。保护那些易受攻击的服务。防火墙能过滤掉那些不安全的服务和请求而降低网络洞并安全的风险，能够监测、限制信息流从一个安全控制点进入或离开。只有预先被允许的服务才能通过防火墙，这样就降低了受到非法攻击的风险，大大提高了网络的安全性; (2)屏蔽内部信息。使用防火墙就是要使内部网络与外部网络隔断，让外部网络的用户在未经授权的情况下不能访问内部网络，并尽可能的隐藏内部信息、结构、运行情况;通过防火墙对内部网络的划分，还可以实现对重点网络的隔离; (3)控制对特殊站点的访问。防火墙能控制对特殊站点的访问。如有些主机能被外部网络访问，而有些则要被保护起来，防止不必要的访问。通常会有这样一种情况，在内部网中只有E-Mail服务器、FTP服务器和 WWW服务器能被外部网访问，而其他访问则被主机禁止; (4)集中化的安全管理。对于一个公司来说，使用防火墙比不使用防火墙可能更加经济一些。这是因为如果使用了防火墙，就可以将所有修改过的软件和附加的安全软件都放在防火墙上。而不使用防火墙，就必须将所有软件分到各个主机上; (5)提供日志和审计功能，对网络存取访问进行记录和统计。由于所渣橡有对 Internet的访问都经过防火墙，防火墙就能将所有访问都记录到日志文件中，同时也能提供网络流量及网络使用情况的统计数据。当发生可疑动作时，防火墙能进行适当的告警，并提供网络是否受到监测和攻击的详细信息; (6)提供报警服务。当有潜在的威胁的访问或请求经过防火墙时，防火墙不仅应该记录其动作，还应及时向系统管理纳梁迹员报警。

Ⅸ 防火墙是如何解决网络的安全问题

防火墙最基本的功能就是控制在计算机网络中，不同信任程度区域间传送的数据流。例如互联网是不可信任的区域，而内部网络是高度信任的区域。以避免安全策略中禁止的一些通信，与建筑中的防火墙功能相似。它有控制信息基本的任务在不同信任的区域。 典型信任的区域包括互联网(一个没有信任的区域) 和一个内部网络(一个高信任的区域) 。 最终目标是提供受控连通性在不同水平的信任区域通过安全政策的运行和连通性模型之间根据最少特权原则。 例如：TCP/IP Port 135~139是 Microsoft Windows 的【网上邻居】所使用的。如果计算机有使用【网上邻居】的【共享文件夹】，又没使用任何防火墙相关的防护措施的话，就等于把自己的【共享文件夹】公开到Internet，供不特定的任何人有机会浏览目录内的文件。且早期版本的Windows有【网上邻居】系统溢出的无密码保护的漏洞（这里是指【共享文件夹】有设密码，但可经由此系统漏洞，达到无须密码便能浏览文件夹的需求）。 防火墙对流经它的网络通信进行扫描，这样能够过滤掉一些攻击，以免其在目标计算机上被执行。防火墙还可以关闭不使用的端口。而且它还能禁止特定端口的流出通信，封锁特洛伊木马。最后，它可以禁止来自特殊站点的访问，从而防止来自不明入侵者的所有通信。
网络安全的屏障
一个防火墙（作为阻塞点、控制点）能极大地提高一个内部网络的安全性，并通过过滤不安全的服务而降低风险。由于只有经过精心选择的应用协议才能通过防火墙，所以网络环境变得更安全。如防火墙可以禁止诸如众所周知的不安全的NFS协议进出受保护网络，这样外部的攻击者就不可能利用这些脆弱的协议来攻击内部网络。防火墙同时可以保护网络免受基于路由的攻击，如IP选项中的源路由攻击和ICMP重定向中的重定向路径。防火墙应该可以拒绝所有以上类型攻击的报文并通知防火墙管理员。
强化网络安全策略
通过以防火墙为中心的安全方案配置，能将所有安全软件（如口令、加密、身份认证、审计等）配置在防火墙上。与将网络安全问题分散到各个主机上相比，防火墙的集中安全管理更经济。例如在网络访问时，一次一密口令系统和其它的身份认证系统完可以不必分散在各个主机上，而集中在防火墙一身上。
对网络存取和访问进行监控审计
如果所有的访问都经过防火墙，那么，防火墙就能记录下这些访问并作出日志记录，同时也能提供网络使用情况的统计数据。当发生可疑动作时，防火墙能进行适当的报警，并提供网络是否受到监测和攻击的详细信息。另外，收集一个网络的使用和误用情况也是非常重要的。首先的理由是可以清楚防火墙是否能够抵挡攻击者的探测和攻击，并且清楚防火墙的控制是否充足。而网络使用统计对网络需求分析和威胁分析等而言也是非常重要的。
防止内部信息的外泄
通过利用防火墙对内部网络的划分，可实现内部网重点网段的隔离，从而限制了局部重点或敏感网络安全问题对全局网络造成的影响。再者，隐私是内部网络非常关心的问题，一个内部网络中不引人注意的细节可能包含了有关安全的线索而引起外部攻击者的兴趣，甚至因此而暴漏了内部网络的某些安全漏洞。使用防火墙就可以隐蔽那些透漏内部细节如Finger，DNS等服务。Finger显示了主机的所有用户的注册名、真名，最后登录时间和使用shell类型等。但是Finger显示的信息非常容易被攻击者所获悉。攻击者可以知道一个系统使用的频繁程度，这个系统是否有用户正在连线上网，这个系统是否在被攻击时引起注意等等。防火墙可以同样阻塞有关内部网络中的DNS信息，这样一台主机的域名和IP地址就不会被外界所了解。