摘要：本文通过防火墙的分类、工作原理、应用等分析，同时对防火墙技术在企业网络安全中的作用及影响进行论述。
关键词：防火墙 网络安全 技术
0 引言
随着科学技术的快速发展，网络技术的不断发展和完善，在当今信息化的社会中，我们生活和工作中的许多数据、资源与信息都通过计算机系统来存储和处理，伴随着网络应用的发展，这些信息都通过网络来传送、接收和处理，所以计算机网络在社会生活中的作用越来越大。为了维护计算机网络的安全，人们提出了许多手段和方法，采用防火墙是其中最主要、最核心、最有效的手段之一。防火墙是网络安全政策的有机组成部分，它通过控制和监测网络之间的信息交换和访问行为来实施对网络安全的有效管理。
1 防火墙的分类
防火墙是在内部网与外部网之间实施安全防范的系统，它用于保护可信网络免受非可信网络的威胁，同时，仍允许双方通信，目前，许多防火墙都用于internet内部网之间，但在任何网间和企业网内部均可使用防火墙。按防火墙发展的先后顺序可分为:包过滤型(packfilter)防火墙(也叫第一代防火墙)。复合型(hybrid)防火墙(也叫第二代防火墙)；以及继复合型防火墙之后的第三代防火墙，在第三代防火墙中最具代表性的有:iga (internetgatewayappciance)防毒墙；sonicwall防火墙以及cink tvustcyberwall等。
按防火墙在网络中的位置可分为:边界防火墙、分布式防火墙。LocAlhOsT分布式防火墙又包括主机防火墙、网络防火墙。按实现手段可分为:硬件防火墙、软件防火墙以及软硬兼施的防火墙。
网络防火墙技术是一种用来加强网络之间的访问控制，防止外部网络用户以非法手段通过外部网络进入内部网络访问内部网络资源，保护内部网络操作环境的特殊网络互联设备。它对两个或多个网络之间传输的数据包，如链接方式，按照一定的安全策略来实施检查，以决定网络之间的通信是否被允许，并监视网络运行状态。
2 防火墙在网络安全中的作用
防火墙的作用是防止非法通信和未经过授权的通信进出被保护的网络。防火墙的任务就是从各种端口中辨别判断从外部不安全网络发送到内部安全网络中具体的计算机的数据是否有害，并尽可能地将有害数据丢弃，从而达到初步的网络系统安全保障。它还要在计算机网络和计算机系统受到危害之前进行报警、拦截和响应。一般通过对内部网络安装防火墙和正确配置后都可以达到以下目的:①限制他人进入内部网络，过滤掉不安全服务和非法用户。②防止入侵者接近你的防御设施。③限定用户访问特殊站点。④为监视intemet安全提供方便。
3 防火墙的工作原理
防火墙可以用来控制internet和intranet之间所有的数据流量。在具体应用中，防火墙是位于被保护网和外部网之间的一组路由器以及配有适当软件的计算机网络的多种组合。防火墙为网络安全起到了把关作用，只允许授权的通信通过。防火墙是两个网络之间的成分集合，有以下性质:①内部网络和外部网络之间的所有网络数据流都必须经过防火墙；②只有符合安全策略的数据流才能通过防火墙；③防火墙自身应具有非常强的抗攻击免疫力。一个好的防火墙应具有以下属性:一是所有的信息都必须通过防火墙；二是只有在受保护网络的安全策略中允许的通信才允许通过防火墙；三是记录通过防火墙的信息内容和活动；四是对网络攻击的检测和告警；五是防火墙本身对各种攻击免疫。
4 防火墙技术
防火墙的种类多种多样，在不同的发展阶段，采用的技术也各不相同，因而也就产生了不同类型的防火墙。防火墙所采用的技术主要有:
4.1 屏蔽路由技术 最简单和最流行的防火墙形式是“屏蔽路由器”。屏蔽路由器在网络层工作(有的还包括传输层)，采用包过滤或虚电路技术，包过滤通过检查每个ip网络包，取得其头信息，一般包括:到达的物理网络接口，源ip地址，目标ip地址，传输层类型(tcpudp icmp)，源端口和目的端口。根据这些信息，判别是否规则集中的某条目匹配，并对匹配包执行规则中指定的动作(禁止或允许)。
4.2 基于代理的(也称应用网关)防火墙技术 它通常被配置为“双宿主网关”，具有两个网络接口卡，同时接入内部和外部网。由于网关可以与两个网络通信，它是安装传递数据软件的理想位置。这种软件就称为“代理”，通常是为其所提供的服务定制的。代理服务不允许直接与真正的服务通信，而是与代理服务器通信(用户的默认网关指向代理服务器)。各个应用代理在用户和服务之间处理所有的通信。能够对通过它的数据进行详细的审计追踪，许多专家也认为它更加安全，因为代理软件可以根据防火墙后面的主机的脆弱性来制定，以专门防范已知的攻击。
4.3 包过滤技术 系统按照一定的信息过滤规则，对进出内部网络的信息进行限制，允许授权信息通过，而拒绝非授权信息通过。包过滤防火墙工作在网络层和逻辑链路层之间。截获所有流经的ip包，从其ip头、传输层协议头，甚至应用层协议数据中获取过滤所需的相关信息。然后依次按顺序与事先设定的访问控制规则进行一一匹配比较，执行其相关的动作。
4.4 动态防火墙技术 动态防火墙技术是针对静态包过滤技术而提出的一项新技术。静态包过滤技术局限于过滤基于源及目的的端口，ip地址的输入输出业务，因而限制了控制能力，并且由于网络的所有高位(1024—65 535)端要么开放，要么关闭，使网络处于很不完全的境地。而动态防火墙技术可创建动态的规则，使其适应不断改变的网络业务量。根据用户的不同要求，规则能被修改并接受或拒绝条件。动态防火墙为了跟踪维护连接状态，它必须对所有进出的数据包进行分析，从其传输层，应用层中提取相关的通讯和

[1] [2] 下一页