《防火墙技术的现状与展望 论文》 www.wenku1.com
防火墙技术的现状与展望 论文日期：
防火墙技术的现状与展望 论文学号： 姓名：张卓[内容提要] 随着计算机技术和通讯技术的迅速发展,特别是Internet的出现,使网络的重要性和社会的影响越来越大,网络安全问题也变得越来越重要。防火墙技术作为一种隔离内部安全网络与外部不信任网络的防御技术，已经成为计算机网络安全体系结构中的一个重要组成部分。本文简要介绍了防火墙在网络信息安全中的重要作用,描述了防火墙的原理及分类,分析了构建防火墙时对防火墙的选择与设置,说明了防火墙的主要规则设置方法。接着，描述了防火墙技术的应用现状。最后提出了面对网络安全问题应用防火墙所面临的挑战，论述了防火墙在网络安全中起的重要作用以及应用需求,并对该技术的未来发展进行了展望。一、防火墙技术的概述防火墙是防范网络攻击最常用的方法，从技术理论上看，如今的防火墙经过了多年的不断改进,已经成为一种先进和复杂的基于应用层的网关，不仅能完成传统防火墙的过滤任务，同时也能够针对各种网络应用提供相应的安全服务。防火墙技术的基本思想是限制网络访问，它把网络分为两个部分：外部网络和受保护网络(内部网络)。 相比企业而言，外部网络一般指的是Internet ，而受保护网络一般指企业自己建立的Internet 防火墙,放在受保护网络和外部网络之间,如图1 所示图1 防火墙示意图 防火墙一方面限制外部网络访问受保护网络，对外屏蔽受保护网络的实现细节，保证数据的安全，另一方面限制受保护网络对外部网络的访问，防止不良信息的获取部分，减少信息的泄露。防火墙就是用来隔离受保护的网络和不受保护的网络（如因特网），通过单一集中的安全检查点，审查并过滤所有从因特网到受保护网络的连接。防火墙（阻塞类防火墙）可以确保除非通过检查点的审查，否则你从网中将不能直接到达因特网。二、防火墙的构成及安全功能为了更好的理解防火墙及其作用模型来加以分析。网络中继器和集线器是在最底层——物理层工作；交换机和网桥是在第二层———数据链路层工作；路由器是在第三层——网络层工作。防火墙建立在所有这些层上，工作于第六层和第七层———会话层和应用层，这两层分别负责会话的建立、控制和应用。因此，通过防火墙，我们可以控制会话建立期间的所有信息流，甚至可以决定当前的任何操作是否被允许。防火墙的基本构成包括：安全策略、高层认证、包过滤、应用网关。其中安全策略又分为扩展性策略、服务/访问策略、防火墙设计策略、信息策略、以及拔入与拔出策略。服务/访问策略是建立防火墙中最重要的组成部分，其余3部分在实现和执行策略中是必要的。保护网站防火墙的有效性，取决于使用防火墙的实现类型，以及使用正确的程序和服务/访问策略。防火墙的一个基本目的是保护站点不被黑客攻击，组织未经认证的外部登录，利用防火墙，可以防止站点的任意连结，并能建立跟踪工具，利用日志摘要可以查找连接的起点、服务器提供的服务量，甚至还包括是否有攻击进入等信息。 三、防火墙的设计原则构建防火墙时，要考虑的问题很多，主要有以下几个原则：1. 防火墙的设计策略应遵循安全防范的基本原则——“除非明确允许，否则禁止”。这个原则创造了一种比较安全的环境，但其安全性高于用户使用的方便性，对用户进行了约束。2.“除非明确禁止，否则允许某种服务”的设计原则。这种原则创造了一种非常灵活的环境，用户可以得到尽可能多的服务。3. 防火墙本身支持安全策略，而不是添加上去的。4. 组织机构的安全策略发生改变，可以加人新的服务。5. 有先进的认证手段或有挂钩程序，可以安装先进的认证方法。6. 可运用过滤技术允许和禁止服务。7. 可以使用FTP和Telnet等服务代理，便于先进的认证手段被安装和运行到防火墙。8. 拥有界面友好、易于编程的IP过滤语言，并可以根据数据包的性质进行包过滤。数据包的性质在目标和源IP地址、协议类型、源和目的TCP／ＵＤＰ端口、TCP包的ACK位、出站和入站网络接口等。防火墙自身的安全问题是其维护服务器网络安全的基础。防火墙自身的安全问题一般包含了防火墙认证的安全问题，防火墙管理权限体系管理，防火墙管理程序易于操作性等。由于防火墙一般都是通过管理程序进行控制的，因此它们之间的认证方式和安全也是很重要的。有些防火墙采用密码认证的方式，这种方式安全性较差，一旦密码本身被泄漏，那别人就可以轻松控制防火墙。企业在构建具体的防火墙时，根据自己的实际情况，以及对安全性和灵活性的要求，制定出自己的设计原则。四、防火墙的应用现状4.1. 防火墙现状概述下图是一个防火墙典型应用的示意图。 防火墙的功能主要包含以下几个方面：访问控制，如应用ACL进行访问控制；攻击防范，如防止SYN FLOOD等；NAT；VPN；路由；认证和加密; 日志记录; 支持网管等。此外为了保证可靠性，支持双机或多机热备份；为了满足日益增多的语音、视频等需求，对QOS特性的支持和对H.323、SIP 等多种应用协议的支持也必不可少。为了满足多样化的组网需求，方便用户组网，同时也降低用户对其他专用设备的需求，减少用户建网成本，防火墙上也常常把其他网络技术结合进来，例如支持DHCP SERVER、DHCP RELAY；支持动态路由，如RIP 、OSPF等；支持拨号、PPPOE等特性；支持广域网口；支持透明模式(桥模式); 支持内容过滤(如URL过滤)、防病毒和IDS等功能。防火墙与其他安全设备或安全模块之间进行互动，已经成为新一代防火墙的发展趋势。但是，目前防火墙应用中的问题也不少。如目前许多防火墙对内容过滤，防病毒和IDS等的支持，实际的应用效果并不好。因为在这些功能支持的情况下，过滤会涉及到应用层包分析，对CPU的消耗很大。这些功能的启动，会导致性能急剧下降，本来100M的处理能力，可能会下降到几兆，导致网络严重阻塞甚至瘫痪，失去了防火墙存在的意义。4.2. 包过滤防火墙和代理防火墙的发展，经历了从早期的简单包过滤，到今天广泛应用的状态包过滤技术和应用代理。其中状态包过滤技术因为其安全性较好，速度快，得到最广泛的应用。应用代理虽然安全性更好，但它需要针对每一种协议开发特定的代理协议，对应用的支持不够好。从国外公开的防火墙测试报告来看，代理防火墙性能表现比较差，因此在网络带宽迅猛发展的情况下，已经不能完全满足需要。此外，有的防火墙支持SOCK代理，这种代理屏蔽了协议本身，只要客户端支持SOCK代理，该应用在防火墙上就可以穿越。这种代理对于部分不公开的协议，如QQ的语音和视频协议，采用其他技术，在NAT情况下很难实现对该协议的支持，但QQ软件本身支持SOCK代理，如果防火墙支持SOCK代理协议，就可以实现对防火墙的穿越。但对于防火墙而言，不参与协议解码，也意味着防火墙对该协议失去了监测能力。4.3. 状态检测技术 下面，重点描述一下防火墙的状态检测技术。状态检测技术最早是CheckPoint提出的，也就是要监视每个连接发起到结束的全过程。对于部分协议，如FTP、H.323 等协议，是有状态的协议，防火墙必须对这些协议进行分析，以便知道什么时候，从哪个方向允许特定的连接进入和关闭。例如FTP，除了开始要建立命令通道外，还要动态协商数据通道。以PORT方式为例，PORT模式下的工作过程如下：(1) 客户端向服务器21端口发起连接，建立控制命令通道；(2) 客户端向服务器发出命令，要求建立数据连接；(3) 客户端打开一个端口；(4) 客户端通过PORT命令，从控制通道把端口号发给服务器；(5) 服务器向客户端该端口发送一个主动连接。从上述过程可以看出，客户端打开的端口号是未知的，所以防火墙必须对FTP控制通道的命令进行解码，从而知道协商后的端口号。然后，防火墙临时打开一个通道，允许服务器连接客户端的这个端口。对于状态防火墙，只需要通过ACL设置，开放该客户端对服务器的21端口连接。但对于以前的简单包过滤防火墙，如果想支持PORT模式，还得对外开放所有的端口，这显然是不安全的。状态防火墙可以对特定的协议进行解码，因此安全性也比较好。有的防火墙可以对FTP、SMTP 等有害命令进行检测和过滤，但因为在应用层解码分析，处理速度比较慢，为此，有的防火墙采用自适应方式，亦即根据当前防火墙繁忙程度做出判断：如果防火墙忙，则只做基本检测，如FTP，只监测PORT命令，其他有害命令就不检测，因此处理速度很快。状态防火墙的抗攻击功能，还有一个特色是，当检测到SYN FLOOD攻击时，会启动代理，此时，如果是伪造源IP的会话，因为不能完成三层握手，攻击报文就无法到达服务器，但正常访问的报文仍然可达。4.4. 高保障防火墙防火墙因为软件复杂，实现的功能较多，必须有操作系统支持，操作系统的安全是防火墙安全的基石。1998年，在中国一家机构和美国计算机学会ACM共同举办的国际会议上，我首次提出了高保障防火墙的概念，其核心是防火墙与安全操作系统无缝集成，在防火墙上实现类似B级操作系统的机制，如标记、MAC、 强实体认证等。入关具有入关证，出关具有出关证。建立了防止内部敏感信息泄漏的机制，达到既防外又防内的目标，又实现了传统防火墙的全部功能。不久前，安胜防火墙应运而生，通过了国家权威机构的测评认证，是我国第一个研制成功的高保障防火墙，目前已经在我国31个省市广泛应用。五、新型防火墙技术与优点新型防火墙更应该加强放行数据的安全性，因为网络安全的真实需求是既要保证安全，也必须保证应用的正常进行。新型防火墙技术主要是综合包过滤和代理技术，克服二者在安全方面的缺陷；能从数据链路层一直到应用层施加全方位的控制；TCP／IP协议和代理的直接相互配合，使系统的防欺骗能力和运行的健壮性都大大提高；并且能够实现TCP／IP协议的微内核，从而在TCP／IP协议层能进行各项安全控制；基于上述微内核，使速度超过传统的包过滤防火墙；提供透明代理模式，减轻客户端的配置工作；支持数据加密、解密(DES和RSA)，提供对虚拟网VPN的强大支持；内部信息完全隐藏等。新型防火墙技术不仅覆盖了传统包过滤防火墙的全部功能，而且在全面对抗IP欺骗、SYNFlood、ICMP、ARP等攻击手段方面有显著优势，增强代理服务，并使其与包过滤相融合，再加上智能过滤技术，使防火墙的安全性能有很大提高。5.1 分布式防火墙技术分布式防火墙是指那些驻留在网络中主机如服务器或桌面机并对主机系统自身提供安全防护的软件产品；从广义来讲，“分布式防火墙”是一种新的防火墙体系结构，它包含如下产品：①网络防火墙用于内部网与外部网之间(即传统的边界防火墙)和内部网子网之间的防护产品，后者区别于前者的一个特征是需支持内部网．可能有的IP和非IP协议。②主机防火墙对于网络中的服务器和桌面机进行防护，这些主机的物理位置可能在内部网中，也可能在内部网外，如托管服务器或移动办公的便携机。③中心管理边界防火墙只是网络中的单一设备，管理是局部的。对分布式防火墙来说，每个防火墙作为安全监测机制可以根据安全性的不同要求布置在网络中的任何需要的位置上，但总体安全策略又是统一策划和管理的，安全策略的分发及日志的汇总都是中心管理应具备的功能。中心管理是分布式防火墙系统的核心和重要特征之一。在新的安全体系结构下，分布式防火墙代表新型防火墙技术的发展潮流，它可以在网络的任何交界和节点处设置屏障，从而形成了一个多层次，多协议，内外皆防的全方位安全体系，它的主要功能如下：(1)Internet访问控制 依据工作站名称、设备指纹等属陛，使用“Internet访问规则”，控制该工作站或工作站组在指定的时间段内是否允许／禁止访问模板或网址列表中所规定的Internet Web服务器，某个用户可否基于某工作站访问www服务器，同时当某个工作站／用户达到规定流量后确定是否断网。(2)应用访问控制 通过对网络通讯从链路层、网络层、传输层、应用层基于源地址、目标地址、端口、协议的逐层包过滤与入侵监测，控制来自局域网／Internet的应用服务请求，如SQL数据库访问、IPX协议访问等。(3)网络状态监控 实时动态报告当前网络中所有的用户登陆、Internet访问、内网访问、网络入侵事件等信息。(4)黑客攻击的防御抵御 包括Smurf拒绝服务攻击、ARP欺骗式攻击、Ping攻击、Trojan木马攻击等在内的近百种来自网络内部以及来自Internet的黑客攻击手段。(5)日志管理 对工作站协议规则日志、用户登陆事件日志、用户Internet访问日志、指纹验证规则日志、入侵检测规则日志的记录与查询分析。(6)系统工具 包括系统层参数的设定、规则等配置信息的备份与恢复、流量统计、模板设置、工作站管理等。分布式防火墙克服了传统防火墙的缺陷，它的优势在于：在网络内部增加了另一层安全，有效抵御来自内部的攻击，消除网络边界上的通信瓶颈和单一故障点，支持基于加密和认证的网络应用；与拓扑无关，支持移动计算。5.2 嵌入式防火墙技术嵌入式防火墙就是内嵌于路由器或交换机的防火墙。嵌入式防火墙是某些路由器的标准配置。嵌入式防火墙也被称为阻塞点防火墙。由于互联网使用的协议多种多样，所以不是所有的网络服务都能得到嵌入式防火墙的有效处理。嵌入式防火墙工作于IP层，所以无法保护网络免受病毒、蠕虫和特洛伊木马程序等来自应用层的威胁。就本质而言，嵌入式防火墙常常是无监控状态的，它在传递信息包时并不考虑以前的连接状态。嵌入式防火墙能够弥补并改善各类安全能力不足的企业边缘防火墙、防病毒程序、基于主机的应用程序、入侵检测告警程序以及网络代理程序而设计，它确保了企业内部与外部的网络具有以下功能：不论企业局域网的拓扑结构如何变更，防护措施都能延伸到网络边缘为网络提供保护；基于硬件、能够防范入侵的安全特性能独立于主机操作系统与其他安全性程序运行，甚至在安全性较差的宽带链路上都能实现安全移动与远程接人，可管理的执行方式使企业安全性能够被用户策略而非物理设施来进行定义。5.3 智能防火墙技术智能防火墙从技术特征上，是利用统计、记忆、概率和决策的智能方法来对数据进行识别，并达到访问控制的目的。新的数学方法，消除了匹配检查所需要的海量计算，高效发现网络行为的特征值，直接进行访问控制。由于这些方法多是人工智能学科采用的方法，因此被称为智能防火墙。实现智能防火墙的关键技术有：(1)防攻击技术 智能防火墙能智能识别恶意数据流量，并有效地阻断恶意数据攻击。智能防火墙可以有效地解决SYN Flooding，Land Attack，UDP Flooding，Fraggle Attack，Ping Flooding，Smurf，Ping of Death，Unreachable Host等攻击o(2)防扫描技术 智能防火墙能智能识别黑客的恶意扫描，并有效地阻断或欺骗恶意扫描者。对目前已知的扫描工具如ISS，SSS，NMAP等扫描工具，智能防火墙可以防止被扫描。防扫描技术还可以有效地解决代表或恶意代码的恶意扫描攻击。(3)防欺骗技术 智能防火墙提供基于MAC的访问控制机制，可以防止MAC欺骗和IP欺骗，支持MAC过滤，支持IP过滤。将防火墙的访问控制扩展到OSI模型的第二层。(4)入侵防御技术 智能防火墙为了解决准许放行包的安全性，对准许放行的数据进行入侵检测，并提供人侵防御保护。入侵防御技术采用了多种检测技术，特征检测可以准确检测已知的攻击，特征库涵盖了目前流行的网络攻击；异常检测基于对监控网络的自学习能力，可以有效地检测新出现的攻击；检测引擎中还集成了针对缓冲区溢出等特定攻击的检测。(5)包擦洗和协议正常化技术 智能防火墙支持包擦洗技术，对IP，TCP，UDP，ICMP等协议的擦洗，实现协议的正常化，消除潜在的协议风险和攻击。(6)AAA技术 IP v4版本的一大缺陷是缺乏身份认证功能，所以在IP v6版本中增加了该功能。问题是IP v6的推广尚需时日，IP v4在相当长一段时间内，还会继续存在。智能防火墙加了对IP层的身份认证。六、防火墙的不足6.1不能防御计算机病毒的攻击计算机病毒攻击的方式多种多样，大多数防火墙都是根据系统存在的漏洞进行攻击，对于这种攻击防火墙经常无能为力。6.2 不能防御不经过防火墙的攻击这一点是显而易见的，如果防火墙布置在企业网络的边界，对进出企业的信息进行过滤，而企业内部的电脑通过拨号网络直接连到外部网络，则防火墙就起不到作用。6.3 不少防火墙自身存在一定的安全漏洞不管是硬件防火墙还是软件防火墙，都会存在或多或少的设计漏洞，不法分子可能利用这些设计上的漏洞绕过防火墙对系统进行攻击。6.4 不能防御数据驱动式的攻击这也是一种很常见的攻击方式，每次通过防火墙的数据都是合乎规则的，但是当这些数据组合之后就会对系统进行破坏。6.5 牺牲了很多有用的服务通常为了达到信息安全，人们关闭了很多不必要的服务，但是这些服务也有很多是很常用的，关闭了它们之后人们对网络的易用性显然会受到影响。七、防火墙的发展趋势可以预知，未来防火墙的发展趋势是朝高速度、多功能化、更安全的方向发展。从国内外历次测试的结果都可以看出，目前防火墙一个很大的局限性是速度不够。应用 ASIC 、 FPGA 和网络处理器是实现高速防火墙的主要方法，其中以采用网络处理器最优，因为网络处理器采用微码编程，可以根据需要随时升级，甚至可以支持 IPV6 ，而采用其它方法就不那么灵活。实现高速防火墙，算法也是一个关键，因为网络处理器中集成了很多硬件协处理单元，因此比较容易实现高速。对于采用纯 CPU 的防火墙，就必须有算法支撑，例如 ACL 算法。目前有的应用环境，动辄应用数百乃至数万条规则，没有算法支撑，对于状态防火墙，建立会话的速度会十分缓慢。受现有技术的限制，目前还没有有效的对应用层进行高速检测的方法，也没有哪款芯片能做到这一点。因此，防火墙不适宜于集成内容过滤、防病毒和 IDS 功能 ( 传输层以下的 IDS 除外，这些检测对 CPU 消耗小 ) 。对于IDS ，目前最常用的方式还是把网络上的流量镜像到 IDS 设备中处理，这样可以避免流量较大时造成网络堵塞。此外，应用层漏洞很多，攻击特征库需要频繁升级，对于处在网络出口关键位置的防火墙，如此频繁地升级也是不现实的。多功能也是防火墙的发展方向之一，鉴于目前路由器和防火墙价格都比较高，组网环境也越来越复杂，一般用户总希望防火墙可以支持更多的功能，满足组网和节省投资的需要。例如，防火墙支持广域网口，并不影响安全性，但在某些情况下却可以为用户节省一台路由器;支持部分路由器协议，如路由、拨号等，可以更好地满足组网需要;支持 IPSEC VPN ，可以利用因特网组建安全的专用通道，既安全又节省了专线投资。未来防火墙的操作系统会更安全。随着算法和芯片技术的发展，防火墙会更多地参与应用层分析，为应用提供更安全的保障。八、总结从目前防火墙产品及其功能上，可以看到防火墙的扩展功能将进一步完善，而且随着算法的优化，使对网络流量的影响减低到最少IP。的加密需求越来越强，安全协议的开发是一大势点。对网络攻击的检测和告警将成为防火墙的重要功能，将逐步建立和完善入侵检测数据库。到目前为止，新一代的防火墙采用信息安全技术，使得其功能更强大、安全性更强，可以抵御常见的网络攻击，如IP地址欺骗、特洛伊木马程序、Internet蠕虫、拒绝服务攻击等等。但是，网络的安全是一种相对的安全，目前还没有一种技术可以百分之百解决网络上的信息安全问题。防火墙是一个确保网络安全的强大工具，但是现有的防火墙有其局限性。乐观的是：越来越多的大学院校和研究机构开始研究计算机与通信安全问题。我们相信，在不远的将来，肯定会出现全方位的“360度”防火墙，让我们共同努力吧。 本文由(www.wenku1.com)首发，转载请保留网址和出处！
免费下载文档：&您现在的位置： >>
介绍防火墙技术和发展现状
发布时间： 14:23 本文地址:http://www.qikan58.com/Info-detail-11076.html
来源:期刊58网
点击数:897
　　1.防火墙技术的介绍
　　网络安全技术的主要代表是防火墙，下面简要介绍一下这种技术。
　　网络安全所说的防火墙是指内部网和外部网之间的安全防范系统。它使得内部网络与因特网之间或与其它外部网络之间互相隔离、限制网络互访。用来保护内部网络。防火墙通常安装在内部网与外部网的连接点上。所有来自Internet（外部网）的传输信息或从内部网发出的信息都必须穿过防火墙
　　防火墙的主要功能包括：
　　（1）防火墙可以关闭不使用的端口。而且它还能禁止特定端口的输出信息。
　　（2）防火墙可以对流经它的网络通信进行扫描。从而过滤掉一些攻击。以免其在目标计算机上被执行。
　　（3）防火墙可以禁止来自特殊站点的访问，从而可以防止来自不明入侵者的所有通信。过滤掉不安全的服务和控制非法用户对网络的访问。
　　（4）防火墙提供了监视Internet安全和预警的方便端点。
　　（5）防火墙可以控制网络内部人员对Intemet上特殊站点的访问。
　　2.防火墙在企业中的应用现状
　　由于现在的各企业中应用的网络非常广泛。所以防火墙在企业中自然也是受到了非常多的应用 下面介绍下防火墙在企业中具体的应用。防火墙是网络安全的关口设备。只有在关键网络流量通过防火墙的时候。防火墙才能对此实行检查、防护功能。
　　（1）防火墙的位置一般是内网与外网的接合处。用来阻止来自外部网络的入侵
　　（2）主干交换机至服务器区域工作组交换机的骨干链路上
　　（3）通过公网连接的总部与各分支机构之间应该设置防火墙
　　（4）如果内部网络规模较大，并且设置虚拟局域网（VLAN）。则应该在各个VLAN之间设置防火墙
　　（5）远程拨号服务器与骨干交换机或路由器之间
　　总之，在网络拓扑上。防火墙应当处在网络的出口与不同安全等级区域的结合处。安装防火墙的原则是：只要有恶意侵入的可能。无论是内部网还是外部网的连接处都应安装防火墙
　　3.防火墙技术发展趋势
　　在混合攻击肆虐的时代。单一功能的防火墙远不能满足业务的需要。而具备多种安全功能，基于应用协议层防御、低误报率检测、有高可靠高性能平台和统一的组件化管理技术。
　　（1）通过分类检测技术降低误报率。串联接人的网关设备一旦误报过高，将会对用户带来灾难性的后果。IPS理念在2O世纪9O年代就已经被提出。但是目前全世界对IPS的部署非常有限。影响其部署的一个重要问题就是误报率。分类检测技术可以大幅度降低误报率。针对不同的攻击，采取不同的检测技术，比如防拒绝服务攻击、防蠕虫和黑客攻击、防垃圾邮件攻击、防违规短信攻击等。从而显着降低误报率。
　　（2）网络安全协议层防御 防火墙作为简单的第二到第四层的防护，主要针对像IP、端口等静态的信息进行防护和控制。但是真正的安全不能只停留在底层，我们需要构建一个更高、更强、更可靠的墙，除了传统的访问控制之外。还需要对垃圾邮件、拒绝服务、黑客攻击等外部威胁起到综合检测和治理的作用。实现七层协议的保护。而不仅限于第二到第四层。
　　（3）一体化的统一管理。由于UTM设备集多种功能于一身。因此，它必须具有能够统一控制和管理的平台。使用户能够有效地管理。这样。设备平台可以实现标准化并具有可扩展性。用户可在统一的平台上进行组件管理。同时。一体化管理也能消除信息产品之间由于无法沟通而带来的信息孤岛。从而在应对各种各样攻击威胁的时候。能够更好地保障用户的网络安全。
　　（4）有高可靠性、高性能的硬件平台支撑。
　　4.结束语
　　总之，安全技术和安全管理不可分割，它们必须同步推进。因为即便有了好的安全设备和系统。如果没有好的安全管理方法并贯彻实施。那么安全也是空谈。防火墙技术作为目前用来实现网络安全的一种手段。主要是用来拒绝未经授权的用户访问。阻止未经授权的用户存取敏感数据。同时允许合法用户不受妨碍地访问网络资源。如果使用得当，可以在很大程度上提高网络安全性能。但是并不能百分之百解决网络上的信息安全问题。比如防火墙虽然能对外部网络的功击进行有效的防护。但对来自内部网络的功击却无能为力。事实上据统计60％以上的网络安全问题来自内部网络。而且网络程序和网络管理系统中也可能存在缺陷。因此网络安全单靠防火墙是不够的。还需要考虑其它技术和非技术的因素，如信息加密技术、制订法规、提高网络管理使用人员的安全意识等。现在网络防火墙技术在不断地发展。值得研究的课题很多，如：如何对一个防火墙产品进行危险评估，如何对网络中传输的敏感数据进行加密。数据应在网络哪一层加密。采用传统密码体制还是公钥密码体制。如何在网络协议中增加鉴别机制对通信双方的身份进行鉴别。防火墙算法设计。知识工程和专家系统在防火墙安全策略研究中的应用。如何减少对网络性能的影响。设计开放的与硬件平台和软件平台无关的防火墙产品等等。
**推荐阅读**：
为您提供各类、期刊发表、论文投稿、等服务，协助作者制定方案,中国期刊网推荐的所有刊物均为国家新闻出版总署批准的正规期刊，如果您有论文发表方面的需求，可以联系我们，我们将竭诚为您服务！
投稿邮箱：
热线电话：
上一篇: 下一篇:
Copyright &
(www.qikan58.com)版权所有 [] []
论文发表服务热线： 论文发表投诉电话：& 建议及客服QQ：&&Email：
论文发表电话：&
国家信息产业部备案号：
论文发表免责声明：本网所提供的信息资源如有侵权、违规，请及时告知！没有更多推荐了，
不良信息举报
举报内容：
国内外信息安全研究现状及发展趋势[转载自Wendy]另外一篇：Dengguo Feng国内外信息安全研究现状及发展趋势
举报原因：
原文地址：
原因补充：
最多只允许输入30个字
加入CSDN，享受更精准的内容推荐，与500万程序员共同成长！