網絡防火墻安全建設論文

導語：網絡防火墻安全建設論文一文來源于網友上傳，不代表本站觀點，若需要原創文章可咨詢客服老師，歡迎參考。

一、防火墻的主要技術手段

根據當今世界防火墻技術的發展歷史，防火墻的主要技術手段主要有“包過濾技術”、“應用技術”、“狀態監測技術”三種，盡管由于安全防護的需要，產生出了其他安全防御技術，但其根本都由這三類技術進行演變綜合而來。

1、包過濾技術。當前我們網絡采用的是IPV4技術，因此網絡數據均是通過IP地址進行尋址傳送的，所以包過濾技術也就是通過檢測IP數據包目的地址和源地址是否合法的來對數據進行放行或者予以限制，那么這個“合法”通常是指管理員制定的一些網絡規則。其實思科和華為公司生產的交換機就提供了一些基本的包過濾功能，相當也就能實現一些簡單的網絡防護功能。

2、應用技術。此類技術也是針對當前網絡數據傳遞的一個特性發展而來的。我們都知道TCP/IP的第四層為運輸層，數據要進行可靠傳輸必須在該層建立可靠連接，所以應用技術就是通過防火墻將這個可靠連接分割成兩個連接，分別為防火墻到服務器和防火墻到客戶端的連接，所有數據傳遞均需通過防火墻進行檢測，然后再確定是否放行。這個連接的分割對數據而言是透明的，并不應影響數據的傳送。這種技術打破了傳統的客戶端/服務器的這種傳輸模式。

3、狀態監測技術。由于網絡的攻擊的復雜性，那么單一的監測方式往往并不能有效的解決網絡威脅，所以狀態監測技術是以連接狀態為基準，將同一連接的所有數據包看成是一個完整的數據流，建立一個會話狀態表，對這個數據流的整個內容進行監視和檢測，且以后同一類連接的數據傳送都必須以這個會話狀態表為參照標準，一旦發現不同于該狀態表的數據都將進行截留。因此狀態監測技術其實是包過濾技術和應用技術的一種結合體，在防御強度上也遠高于前述兩種。

二、企業安全網絡的建設

我們當前常用的防火墻的種類和技術已經如上所述，企業可以根據自己的防御需求就軟件防火墻和硬件防火墻進行初步的選擇。對網絡安全要求不高，且企業計算機性能尚可的情況下，建議使用軟件防火墻，成本相對較低，且易于維護。如果公司網絡規模較大，安全要求較高，資金預算足夠且內建了相關數據服務器的情況下，此時建議在內外網的連接之間增加硬件防火墻，以加強網絡防護，避免網絡風險。通常硬件防火墻工作所在的OSI協議層越高價格相應的也就越貴，所以硬件防火墻采用的技術不同價格也就存在很大的差異，企業應當根據實際的防御需求采購合適的防火墻。

作者：楊文浩朱瑋單位：南昌大學軟件學院