導語：網絡防火墻安全建設論文一文來源于網友上傳，不代表本站觀點，若需要原創(chuàng)文章可咨詢客服老師，歡迎參考。

一、防火墻的主要技術手段

根據(jù)當今世界防火墻技術的發(fā)展歷史，防火墻的主要技術手段主要有“包過濾技術”、“應用技術”、“狀態(tài)監(jiān)測技術”三種，盡管由于安全防護的需要，產生出了其他安全防御技術，但其根本都由這三類技術進行演變綜合而來。

1、包過濾技術。當前我們網絡采用的是IPV4技術，因此網絡數(shù)據(jù)均是通過IP地址進行尋址傳送的，所以包過濾技術也就是通過檢測IP數(shù)據(jù)包目的地址和源地址是否合法的來對數(shù)據(jù)進行放行或者予以限制，那么這個“合法”通常是指管理員制定的一些網絡規(guī)則。其實思科和華為公司生產的交換機就提供了一些基本的包過濾功能，相當也就能實現(xiàn)一些簡單的網絡防護功能。

2、應用技術。此類技術也是針對當前網絡數(shù)據(jù)傳遞的一個特性發(fā)展而來的。我們都知道TCP/IP的第四層為運輸層，數(shù)據(jù)要進行可靠傳輸必須在該層建立可靠連接，所以應用技術就是通過防火墻將這個可靠連接分割成兩個連接，分別為防火墻到服務器和防火墻到客戶端的連接，所有數(shù)據(jù)傳遞均需通過防火墻進行檢測，然后再確定是否放行。這個連接的分割對數(shù)據(jù)而言是透明的，并不應影響數(shù)據(jù)的傳送。這種技術打破了傳統(tǒng)的客戶端/服務器的這種傳輸模式。

3、狀態(tài)監(jiān)測技術。由于網絡的攻擊的復雜性，那么單一的監(jiān)測方式往往并不能有效的解決網絡威脅，所以狀態(tài)監(jiān)測技術是以連接狀態(tài)為基準，將同一連接的所有數(shù)據(jù)包看成是一個完整的數(shù)據(jù)流，建立一個會話狀態(tài)表，對這個數(shù)據(jù)流的整個內容進行監(jiān)視和檢測，且以后同一類連接的數(shù)據(jù)傳送都必須以這個會話狀態(tài)表為參照標準，一旦發(fā)現(xiàn)不同于該狀態(tài)表的數(shù)據(jù)都將進行截留。因此狀態(tài)監(jiān)測技術其實是包過濾技術和應用技術的一種結合體，在防御強度上也遠高于前述兩種。

二、企業(yè)安全網絡的建設

我們當前常用的防火墻的種類和技術已經如上所述，企業(yè)可以根據(jù)自己的防御需求就軟件防火墻和硬件防火墻進行初步的選擇。對網絡安全要求不高，且企業(yè)計算機性能尚可的情況下，建議使用軟件防火墻，成本相對較低，且易于維護。如果公司網絡規(guī)模較大，安全要求較高，資金預算足夠且內建了相關數(shù)據(jù)服務器的情況下，此時建議在內外網的連接之間增加硬件防火墻，以加強網絡防護，避免網絡風險。通常硬件防火墻工作所在的OSI協(xié)議層越高價格相應的也就越貴，所以硬件防火墻采用的技術不同價格也就存在很大的差異，企業(yè)應當根據(jù)實際的防御需求采購合適的防火墻。

作者：楊文浩朱瑋單位：南昌大學軟件學院