防火墙主要技术_防火墙价格_sip防火墙技术(3)

内部网络的划分可依据防火墙进行，以实现隔离内部重点网段，以便减少局部重点或敏感网络安全对全局的影响。内部网络中的一个忽略的小细节可能被外部攻击者发现并加以利用，也会给内部网络的带来极大的安全风险，增加全局网络的安全负担。使用防火墙就可以隐蔽那些容易透露内部细节的服务，如Finger和DNS等服务。

4、可以作为部署NAT的地点

网络地址转换(NAT)是一种将私有地址转化为合法IP地址的技术，它被广泛应用于各种类型的Interne接入。NAT技术能够很好的解决IP地址的不足的问题，还能够隐藏内部主机的IP地址，避免受到来自网络外部的攻击。

三、防火墙分类

防火墙的实现方式多种多样，从实现技术力一式划分防火墙主要分为数据包过滤、应用代理、状态检测等几种。

1、包过滤技术

包过滤作用在网络层和传输层，对流经防火墙的数据包依据系统设置的过滤规则进行检查和选择。TCP/IP协议通信的数据包可分为数据和包头两部分，根据包头源地址、目的地址、端口号、协议类型等标志确定是否允许数据包通过，只有满足过滤规则的数据包才能被转发到相应的目的地出口端，其余数据包则被丢弃，数据包过滤时按顺序进行检查，直到有规则匹配为止。实际实现了内部主机允许直接访问外网，而外网主机访问内网则要受到限制。

包过滤技术具有速度快、效率高的优点，并且对用户透明，对网络的性能影响不大，适合于应用环境简单的网络环境。但由于其工作在网络层和传输层，它过滤的信息是有限的，很多安全要求不能得到满足，随着规则数目的增加，会降低网络的性能。

2、应用代理型防火墙

应用代理型防火墙作用在应用层，它完全隔离了网络的通信流，对每种应用服务编制专门的代理程序，实现监视和控制应用层通信流的功能。客户机和服务器之间的数据交流被代理服务器完全阻挡，当终端需要数据时，先将请求发给代理，由代理向服务器发送请求，同样由代理向终端返回数据，这种情况下，内外主机之间没有直接的数据通道，阻断了外部网络对内网的侵入。

该种类型的防火墙具有较好的安全性能，工作在051的最高层，起着监视和隔绝应用层通信流的作用。这种类型往往会增加系统管理的复杂性，降低系统的整体性能。防火墙主要技术

3、状态检测技术

状态检测防火墙采用了状态检测包过滤技术，在网络层有一个检查引擎截获数据包并抽取与应用层状态有关的信息，并以此为依据决定该连接是接受还是拒绝，该种技术提供了高度安全的解决方案，具有较好的适应性和扩展性。该种防火墙摒弃了包过滤防火墙仅检查输入网络的数据包，而不关心数据包连接状态的缺点，在防火墙的核心建立状态连接表，在对数据包进行检查时，除了依据规则表，也会将数据包能否符合会话所处的状态考虑进来，因此提供了完整的对传输层的控制能力。状态检测防火墙工作在数据链路层和网络层之问，确保了截取和检查所有通过网络的原始数据包。它工作在较低层，但是它能够检测所有应用层的数据包，从中提取有用信息，如IP地址、端口号、数据内容等，使得安全性得到很大提高;状态检测防火墙和应用代理防火墙不同，它不需要为每个应用都建立一个服务程序，只是根据从数据包中提取出的信息、对应的安全策略及过滤规规处理数据包，具有很好的伸缩性和扩展性。

防火墙是现今广泛采用的计算机安全技术之一。对于防火墙的应用，能够更加有效的保证网络的安全使用。

本文来自电脑杂谈，转载请注明本文网址：
http://www.pc-fly.com/a/jisuanjixue/article-39611-3.html