防火墙的特点(简述状态检测防火墙的特点)

防火墙具有哪些基本特性

防火墙具有的基本特性如下：

防火墙的特点(简述状态检测防火墙的特点)

防火墙的特点(简述状态检测防火墙的特点)

所有通过防火墙的数据流都必须有安全策略的确定于授权，防火墙自身硬具有非常强的抗攻击免疫力；对以感染的具有隔离作用。

防火墙技术的功能主要在于及时发现并处理计算机网络运行时可能存在的安全风险、数据传输等问题，其中处理措施包括隔离与保护。

同时可对计算机网络安全当中的各项作实施记录与检测，以确保计算机网络运行的安全性，保障用户资料与信息的完整性，为用户提供更好、更安全的计算机网络使用体验。

扩展资料：

在网络层与传输层中，可以基于数据源头的地址以及协议类型等标志特征进行分析，确定是否可以通过。在符合防火墙规定标准之下，满足安全性能以及类型才可以进行信息的传递，而一些不安全的因素则会被防火墙过滤、阻挡。

防火墙具有着防的功能，在防技术的应用中，其主要包括的预防、清除和检测等方面。

防火墙的防预防功能来说，在网络的建设过程中，通过安装相应的防火墙来对计算机和互联网间的信息数据进行严格的控制，从而形成一种安全的屏障来对计算机外网以及内网数据实施保护。

防火墙的定义，背景，工作原理，特点，缺点

定义：防火墙是一种装置，它是由软件或硬件设备组合而成，通常处于企业的内部局域网与Internet之间，限制Internet用户对内部网络的访问以及管理内部用户访问外界的权限。换言之，防火墙是一个位于被认为是安全和可信的内部网络与一个被认为是不那么安全和可信的外部网络(通常是Internet)之间的一个封。防火墙是一种被动的技术，因为它设了网络边界的存在，它对内部的非法访问难以有效地控制。因此防火墙只适合于相对的网络，例如企业内部的局域网络等。

防火墙是一种装置，它是由软件或硬件设备组合而成，通常处于企业的内部局域网与Internet之间，限制Internet用户对内部网络的访问以及管理内部用户访问外界的权限。换言之，防火墙是一个位于被认为是安全和可信的内部网络与一个被认为是不那么安全和可信的外部网络(通常是Internet)之间的一个封。防火墙是一种被动的技术，因为它设了网络边界的存在，它对内部的非法访问难以有效地控制。因此防火墙只适合于相对的网络，例如企业内部的局域网络等。

背景：古时候，人们常在寓所之间砌起一道砖墙，一旦火灾发生，它能够防止火势蔓延到别的寓所。现在，如果一个网络接到了Internet上面，它的用户就可以访问外部世界并与之通信。但同时，外部世界也同样可以访问该网络并与之交互。为安全起见，可以在该网络和Internet之间插入一个中介系统，竖起一道安全屏障。这道屏障的作用是阻断来自外部通过网络对本网络的威胁和入侵， 提供扼守本网络的安全和审计的关卡，它的作用与古时候的防火砖墙有类似之处，因此我们把这个屏障就叫做“防火墙”。

工作原理：防火墙目前主要分包过滤，和状态检测的包过滤，应用层防火墙。但是他们的基本实现都是类似的。防火墙一般有两个以上的网络卡，一个连到外部(router)，另一个是连到内部网络。当打开主机网络转发功能时，两个网卡间的网络通讯能直接通过。当有防火墙时，他好比插在网卡之间，对所有的网络通讯进行控制。

根据网络体系结构对防火墙进行分类，防火墙有哪几种类型，他们各自的特点是什么？

根据网络体系结构来进行的分类，可以有以下几种类型的防火墙： 1.网络级防火墙 一般是基于源地址和目的地址、应用或协议以及每个IP包的端口来作出通过与否的判断。一个路由器便是一个“传统”的网络级防火墙，大多数的路由器都能通过检查这些信息来决定是否将所收到的包转发，但它不能判断出一个IP包来自何方，去向何处。 先进的网络级防火墙可以判断这一点，它可以提供内部信息以说明所通过的连接状态和一些数据流的内容，把判断的信息同规则表进行比较，在规则表中定义了各种规则来表明是否同意或拒绝包的通过。包过滤防火墙检查每一条规则直至发现包中的信息与某规则相符。如果没有一条规则能符合，防火墙就会使用默认规则，一般情况下，默认规则就是要求防火墙丢弃该包。其次，通过定义基于TCP或UDP数据包的端口号，防火墙能够判断是否允许建立特定的连接，如Telnet、FTP连接。 下面是某一网络级防火墙的访问控制规则： (1)允许网络123.1.0使用FTP(21口)访问主机150.0.0.1； (2) 允许IP地址为202.103.1.18和202.103.1.14的用户Telnet(23口)到主机150.0.0.2上； (3)允许任何地址的E-mail(25口)进入主机150.0.0.3； (4)允许任何数据（80口）通过； (5)不允许其他数据包进入。 网络级防火墙简洁、速度快、费用低，并且对用户透明，但是对网络的保护很有限，因为它只检查地址和端口，对网络更高协议层的信息无理解能力。 2.应用级 应用级就是我们常常说的“”，它能够检查进出的数据包，通过传递数据，防止在受信任和客户机与不受信任的主机间直接建立联系。应用级能够理解应用层上的协议，能够做复杂一些的访问控制，并做精细的注册和稽核。但每一种协议需要相应的软件，使用时工作量大，效率不如网络级防火墙。 常用的应用级防火墙已有了相应的， 例如： HTTP、 NNTP、 FTP、Telnet、rlogin、X-windows等，但是，对于新开发的应用，尚没有相应的服务，它们将通过网络级防火墙和一般的服务。 应用级有较好的访问控制，是目前最安全的防火墙技术，但实现困难，而且有的应用级缺乏"透明度"。在实际使用中，用户在受信任的网络上通过防火墙访问Internet时，经常会发现存在延迟并且必须进行多次登录（Login） 才能访问Internet或Intranet。 3.电路级 电路级用来受信任的客户或与不受信任的主机间的TCP握手信息,这样来决定该会话(Session) 是否合法,电路级是在OSI模型中会话层上来过滤数据包,这样比包过滤防火墙要高二层。 实际上电路级并非作为一个的产品存在，它与其他的应用级结合在一起， 如TrustInformationSystems公司的GauntletInternetFirewall；DEC公司的AltaVistaFirewall等产品。另外，电路级还提供一个重要的安全功能：（Proxy） ，是个防火墙，在其上运行一个叫做"地址转移"的进程，来将所有你公司内部的IP地址映射到一个"安全"的IP地址，这个地址是由防火墙使用的。但是，作为电路级也存在着一些缺陷，因为该是在会话层工作的，它就无法检查应用层级的数据包。 4.规则检查防火墙 该防火墙结合了包过滤防火墙、电路级和应用级的特点。它同包过滤防火墙一样， 规则检查防火墙能够在OSI网络层上通过IP地址和端口号，过滤进出的数据包。它也象电路级一样，能够检查SYN和ACK标记和序列数字是否逻辑有序。当然它也象应用级一样，可以在OSI应用层上检查数据包的内容，查看这些内容是否能符合公司网络的安全规则。 规则检查防火墙虽然集成前三者的特点，但是不同于一个应用级的是，它并不打破客户机/服务机模式来分析应用层的数据， 它允许受信任的客户机和不受信任的主机建立直接连接。规则检查防火墙不依靠与应用层有关的，而是依靠某种算法来识别进出的应用层数据，这些算法通过已知合法数据包的模式来比较进出数据包，这样从理论上就能比应用级在过滤数据包上更有效。 目前在市场上流行的防火墙大多属于规则检查防火墙，因为该防火墙对于用户透明，在OSI层上加密数据，不需要你去修改客户端的程序，也不需对每个需要在防火墙上运行的服务额外增加一个。

防火墙的优点,缺点,功能

没有安全的。一般瑞星已经足够了，它的优点在于服务的及时与资讯。

实在拿不定主意，几种都试试看也未尝不可

1 防火墙的概念、原理

防火墙是在内部网和外部网之间实施安全防范的系统。可认为它是一种访问控制机制，用于确定哪些内部服务允许外部访问，以及允许哪些外部服务访问内部服务。它可以根据网络传输的类型决定IP包是否可以传进或传出企业网。防止非授权用户访问企业内部、允许使用授权机器的用户远程访问企业内部、管理企业内部人员对Internet的访问。防火墙的组成可用表达式说明如下：

防火墙＝过滤器＋安全策略（）

防火墙通过逐一审查收到的每个数据包，判断它是否有相匹配的过滤规则（用表格的形式表示，包括Match，Action，Trace，Target四个条件项）。即按表格中规则的先后顺序以及每条规则的条件项进行比较，直到满足某一条规则的条件，并作出规定的动作（停下或向前转发），从而来保护网络的安全。

2 防火墙的分类及比较

防火墙一般可以分为以下几种：包过滤型防火墙、电路级型防火墙、应用型防火墙、服务型防火墙、状态检测型防火墙、自适应型防火墙。下面分析各种防火墙的优缺点。

包过滤型防火墙 它是在网络层对数据包进行分析、选择，选择的依据是系统内设置的过滤逻辑，也可称之为访问控制表。通过检查数据流中每一个数据包的源地址、目的地址、所用端口、协议状态等因素，或它们的组合来确定是否允许该数据包通过。它的优点是：逻辑简单，成本低，易于安装和使用，网络性能和透明性好，通常安装在路由器上。缺点是：很难准确地设置包过滤器，缺乏用户级的授权；包过滤判别的条件位于数据包的头部，由于IPV4的不安全性，很可能被冒或窃取；是基于网络层的安全技术，不能检测通过高层协议而实施的攻击。

电路级型防火墙 它起着一定的服务作用，监视两主机建立连接时的握手信息，判断该会话请求是否合法。一旦会话连接有效后，该仅、传递数据。它在IP层各种高层会话，具有隐藏内部网络信息的能力，且透明性高。但由于其对会话建立后所传输的具体内容不再作进一步地分析，因此安全性低。

应用型防火墙 它是在应用层上实现协议过滤和转发功能，针对特别的网络应用协议制定数据过滤逻辑。应用通常安装在专用工作站系统上。由于它工作于应用层，因此具有高层应用数据或协议的理解能力，可以动态地修改过滤逻辑，提供记录、统计信息。它和包过滤型防火墙有一个共同特点，就是它们仅依靠特定的逻辑来判断是否允许数据包通过，一旦符合条件，则防火墙内外的计算机系统建立直接联系，防火墙外部网络能直接了解内部网络结构和运行状态，这大大增加了实施非法访问攻击的机会。

服务型防火墙 接收客户请求后，会检查并验证其合法性，如合法，它将作为一台客户机向真正的发出请求并取回所需信息，再转发给客户。它将内部系统与外界完全隔离开来，从外面只看到，而看不到任何内部资源，而且只允许被的服务通过。服务安全性高，还可以过滤协议，通常认为它是最安全的防火墙技术。其不足主要是不能完全透明地支持各种服务、应用，它将消耗大量的CPU资源，导致低性能。

状态检测型防火墙 它将动态记录、维护各个连接的协议状态，并在网络层对通信的各个层次进行分析、检测，以决定是否允许通过防火墙。因此它兼备了较高的效率和安全性，可以支持多种网络协议和应用，且可以方便地扩展实现对各种非标准服务的支持。

自适应型防火墙 它可以根据用户定义的安全策略，动态适应传送中的分组流量。如果安全要求较高，则最初的安全检查仍在应用层完成。而一旦明确了会话的所有细节，那么其后的数据包就可以直接经过速度快得多的网络层。因而它兼备了技术的安全性和状态检测技术的高效率。

3 新型防火墙系统

3．1 传统防火墙的缺点

传统防火墙结构在其技术原理上对来自内部的安全威胁不具备防范能力，且具有以下不足：

· 高成本：内部网中需要保护的主机或者资源越多，就要设置更多的安全检查点，即需要更高的设备成本及系统维护开销。

·高管理负担：IT管理人员将面临极大的挑战来管理，维护更多的防火墙设备。

· 存在盲点：由于传统防火墙将检查点设立在一个“可信子网”的入口处，来自子网内部任何主机的攻击都将成为该防火墙的盲点。

· 低性能：由于大量的安全检查点被安置于企业内的各种路由设备上，内部网中所有的通信都将不可避免地经过若干个安全检查点，以至于造成相应的传输延迟，使网络性能降低了。

3．2 嵌入式防火墙系统概述

为了有效地解决日益突出的内部网安全问题，作者提出了一种新型的防火墙系统—嵌入式防火墙系统（EFS）。它不仅是一种单纯的提供访问控制手段的防火墙设备，还集成了一整套解决网络安全问题的各种应用，为大量的网络用户及需要保护的网络资源提供了一个可管理的、分布式的、安全的计算环境。它使用了一种简化的，基于公钥的Kerberos协议以实现透明的认证，并综合了其它一些网络安全技术，包括授权、安全数据传输、审计等，并提供了一种集中式的管理机制。

3．2．1 系统结构和实现机制

EFS核心系统一般可以包括四个主要部件：客户认证，嵌入式防火墙，票据授予（TGS）和认证（AS）如图1所示。

EFS的实现机制如下：

（1）客户登录EFS系统时，客户认证将提示并获取相应的用户名和口令。仅当客户同时具有正确的口令和含有私有密钥的设备，客户才能够进行身份认证。在用户登录完成后，客户将自动向AS发送请求AS＿REQ，以申请TGT。

（2）认证AS收到客户的AS＿REQ后，发回应答消息AS＿REP。

（3）客户认证得到AS发回的AS＿REP后，进行解密，获取并保存与TGS通信的会话密钥及提交给TGS的票据。

（4）当客户需要使用某一服务时，客户认证将首先截获请求TCP连接的IP包，并根据Socket匹配以判断是否已具有获取该服务的票据。如有，则直接将此票附加于该IP包，形成AP＿REQ，发往（执行步骤7）。否则，客户认证必须首先向TGS申请相应的应用票据。

（5）TGS在收到客户认证发来的TGS＿REQ后，进行解密，以获取客户与其会话密钥，用它来解密认证算子，将算得的检验和与自己生成的HASH函数结果相比较，以检查客户身份的合法性和消息的完整性。在授权通过后，TGS生成TGS＿REP，并发回用户。

（6）客户认证得到TGS发回的TGS＿REP后，首先确定所申请的服务是否需要认证。若无需认证，客户将恢复连接请求。否则，从TGS＿REP中获取服务的票据和与应用之间的会话密钥，将它们放入原来的连接请求包中，形成AP＿REQ，发往应用。

（7）驻留于应用上的嵌入式防火墙收到AP＿REQ后，解开票据，获取会话密钥，以验证用户身份。如合法，则将该IP包递交上层处理，否则予以丢弃。

3．2．2 外部网访问控制及状态检测机制

EFS可以实现对外部网的访问控制，首先在所有与外部网相连的路由器或设备上安装嵌入式防火墙。然后再将各种外部网络服务在TGS上注册，并安装相应的通过边界路由器或设备所需的票据。，根据用户身份制定外部网访问控制安全策略。基本的EFS实现了严格的身份认证及访问控制，客户认证一旦与嵌入式防火墙完成三次握手，创建了TCP连接，通信将直接在客户机与间进行，不再接受任何形式的安全检查，这种机制虽然大大地提高了访问效率，但它不能实现基于特定协议命令的过滤和内容安全检查。为了实现高级安全检查，可以在EFS中增加状态检测防火墙，由它来检查一些标准的网络服务（如Http，Ftp，Telnet，Finger等），或基于内容的检查。

3．2．3 嵌入式防火墙的优点

与传统防火墙相比，EFS具有如下优点：

·同时防止来自于内、外部网络的攻击。由于嵌入式防火墙部件直接安装在所有需要安全保护的应用上，来自于装载嵌入式防火墙的机器之外的任何通信，都需经过嵌入式防火墙的检查和过滤。

·透明认证。由于EFS在低层即IP层上实现了Kerberos认证协议，它能够支持任何基于IP协议的应用。用户无需亲自与防火墙连接以获取认证，而是由驻留在客户机上的认证自动与AS、TGS等连接，交换相应的票据，实现整个认证过程，即EFS是完全透明于用户的。EFS中，即使应用程序本身从未考虑过实现任何认证机制，EFS仍可使其支持严格的身份认证过程，从而实现了认证与应用的完全。

·安全会话。由于Kerberos协议为每个会话均提供了一个随机的会话密钥，从而实现了安全的会话传输。此外，通过与公开密钥技术的结合，EFS提供了四种数据传输的安全级别，从而在两台通信主机之间形成了一条私有通道。

·一次签放。用户只需在登录系统时进行一次认证，便可以使用所有的安全服务。而只需维护一套EFS帐号，并定义用户访问各种服务的权限即可，这也有助于将各个服务的安全性作为一个整体集中起来综合考虑，从而极大地增加了系统的安全系数。

·低成本、高性能。EFS中，检查点被直接设置于需保护的应用上，内部网中无需为了安全而使用额外的路由器以划分安全子网，没有多余的通信检查和硬件投资。

·统筹规划、集中管理。由于EFS在每台需保护的主机上安装了嵌入式防火墙，而该的主要工作是验证Kerberos票据，所有的安全策略都将统一保存在TGS上，因此形成了一个负责整个企业访问控制及授权的集中式控制台。

3．2．4 嵌入式防火墙的发展

目前，整个系统模型已在Linux作系统上得以实现。在不久的将来，系统还将实现运行于Windows系统平台上的客户认证及运行于NT和UNIX上的嵌入式防火墙。届时，一个完整的、跨平台的安全解决方案将会形成。

4 前景展望

防火墙作为一种防护手段，对维护网络安全起到了一定的作用，但并非万无一失，它只能防护经过自身的非法访问和攻击；它虽然能够针对所有服务进行安全检查，过滤其是否合法，但不能有效地杜绝所有恶意数据包，利用合法的连接传输非法数据确实存在。

防火墙只是整个网络安全防护的一部分，它需要其他的防护措施和技术，如密码技术、访问控制、权限管理、防治等。也只有运用先进认证技术，并在网络层上实施统一的用户端对端的数据流加密技术，再结合目前的防火墙技术以进行必要的内容检测、攻击检测及其他一些手段，才能解决内部网安全问题，并最终提供一套一体化的解决途径。

防火墙的功能

防火墙是网络安全的屏障：

一个防火墙（作为阻塞点、控制点）能极大地提高一个内部网络的安全性，并通过过滤不安全的服务而降低风险。由于只有经过精心选择的应用协议才能通过防火墙，所以网络环境变得更安全。如防火墙可以禁止诸如众所周知的不安全的NFS协议进出受保护网络，这样外部的攻击者就不可能利用这些脆弱的协议来攻击内部网络。防火墙同时可以保护网络免受基于路由的攻击，如IP选项中的源路由攻击和ICMP重定向中的重定向路径。防火墙应该可以拒绝所有以上类型攻击的报文并通知防火墙。

防火墙可以强化网络安全策略：

通过以防火墙为中心的安全方案配置，能将所有安全软件（如口令、加密、身份认证、审计等）配置在防火墙上。与将网络安全问题分散到各个主机上相比，防火墙的集中安全管理更经济。例如在网络访问时，一次一密口令系统和其它的身份认证系统完全可以不必分散在各个主机上，而集中在防火墙一身上。

对网络存取和访问进行审计：

如果所有的访问都经过防火墙，那么，防火墙就能记录下这些访问并作出日志记录，同时也能提供网络使用情况的统计数据。当发生可疑动作时，防火墙能进行适当的报警，并提供网络是否受到监测和攻击的详细信息。另外，收集一个网络的使用和误用情况也是非常重要的。首先的理由是可以清楚防火墙是否能够抵挡攻击者的探测和攻击，并且清楚防火墙的控制是否充足。而网络使用统计对网络需求分析和威胁分析等而言也是非常重要的。

防止内部信息的外泄：

通过利用防火墙对内部网络的划分，可实现内部网重点网段的隔离，从而限制了局部重点或敏感网络安全问题对全局网络造成的影响。再者，隐私是内部网络非常关心的问题，一个内部网络中不引人注意的细节可能包含了有关安全的线索而引起外部攻击者的兴趣，甚至因此而暴漏了内部网络的某些安全漏洞。使用防火墙就可以隐蔽那些透漏内部细节如Finger，DNS等服务。Finger显示了主机的所有用户的注册名、真名，登录时间和使用shell类型等。但是Finger显示的信息非常容易被攻击者所获悉。攻击者可以知道一个系统使用的频繁程度，这个系统是否有用户正在连线上网，这个系统是否在被攻击时引起注意等等。防火墙可以同样阻塞有关内部网络中的DNS信息，这样一台主机的域名和IP地址就不会被外界所了解。

除了安全作用，防火墙还支持具有Internet服务特性的企业内部网络技术体系VPN。通过VPN，将企事业单位在地域上分布在全世界各地的LAN或专用子网，有机地联成一个整体。不仅省去了专用通信线路，而且为信息共享提供了技术保障。

防火墙是什么

传统防火墙是管理电脑软件链接网络的一个软件，但是现在出了很多网页防火墙 文件防火墙之类的东东

防火墙是一个或一组系统，它在网络之间执行访问控制策略。实现防火墙的实际方式各不相同，但是在原则上，防火墙可以被认为是这样一对机制：一种机制是拦阻传输流通行，另一种机制是允许传输流通过。一些防火墙偏重拦阻传输流的通行，而另一些防火墙则偏重允许传输流通过。了解有关防火墙的最重要的概念可能就是它实现了一种访问控制策略。如果你不太清楚你需要允许或否决那类访问，你可以让其他人或某些产品根据他（它）们认为应当做的事来配置防火墙，然后他（它）们会为你的机构全面地制定访问策略。