什么是防火墙?它是如何确保网络安全的？
发布时间：日 09:39　｜　作者：佚名　|　点击：[]什么是网络级防火墙和应用级防火墙？_百度知道
什么是网络级防火墙和应用级防火墙？
如题，要名词解释。。。详细点比较好。
答题抽奖
首次认真答题后
即可获得3次抽奖机会，100%中奖。
网络级防火墙一般根据源、目的地址做出决策，输入单个的IP包。一台简单的路由器是“传统的”网络级防火墙，因为它不能做出复杂的决策，不能判断出一个包的实际含意或包的实际出处。现代网络级防火墙已变得越来越复杂，可以保持流经它的接入状态、一些数据流的内容等等有关信息。许多网络级防火墙之间的一个重要差别是防火墙可以使传输流直接通过，因此要使用这样的防火墙通常需要分配有效的IP地址块。网络级防火墙一般速度都很快，对用户很透明。 网络级防火墙的例子：在这个例子中，给出了一种称为“屏蔽主机防火墙”（screened host firewall）的网络级防火墙。在屏蔽主机防火墙中，对单个主机的访问或从单个主机进行访问是通过运行在网络级上的路由器来控制的。这台单个主机是一台桥头堡主机（bastion host），是一个可以（希望如此）抵御攻击的高度设防和保险的要塞。 网络级防火墙的例子：在这个例子中，给出了一种所谓“屏蔽子网防火墙”的网络级防火墙。在屏蔽子网防火墙中，对网络的访问或从这个网络中进行访问是通过运行在网络级上的路由器来控制的。除了它实际上是由屏蔽主机组成的网络外，它与被屏蔽主机的作用相似。 应用级防火墙一般是运行代理服务器的主机，它不允许传输流在网络之间直接传输，并对通过它的传输流进行记录和审计。由于代理应用程序是运行在防火墙上的软件部件，因此它处于实施记录和访问控制的理想位置。应用级防火墙可以被用作网络地址翻译器，因为传输流通过有效地屏蔽掉起始接入原址的应用程序后，从一“面”进来，从另一面出去。在某些情况下，设置了应用级防火墙后，可能会对性能造成影响，会使防火墙不太透明。早期的应用级防火墙，如那些利用TIS防火墙工具包构造的防火墙，对于最终用户不很透明，并需要对用户进行培训。应用级防火墙一般会提供更详尽的审计报告，比网络级防火墙实施更保守的安全模型。 应用级防火墙举例：这此例中，给出了一个所谓“双向本地网关”（dual homed gateway）的应用级防火墙。双向本地网关是一种运行代理软件的高度安全主机。它有两个网络接口，每个网络上有一个接口，拦阻通过它的所有传输流。
采纳率：13%
浅论网络防火墙技术 随着网络技术的发展，因特网已经走进千家万户。因而，网络的安全将成为人们最为关注的问题。目前，保护内部网免遭外部入侵的比较有效的方法为防火墙技术。
防火墙的基本概念
防火墙是一个系统或一组系统，它在企业内网与因特网间执行一定的安全策略。
一个有效的防火墙应该能够确保：所有从因特网流入或流向因特网的信息都将经过防火墙；所有流经防火墙的信息都应接受检查。
因特网防火墙的功能为：通过防火墙可以定义一个关键点以防止外来入侵；监控网络的安全并在异常情况下给出报警提示，尤其对于重大的信息量通过时除进行检查外，应做日志登记；提供网络地址转换（NAT）功能，有助于缓解IP地址资源紧张的问题，同时，可以避免当一个内部网更换ISP时需重新编号的麻烦；防火墙可查询或登记因特网的使用情况，可以确认因特网连入的代价、潜在的带宽瓶须，以使费用的耗费满足企业内部财政模式；防火墙是为客户提供服务的理想位置，即在其上可以配置相应的WWW和FTP服务，使因特网用户仅可以访问此类服务，而禁止对保护网络的其他系统的访问。
防火墙的分类、作用
现有的防火墙主要有：包过滤型、代理服务器型、复合型以及其他类型（双宿主主机、主机过滤以及加密路由器）防火墙。
包过滤（Packet Fliter）通常安装在路由器上，而且大多数商用路由器都提供了包过滤的功能。包过滤规则以IP包信息为基础，对IP源地址、目标地址、封装协议、端口号等进行筛选。包过滤在网络层进行。
代理服务器型（Proxy Service）防火墙通常由两部分构成，服务器端程序和客户端程序。客户端程序与中间节点（Proxy Server）连接，中间节点再与提供服务的服务器实际连接。与包过滤防火墙不同的是，内外网间不存在直接的连接，而且代理服务器提供日志（Log）和审计（Audit）服务。
复合型（Hybfid）防火墙将包过滤和代理服务两种方法结合起来，形成新的防火墙，由堡垒主机（Bastion Host）提供代理服务。
各类防火墙路由器和各种主机按其配置和功能可组成各种类型的防火墙，主要有：双宿主主机防火墙（Dua1－Homed Host Firewall），它是由堡垒主机充当网关，并在其上运行防火墙软件，内外网之间的通信必须经过堡垒主机；主机过滤防火墙（ Screened Host Firewall）是指一个包过滤路由器与外部网相连，同时，一个堡垒主机安装在内部网上，使堡垒主机成为外部网所能到达的惟一节点，从而确保内部网不受外部非授权用户的攻击；加密路由器（Encryptinn Router），加密路由器对通过路由器的信息流进行加密和压缩，然后通过外部网络传输到目的端进行解压缩和解密。
各类防火墙的基本功能、作用与不足
典型的防火墙应包含如下模块中的一个或多个：包过滤路由器、应用层网关（或代理服务器）以及链路层网关。
1、包过滤路由器
包过滤路由器将对每一个接收到的包进行允许／拒绝的决定。具体地，它对每一个数据报的包头，按照包过滤规则进行判定，与规则相匹配的包依据路由表信息继续转发，否则，则丢弃之。
与服务相关的过滤，是指基于特定的服务进行包过滤，由于绝大多数服务的监听都驻留在特定TCP?UDP端口，因此，阻塞所有进入特定服务的连接，路由器只需将所有包含特定 TCP／UDP目标端口的包丢弃即可。
独立于服务的过滤，有些类型的攻击是与服务无关的，比如：带有欺骗性的源IP地址攻击（包中包含一个错误的内部系统源IP地址，经掩饰后变成一个似乎来自于一个可以信任的内部主机，此时的过滤规则为：当一个具有内部源IP地址的包到达路由器的任意一个外部接口时，将此包丢弃。）、源路由攻击、细小碎片攻击（入侵者使用IP分裂技术将包划分成很小的一些碎片，然后将TCP头的信息插入包的一个小碎片中，寄希望过滤规则为丢弃协议类型为TCP而IP帧偏移量为1的所有包）等。由此可见此类网上攻击仅仅借助包头信息是难以识别的，此时，需要路由器在原过滤规则的基础附上另外的条件，这些条件的判别信息可以通过检查路由表、指定IP选择、检查指定帧偏移量等获得。
包过滤路由器的优点，大多数防火墙配置成无状态的包过滤路由器，因而实现包过滤几乎没有任何耗费。另外，它对用户和应用来说是透明的，每台主机无需安装特定的软件，使用起来比较方便。
包过滤路由器的局限性在于定义包过滤是个复杂的工作，网络管理员需要对各种因特网服务、包头格式以及希望在每一个城找到的特定的值有足够的了解：面对复杂的过滤需求，过滤规则将是一个冗长而复杂、不易理解和管理的集合，同样也很难测试规则的正确性；任何直接通过路由器的包都可能被利用做为发起一个数据驱动的攻击；随着过滤数目的增加，将降低路由器包的吞吐量，同时耗费更多CPU的时间而影响系统的性能；再者IP包过滤难以进行行之有效的流量控制，因为它可以许可或拒绝一个特定的服务，但无法理解一个特定服务的内容或数据。
3、应用层网关
应用层网关允许网络管理员实施一个较包过滤路由器更为严格的安全策略，为每一个期望的应用服务在其网关上安装专用的代码（一个代理服务），同时，代理代码也可以配置成支持一个应用服务的某些特定的特性。对应用服务的访问都是通过访问相应的代理服务实现的，而不允许用户直接登录到应用层网关（bastion host）。
应用层网关安全性的提高是以购买同关硬件平台的费用为代价，网关的配置将降低对用户的服务水平，但增加了安全配置上的灵活性。
应用层网关的好处，在于它授予网络管理员对每一个服务的完全控制权，由代理服务限制了命令集合和哪一台内部主机支持相应的服务。同时，网络管理员对支持哪些服务可以完全控制。另外，应用层网关支持强的用户认证、提供详细的日志信息、以及较包过滤路由器更易于配置和测试的过滤规则。
当然，应用层网关的最大的局限性在于它需要用户或者改变其性能，或者在需要访问代理服务的系统上安装特殊的软件。
3、链路层网关
链路层网关是可由应用层网关实现的特殊功能。它仅仅替代TCP连接而无需执行任何附加的包处理和过滤。
基于防火墙构建安全网络的基本原则
在进行防火墙设计过程中，网络管理员应考虑的问题为：防火墙的基本准则：整个企业网的安全策略；防火墙的财务费用的预算；以及防火墙的部件或构建块。
1、防火墙的基本准则
防火墙可以采取如下两种之一理念来定义防火墙应遵循的准则：
其一、未经说明允可的就是拒绝。防火墙阻塞所有流经的信息，每一个服务请求或应用的实现都基于逐项审查的基础上。这是一个值得推荐的方法，它将创建一个非常安全的环境。当然，该理念的不足在于过于强调安全而减弱了可用性，限制了用户可以申请的服务的数量。
其二、未说明拒绝的均为许可的。约定防火墙总是传递所有的信息，此方式认定每一个潜在的危害总是可以基于逐项审查而被杜绝。当然，该理念的不足在于它将可用性置于比安全更为重要的地位，增加了保证私有网安全性的难度。
2、企业网的安全策略
在一个企业网中，防火墙应该是全局安全策略的一部分，构建防火墙时首先要考虑其保护的范围。企业网的安全策略应该在细致的安全分析、全面的风险假设以及商务需求分析基础上来制定。
3、防火墙的费用
简单的包过滤防火墙所需费用最少，实际上任何企业网与因特网的连接都需要一个路由器，而包过滤是标准路由器的一个基本特性。对于一台商用防火墙随着其复杂性和被保护系统数目的增加，其费用也随之增加。
至于采用自行构造防火墙方式，虽然费用低一些，但仍需要时间和经费开发、配置防火墙系统，需要不断地为管理、总体维护、软件更新、安全修补以及一些附带的操作提供支持。
因而，防火墙的配备是需要相当的费用，如何以最小的费用来最大限度地满足企业网的安全需求，这将是企业网决策者应该周密考虑的问题。
当然，防火墙本身也有其局限性，即不经过防火墙的入侵，防火墙则是无能为力的，如被保护网络中通过SLIP和PPP方式直接与因特网相连的内部用户，则会造成安全隐患。此时，为了保证安全性，防火墙代理服务器在使用到ISP的SLIP和PPP连接时，需要附加一些新的权限条件。同时，硬件方式构建的防火墙，如： PIX 520，其不够灵活的问题也是固化防火墙的共同问题，所以在一个实际的网络运行环境中，仅仅依靠防火墙来保证网络的安全显然是不够，此时，应根据实际需求采取相应的安全策略。够详细了吧，还要什么文章就到这里找找
为您推荐：
其他类似问题
您可能关注的内容
防火墙的相关知识
换一换
回答问题，赢新手礼包
个人、企业类
违法有害信息,请在下方选择后提交
色情、暴力
我们会通过消息、邮箱等方式尽快将举报结果通知您。网络防火墙的主要功能是什么_佰佰安全网
网络防火墙的主要功能是什么
网络防火墙也是很多用户必装的软件，这主要是因为防火墙功能很强大，能保护用户的电脑，那么，网络防火墙的主要功能是什么呢？
作为网络中对电脑很重要的保护设备，防火墙有其一定的防护功能，否则也不会让用户喜欢，那么，网络防火墙的主要功能是什么呢？分别是什么呢？今天我们就跟随佰佰安全网一起来了解关于这方面的吧。
第一，防火墙有访问控制的功能，防火墙能够通过包过滤机制对网络间的访问进行控制，它按照网络管理员制定的访问规则，通过对比数据包中的标识信息，拦截不符合规则的数据包并将其丢弃。
第二，防火墙具有防御常见攻击的能力，它还能够扫描通过FTP上传与下载的文件或者电子邮件的附件，以发现其中包含的危险信息，也可以通过控制、检测与报警的机制，在一定程度上防止或者减轻DDos的攻击，还能够从HTTP页面中剥离Java、Applet、ActiveX等小程序并从Script、PHP、ASP等代码中检测出危险代码或者病毒，并向浏览器用户报警，同时，防火墙还能够阻止用户上载带有危险代码的CGI、ASP等程序。
第三，防火墙是审计和记录Internet使用费用的一个最佳地点，网络管理员可以在此向管理部门提供Internet连接的费用情况，查出潜在的带宽瓶颈位置，并能够依据本机构的核算模式提供部门级的计费。
综上所述，防火墙可以阻止黑客入侵，但不能防止病毒入侵，所以这也是防火墙的局限性，电脑用户应该明白这一点。
责任编辑:李献
现在很多女性肥胖,那么,哪些女人减肥方法能让女性快速变瘦变美呢?下面编辑分析女性肥胖的原因,介绍两种女人减肥方法，运动减肥法和中医减肥法……
1511人阅读
一周热门排行　　企业要想确保自身网络环境的安全防护，可是必不可少的网安设备之一。那么是什么？企业为什么需要防火墙？&&&&在网络攻击威胁日盛的当下，有机构统计，全球97%的500强企业都发生过网络安全事件。2016年因网络安全问题给全球经济带来的损失高达4450亿美元，比上年增长了18%。不论是大型还是中小型企业，一旦遭受网络攻击，其后果影响就会十分严重。为什么需要防火墙？　　所谓“防火墙”，是一种位于内部网络与外部网络之间的安全防护系统。其会依照特定的规则，允许或限制传输的数据通过，来确保内部网络不遭受恶意攻击。　　防火墙可以有硬件、固件或者等多种形态，不过在网络架构层面上，多泛指专属的硬件防护设备。软件防火墙即是安装在电脑操作系统内的防护程序，如Windows自带的防火墙。而硬件防火墙则指的是采用状态检测机制、集成VPN、支持桥/路由/NAT等工作模式的作用在2-4层的访问控制设备。防火墙是企业必不可少的网安设备之一　　那么企业为什么需要防火墙呢？面对日益严重的网络攻击、入侵与破坏事件，企业必须要一套行之有效的安全防御方案，将网络安全的防护策略落实下来，进而能够审核记录所有进出的流量，同时，方便安全事件发生后开展相应的核查与分析。　　当然，设置防火墙的最终目的还是为了在内部网络与外部网络之间设立唯一通道，简化网络安全管理，防止非法访问与入侵。　　不过，防火墙并非万能的。由于其自身属性与部署特点，防火墙只适合处理企业网络边界的安全防护任务，对于内部的恶意攻击或蓄意破坏无法有效管制。同时，由于所有互联网的数据包都经过防火墙过滤，往往会造成网络交通的瓶颈。而且传统防火墙采用端口和IP协议进行控制的策略已经落伍，对于利用僵尸网络作为传输方法的新威胁，基本无法探测到。　　为此，以应用层管理为核心的下一代防火墙（Next-Generation&Firewall，NGFW），以及可强化发现和响应高级威胁的智慧防火墙纷纷亮相，成为当今网络环境下企业安全防护的新选择。
防火墙UTM上网行为防毒墙}