防火墙技术

都是一个功能的，你让我怎么评价！除非是2个牌子的防火墙比到还行！

目前防火墙产品非常之多，划分的标准也比较杂。主要分类如下：1.从软、硬件形式上分为软件防火墙和硬件防火墙以及芯片级防火墙。2.从防火墙技术分为“包过滤型”和“应用代理型”两大类。3.从防火墙结构分为<单一主机防火墙、路由器集成式防火墙和分布式防火墙三种。4.按防火墙的应用部署位置分为边界防火墙、个人防火墙和混合防火墙三大类。5.按防火墙性能分为百兆级防火墙和千兆级防火墙两类。

防火墙是一种访问控制技术，它用于加强两个或多个网络间的边界防卫能力。其工作原理如下：在公共网络和专用网络之间设立一道隔离墙，在此检查是否允许进出专用网络的信息通过，或是否允许用户的服务请求，从而阻止对信息资源的非法访问和非授权用户的进人。这是一种被动型防卫技术。建立防火墙时要求网络具有明确的边界和服务类型，这样才能够隔离内外网络，达到防护目的。 防火墙并不仅仅指用来提供一个网络安全保障的主机、路由器或多机系统。应该说，防火墙是保障安全的手段，它有助于建立一个网络安全协议，并通过网络配置、主机系统、路由器以及诸如身份认证等手段来实现该安全协议。防火墙系统的主机目标是控制入、出一个网络的权限，它迫使所有的连接都通过防火墙，以便接受检查。一个防火墙系统可以是一个路由器、一台主机或主机群，建立它们是为了防止一个需要保护的子网免受子网之外因素的干扰、破坏。防火墙一般是建立在高层的网关-比如站点通向Internet的连接上。但是，为了保护一个子网或部分主机群，也可以在子网边界设置防火墙。

优点：1.网络流量性能最好。2.与网络通信协议无关，可支持所有的通信协议。缺点：1.直接连接的危险性高，将使内部网络暴露在外部网络上。2.无法掌握连接的状态。3.只可以确认通信端口号，但无法识别是何种通信协议。4.访问控制条件难以设定。5.无法检查应用程序的状态。6.是一种叫不安全的方法。

对于防火墙的发展历史，基于功能划分，可分为如下五个阶段：20世纪80年代，最早的防火墙几乎与路由器同时出现，第一代防火墙主要基于包过滤（Packetfilter）技术，是依附于路由器的包过滤功能实现的防火墙；随着网络安全重要性和性能要求的提高，防火墙渐渐发展为一个独立结构的、有专门功能的设备。到1989年，贝尔实验室的DavePresotto和HowardTrickey最早推出了第二代防火墙，即电路层防火墙；到20世纪90年代初，开始推出第三代防火墙，即应用层防火墙（或者叫做代理防火墙）；到1992年，USC信息科学院的BobBraden开发出了基于动态包过滤（Dynamicpacketfilter）技术的，后来演变为目前所说的状态监视（Statefulinspection）技术。1994年，市面上出现了第四代防火墙，即以色列的CheckPoint公司推出的基于这种技术的商业化产品；到了1998年，NAI公司推出了一种自适应代理（Adaptiveproxy）技术，并在其产品GauntletFirewallforNT中得以实现，给代理类型的防火墙赋予了全新的意义，可以称之为第五代防火墙。基于实现方式划分，可分为如下四个阶段：uf097第一代防火墙：基于路由器的防火墙，由于多数路由器中本身就包含有分组过滤功能，故网络访问控制可通过路由控制来实现，从而使具有分组过滤功能的路由器成为第一代防火墙产品。uf097第二代防火墙：用户化的防火墙，将过滤功能从路由器中独立出来，并加上审计和告警功能。针对用户需求，提供模块化的软件包，是纯软件产品。uf097第三代防火墙：建立在通用操作系统上的防火墙，近年来在市场上广泛使用的就是这一代产品。包括分组过滤和代理功能。第三代防火墙有以纯软件实现的，也有以硬件方式实现的。uf097第四代防火墙：具有安全操作系统的防火墙：具有安全操作系统的防火墙本身就是一个操作系统，因而在安全性上得到提高。

对于防火墙的发展历史，基于功能划分，可分为如下五个阶段：20世纪80年代，最早的防火墙几乎与路由器同时出现，第一代防火墙主要基于包过滤（Packet filter）技术，是依附于路由器的包过滤功能实现的防火墙；随着网络安全重要性和性能要求的提高，防火墙渐渐发展为一个独立结构的、有专门功能的设备。到1989年，贝尔实验室的Dave Presotto和Howard Trickey最早推出了第二代防火墙，即电路层防火墙；到20世纪90年代初，开始推出第三代防火墙，即应用层防火墙（或者叫做代理防火墙）；到1992年，USC信息科学院的BobBraden开发出了基于动态包过滤（Dynamic packet filter）技术的，后来演变为目前所说的状态监视（Stateful inspection）技术。1994年，市面上出现了第四代防火墙，即以色列的CheckPoint公司推出的基于这种技术的商业化产品；到了1998年，NAI公司推出了一种自适应代理（Adaptive proxy）技术，并在其产品Gauntlet Firewall for NT中得以实现，给代理类型的防火墙赋予了全新的意义，可以称之为第五代防火墙。基于实现方式划分，可分为如下四个阶段：uf097 第一代防火墙：基于路由器的防火墙，由于多数路由器中本身就包含有分组过滤功能，故网络访问控制可通过路由控制来实现，从而使具有分组过滤功能的路由器成为第一代防火墙产品。 uf097 第二代防火墙：用户化的防火墙，将过滤功能从路由器中独立出来，并加上审计和告警功能。针对用户需求，提供模块化的软件包，是纯软件产品。 uf097 第三代防火墙：建立在通用操作系统上的防火墙，近年来在市场上广泛使用的就是这一代产品。包括分组过滤和代理功能。第三代防火墙有以纯软件实现的，也有以硬件方式实现的。 uf097 第四代防火墙：具有安全操作系统的防火墙：具有安全操作系统的防火墙本身就是一个操作系统，因而在安全性上得到提高。

计算机数据安全层次。第一层次：计算机网络安全；第二层次：计算机数据安全。防火墙技术属于计算机信息安全技术计算机数据安全层次。

防火墙是一种能够保护电脑网络安全的技术性措施，它可以通过网络边界上建立相对应的网络通信监控系统来隔离内部和外部的网络，避免网络入侵伤害。防火墙技术是一种被动式安全模式。防火墙是一种能够保护电脑网络安全的技术性措施，它可以通过网络边界上建立相对应的网络通信监控系统来隔离内部和外部的网络，避免网络入侵伤害。防火墙（Firewall），也称防护墙，是由Check Point创立者Gil Shwed于1993年发明并引入国际互联网（US5606668（A）1993-12-15）。它是一种位于内部网络与外部网络之间的网络安全系统。一项信息安全的防护系统，依照特定的规则，允许或是限制传输的数据通过。所谓防火墙指的是一个由软件和硬件设备组合而成、在内部网和外部网之间、专用网与公共网之间的界面上构造的保护屏障.是一种获取安全性方法的形象说法，它是一种计算机硬件和软件的结合，使Internet与Intranet之间建立起一个安全网关（Security Gateway），从而保护内部网免受非法用户的侵入，防火墙主要由服务访问规则、验证工具、包过滤和应用网关4个部分组成，防火墙就是一个位于计算机和它所连接的网络之间的软件或硬件。该计算机流入流出的所有网络通信和数据包均要经过此防火墙。

　　防火墙技术工作原理：　　在网络中，所谓“防火墙”，是指一种将内部网和公众访问网(如Internet)分开的方法，它实际上是一种隔离技术。防火墙是在两个网络通讯时执行的一种访问控制尺度，它能允许你“同意”的人和数据进入你的网络，同时将你“不同意”的人和数据拒之门外，最大限度地阻止网络中的黑客来访问你的网络。换句话说，如果不通过防火墙，公司内部的人就无法访问Internet，Internet上的人也无法和公司内部的人进行通信。　　防火墙（FireWall）成为新兴的保护计算机网络安全技术性措施。它是一种隔离控制技术，在某个机构的网络和不安全的网络（如Internet）之间设置屏障，阻止对信息资源的非法访问，也可以使用防火墙阻止重要信息从企业的网络上被非法输出。作为Internet网的安全性保护软件，FireWall已经得到广泛的应用。通常企业为了维护内部的信息系统安全，在企业网和Internet间设立FireWall软件。企业信息系统对于来自Internet的访问，采取有选择的接收方式。它可以允许或禁止一类具体的IP地址访问，也可以接收或拒绝TCP/IP上的某一类具体的应用。如果在某一台IP主机上有需要禁止的信息或危险的用户，则可以通过设置使用FireWall过滤掉从该主机发出的包。如果一个企业只是使用Internet的电子邮件和WWW服务器向外部提供信息，那么就可以在FireWall上设置使得只有这两类应用的数据包可以通过。这对于路由器来说，就要不仅分析IP层的信息，而且还要进一步了解TCP传输层甚至应用层的信息以进行取舍。FireWall一般安装在路由器防火墙上以保护一个子网，也可以安装在一台主机上，保护这台主机不受侵犯。

对于防火墙的发展历史，基于功能划分，可分为如下五个阶段： 20世纪80年代，最早的防火墙几乎与路由器同时出现，第一代防火墙主要基于包过滤（Packet filter）技术，是依附于路由器的包过滤功能实现的防火墙；随着网络安全重要性和性能要求的提高，防火墙渐渐发展为一个独立结构的、有专门功能的设备。 到1989年，贝尔实验室的Dave Presotto和Howard Trickey最早推出了第二代防火墙，即电路层防火墙；到20世纪90年代初，开始推出第三代防火墙，即应用层防火墙（或者叫做代理防火墙）；到1992年，USC信息科学院的BobBraden开发出了基于动态包过滤（Dynamic packet filter）技术的，后来演变为目前所说的状态监视（Stateful inspection）技术。 1994年，市面上出现了第四代防火墙，即以色列的CheckPoint公司推出的基于这种技术的商业化产品；到了1998年，NAI公司推出了一种自适应代理（Adaptive proxy）技术，并在其产品Gauntlet Firewall for NT中得以实现，给代理类型的防火墙赋予了全新的意义，可以称之为第五代防火墙。 基于实现方式划分，可分为如下四个阶段： uf097 第一代防火墙：基于路由器的防火墙，由于多数路由器中本身就包含有分组过滤功能，故网络访问控制可通过路由控制来实现，从而使具有分组过滤功能的路由器成为第一代防火墙产品。 uf097 第二代防火墙：用户化的防火墙，将过滤功能从路由器中独立出来，并加上审计和告警功能。针对用户需求，提供模块化的软件包，是纯软件产品。 uf097 第三代防火墙：建立在通用操作系统上的防火墙，近年来在市场上广泛使用的就是这一代产品。包括分组过滤和代理功能。第三代防火墙有以纯软件实现的，也有以硬件方式实现的。 uf097 第四代防火墙：具有安全操作系统的防火墙：具有安全操作系统的防火墙本身就是一个操作系统，因而在安全性上得到提高。

装瑞星啊！瑞星杀毒很垃圾！！但是防火墙绝对是最牛逼的

1、先进的防火墙产品将网关与安全系统合二为一，具有以下技术与功能。 2、双端口或三端口的结构。新一代防火墙产品具有两个或三个独立的网卡，内外两个网卡可不作IP转化而串接于内部网与外部网之间，另一个网卡可专用于对服务器的安全保护。 3、透明的访问方式。以前的防火墙在访问方式上要么要求用户作系统登录，要么需要通过SOCKS等库路径修改客户机的应用。新一代防火墙利用了透明的代理系统技术，从而降低了系统登录固有的安全风险和出错概率。 4、灵活的代理系统。代理系统是一种将信息从防火墙的一侧传送到另一侧的软件模块。新一代防火墙采用了两种代理机制，一种用于代理从内部网络到外部网络的连接，另一种用于代理从外部网络到内部网络的连接。前者采用网络地址转换（NAT）技术来解决，后者采用非保密的用户定制代理或保密的代理系统技术来解决。 5、多级的过滤技术。为保证系统的安全性和防护水平，新一代防火墙采用了三级过滤措施，并辅以鉴别手段。在 分组过滤一级，能过滤掉所有的源路由分组和假冒的IP源地址；在应用级网关一级，能利用FTP、SMTP等各种网关，控制和监测Internet提供的所用通用服务；在电路网关一级，实现内部主机与外部站点的透明连接，并对服务的通行实行严格控制。 6、网络地址转换技术（NAT）。新一代防火墙利用NAT技术能透明地对所有内部地址作转换，使外部网络无法了解内部网络的内部结构，同时允许内部网络使用自己定制的IP地址和专用网络，防火墙能详尽记录每一个主机的通信，确保每个分组送往正确的地址。 7、同时使用NAT的网络，与外部网络的连接只能由内部网络发起，极大地提高了内部网络的安全性。 NAT的另一个显而易见的用途是解决IP地址匮乏问题。 8、Internet网关技术。由于是直接串连在网络之中，新一代防火墙必须支持用户在Internet互连的所有服务，同时还要防止与Internet服务有关的安全漏洞。故它要能以多种安全的应用服务器（包括FTP、 Finger、mail、Ident、News、WWW等）来实现网关功能。为确保服务器的安全性，对所有的文件和命令均要利用改变根系统调用（chroot）作物理上的隔离。 9、在域名服务方面，新一代防火墙采用两种独立的域名服务器，一种是内部DNS服务器，主要处理内部网络的DNS信息，另一种是外部DNS服务器，专门用于处理机构内部向Internet提供的部份DNS信息。 10、在匿名FTP方面，服务器只提供对有限的受保护的部份目录的只读访问。在WWW服务器中，只支持静态的网页，而不允许图形或CGI代码等在防火墙内运行，在Finger服务器中，对外部访问，防火墙只提供可由内部用户配置的基本的文本信息，而不提供任何与攻击有关的系统信息。SMTP与POP邮件服务器要对所有进、出防火墙的邮件作处理，并利用邮件映射与标头剥除的方法隐除内部的邮件环境，Ident服务器对用户连接的识别作专门处理，网络新闻服务则为接收来自ISP的新闻开设了专门的磁盘空间。

防火墙技术是一种被动式安全模型。防火墙是一种能够保护电脑网络安全的技术性措施，可以通过网络边界上建立相对应的网络通信监控系统来隔离内部和外部的网络，避免网络入侵伤害。防火墙（Firewall），也称防护墙，是由CheckPoint创立者GilShwed于1993年发明并引入国际互联网（US5606668（A）1993-12-15）。它是一种位于内部网络与外部网络之间的网络安全系统。一项信息安全的防护系统，依照特定的规则，允许或是限制传输的数据通过。所谓防火墙指的是一个由软件和硬件设备组合而成、在内部网和外部网之间、专用网与公共网之间的界面上构造的保护屏障。是一种获取安全性方法的形象说法，它是一种计算机硬件和软件的结合，使Internet与Intranet之间建立起一个安全网关（SecurityGateway），从而保护内部网免受非法用户的侵入，防火墙主要由服务访问规则、验证工具、包过滤和应用网关4个部分组成，防火墙就是一个位于计算机和它所连接的网络之间的软件或硬件。该计算机流入流出的所有网络通信和数据包均要经过此防火墙。

防火墙技术是一种主动式的安全模式。所谓防火墙指的是一个有软件和硬件设备组合而成、在内部网和外部网之间、专用网与公共网之间的界面上构造的保护屏障。防火墙是一种保护计算机网络安全的技术性措施，它通过在网络边界上建立相应的网络通信监控系统来隔离内部和外部网络，以阻挡来自外部的网络入侵。防火墙技术，最初是针对 Internet 网络不安全因素所采取的一种保护措施。顾名思义，防火墙就是用来阻挡外部不安全因素影响的内部网络屏障，其目的就是防止外部网络用户未经授权的访问。它是一种计算机硬件和软件的结合，使Internet与Internet之间建立起一个安全网关（Security Gateway），从而保护内部网免受非法用户的侵入，防火墙主要由服务访问政策、验证工具、包过滤和应用网关4个部分组成，防火墙就是一个位于计算机和它所连接的网络之间的软件或硬件（其中硬件防火墙用的很少只有国防部等地才用，因为它价格昂贵）。该计算机流入流出的所有网络通信均要经过此防火墙。

它可通过监测、限制、更改跨越防火墙的数据流，尽可能地对外部屏蔽网络内部的信息、结构和运行状况， 以此来实现网络的安全保护。在逻辑上，防火墙是一个分离器，一个限制器，也是一个分析器，有效地监控了内部网和Internet之间的任何活动， 保证了内部网络的安全。2.使用Firewall的益处保护脆弱的服务通过过滤不安全的服务，Firewall可以极大地提高网络安全和减少子网中主机的风险。例如， Firewall可以禁止NIS、NFS服务通过，Firewall同时可以拒绝源路由和ICMP重定向封包。控制对系统的访问Firewall可以提供对系统的访问控制。如允许从外部访问某些主机，同时禁止访问另外的主机。例如， Firewall允许外部访问特定的Mail Server和Web Server。集中的安全管理Firewall对企业内部网实现集中的安全管理，在Firewall定义的安全规则可以运行于整个内部网络系统， 而无须在内部网每台机器上分别设立安全策略。Firewall可以定义不同的认证方法， 而不需要在每台机器上分别安装特定的认证软件。外部用户也只需要经过一次认证即可访问内部网。增强的保密性使用Firewall可以阻止攻击者获取攻击网络系统的有用信息，如Figer和DNS。记录和统计网络利用数据以及非法使用数据Firewall可以记录和统计通过Firewall的网络通讯，提供关于网络使用的统计数据，并且，Firewall可以提供统计数据， 来判断可能的攻击和探测。策略执行Firewall提供了制定和执行网络安全策略的手段。未设置Firewall时，网络安全取决于每台主机的用户。3.防火墙的种类防火墙总体上分为包过滤、应用级网关和代理服务器等几大类型。数 据 包 过 滤数据包过滤(Packet Filtering)技术是在网络层对数据包进行选择，选择的依据是系统内设置的过滤逻辑， 被称为访问控制表(Access Control Table)。通过检查数据流中每个数据包的源地址、目的地址、所用的端口号、 协议状态等因素，或它们的组合来确定是否允许该数据包通过。 数据包过滤防火墙逻辑简单，价格便宜，易于安装和使用， 网络性能和透明性好，它通常安装在路由器上。路由器是内部网络与Internet连接必不可少的设备， 因此在原有网络上增加这样的防火墙几乎不需要任何额外的费用。数据包过滤防火墙的缺点有二：一是非法访问一旦突破防火墙，即可对主机上的软件和配置漏洞进行攻击; 二是数据包的源地址、目的地址以及IP的端口号都在数据包的头部，很有可能被窃听或假冒。应 用 级 网 关应用级网关(Application Level Gateways)是在网络应用层上建立协议过滤和转发功能。 它针对特定的网络应用服务协议使用指定的数据过滤逻辑，并在过滤的同时，对数据包进行必要的分析、 登记和统计，形成报告。实际中的应用网关通常安装在专用工作站系统上。数据包过滤和应用网关防火墙有一个共同的特点，就是它们仅仅依靠特定的逻辑判定是否允许数据包通过。 一旦满足逻辑，则防火墙内外的计算机系统建立直接联系， 防火墙外部的用户便有可能直接了解防火墙内部的网络结构和运行状态，这有利于实施非法访问和攻击。代理服务(Proxy Service)也称链路级网关或TCP通道(Circuit Level Gateways or TCP Tunnels)， 也有人将它归于应用级网关一类。它是针对数据包过滤和应用网关技术存在的缺点而引入的防火墙技术， 其特点是将所有跨越防火墙的网络通信链路分为两段。防火墙内外计算机系统间应用层的 链接， 由两个终止代理服务器上的 链接来实现，外部计算机的网络链路只能到达代理服务器， 从而起到了隔离防火墙内外计算机系统的作用。

关于防火墙技术，说法正确的是（） A.防火墙技术都需要专门的硬件支持 B.防火墙的主要功能是预防网络病毒的攻击 C.防火墙不可能防住所有的网络攻击(正确答案) D.防火墙只能预防外网对内网的攻击

防火墙技术可根据防范的方式和侧重点的不同而分为很多种类型，但总体来讲可分为二大类：分组过滤、应用代理!----分组过滤（Packet filtering）：作用在网络层和传输层，它根据分组包头源地址，目的地址和端口号、协议类型等标志确定是否允许数据包通过。只有满足过滤逻辑的数据包才被转发到相应的目的地出口端，其余数据包则被从数据流中丢弃。------应用代理型防火墙是内部网与外部网的隔离点，起着监视和隔绝应用层通信流的作 用。同时也常结合入过滤器的功能。它工作在OSI模型的最高层，掌握着应用系统中可用作安全决策的全部信息。---- --应用代理（Application Proxy）：也叫应用网关（Application Gateway）,它作用在应用层，其特点是完全阻隔了网络通信流，通过对每种应用服务编制专门的代理程序，实现监视和控制应用层通信流的作用。实际中的应用网关通常由专用工作站实现!---分组过滤的优点是不用改动客户机和主机上的应用程序，因为它工作在网络层和传输层，与应用层无关。但其弱点也是明显的：据以过滤判别的只有网络层和传输层的有限信息，因而各种安全要求不可能充分满足；在许多过滤器中，过滤规则的数目是有限制的，且随着规则数目的增加，性能会受到很大地影响；由于缺少上下文关联信息，不能有效地过滤如UDP、RPC一类的协议；另外，大多数过滤器中缺少审计和报警机制，且管理方式和用户界面较差；对安全管理人员素质要求高，建立安全规则时，必须对协议本身及其在不同应用程序中的作用有较深入的理解。因此，过滤器通常是和应用网关配合使用，共同组成防火墙系统.

防火墙是一种访问控制技术，它用于加强两个或多个网络间的边界防卫能力。其工作原理如下：在公共网络和专用网络之间设立一道隔离墙，在此检查是否允许进出专用网络的信息通过，或是否允许用户的服务请求，从而阻止对信息资源的非法访问和非授权用户的进人。这是一种被动型防卫技术。建立防火墙时要求网络具有明确的边界和服务类型，这样才能够隔离内外网络，达到防护目的。 防火墙并不仅仅指用来提供一个网络安全保障的主机、路由器或多机系统。应该说，防火墙是保障安全的手段，它有助于建立一个网络安全协议，并通过网络配置、主机系统、路由器以及诸如身份认证等手段来实现该安全协议。防火墙系统的主机目标是控制入、出一个网络的权限，它迫使所有的连接都通过防火墙，以便接受检查。一个防火墙系统可以是一个路由器、一台主机或主机群，建立它们是为了防止一个需要保护的子网免受子网之外因素的干扰、破坏。防火墙一般是建立在高层的网关-比如站点通向Internet的连接上。但是，为了保护一个子网或部分主机群，也可以在子网边界设置防火墙。

　　防火墙技术工作原理：　　在网络中，所谓“防火墙”，是指一种将内部网和公众访问网(如Internet)分开的方法，它实际上是一种隔离技术。防火墙是在两个网络通讯时执行的一种访问控制尺度，它能允许你“同意”的人和数据进入你的网络，同时将你“不同意”的人和数据拒之门外，最大限度地阻止网络中的黑客来访问你的网络。换句话说，如果不通过防火墙，公司内部的人就无法访问Internet，Internet上的人也无法和公司内部的人进行通信。　　防火墙（FireWall）成为新兴的保护计算机网络安全技术性措施。它是一种隔离控制技术，在某个机构的网络和不安全的网络（如Internet）之间设置屏障，阻止对信息资源的非法访问，也可以使用防火墙阻止重要信息从企业的网络上被非法输出。作为Internet网的安全性保护软件，FireWall已经得到广泛的应用。通常企业为了维护内部的信息系统安全，在企业网和Internet间设立FireWall软件。企业信息系统对于来自Internet的访问，采取有选择的接收方式。它可以允许或禁止一类具体的IP地址访问，也可以接收或拒绝TCP/IP上的某一类具体的应用。如果在某一台IP主机上有需要禁止的信息或危险的用户，则可以通过设置使用FireWall过滤掉从该主机发出的包。如果一个企业只是使用Internet的电子邮件和WWW服务器向外部提供信息，那么就可以在FireWall上设置使得只有这两类应用的数据包可以通过。这对于路由器来说，就要不仅分析IP层的信息，而且还要进一步了解TCP传输层甚至应用层的信息以进行取舍。FireWall一般安装在路由器防火墙上以保护一个子网，也可以安装在一台主机上，保护这台主机不受侵犯。

对于防火墙的发展历史，基于功能划分，可分为如下五个阶段：20世纪80年代，最早的防火墙几乎与路由器同时出现，第一代防火墙主要基于包过滤（Packetfilter）技术，是依附于路由器的包过滤功能实现的防火墙；随着网络安全重要性和性能要求的提高，防火墙渐渐发展为一个独立结构的、有专门功能的设备。到1989年，贝尔实验室的DavePresotto和HowardTrickey最早推出了第二代防火墙，即电路层防火墙；到20世纪90年代初，开始推出第三代防火墙，即应用层防火墙（或者叫做代理防火墙）；到1992年，USC信息科学院的BobBraden开发出了基于动态包过滤（Dynamicpacketfilter）技术的，后来演变为目前所说的状态监视（Statefulinspection）技术。1994年，市面上出现了第四代防火墙，即以色列的CheckPoint公司推出的基于这种技术的商业化产品；到了1998年，NAI公司推出了一种自适应代理（Adaptiveproxy）技术，并在其产品GauntletFirewallforNT中得以实现，给代理类型的防火墙赋予了全新的意义，可以称之为第五代防火墙。基于实现方式划分，可分为如下四个阶段：uf097第一代防火墙：基于路由器的防火墙，由于多数路由器中本身就包含有分组过滤功能，故网络访问控制可通过路由控制来实现，从而使具有分组过滤功能的路由器成为第一代防火墙产品。uf097第二代防火墙：用户化的防火墙，将过滤功能从路由器中独立出来，并加上审计和告警功能。针对用户需求，提供模块化的软件包，是纯软件产品。uf097第三代防火墙：建立在通用操作系统上的防火墙，近年来在市场上广泛使用的就是这一代产品。包括分组过滤和代理功能。第三代防火墙有以纯软件实现的，也有以硬件方式实现的。uf097第四代防火墙：具有安全操作系统的防火墙：具有安全操作系统的防火墙本身就是一个操作系统，因而在安全性上得到提高。

【答案】：B、C、D、E本题考查计算机网络知识。所谓防火墙指的是一个有软件和硬件设备组合而成、在内部网和外部网之间、专用网与公共网之间的边界上构造的保护屏障。防火墙是一种保护计算机网络安全的技术性措施，它通过在网络边界上建立相应的网络通信监控系统来隔离内部和外部网络，以阻挡来自外部的网络入侵。从实现原理上分，防火墙的技术包括四大类：网络级防火墙（也叫包过滤型防火墙）、应用级网关、电路级网关和规则检查防火墙。它们之间各有所长，具体使用哪一种或是否混合使用，要看具体需要。

如果从防火墙的软、硬件形式来分的话，防火墙可以分为软件防火墙和硬件防火墙以及芯片级防火墙。 第一种：软件防火墙 软件防火墙运行于特定的计算机上，它需要客户预先安装好的计算机操作系统的支持，一般来说这台计算机就是整个网络的网关。俗称“个人防火墙”。软件防火墙就像其它的软件产品一样需要先在计算机上安装并做好配置才可以使用。防火墙厂商中做网络版软件防火墙最出名的莫过于Checkpoint。使用这类防火墙，需要网管对所工作的操作系统平台比较熟悉。第二种：硬件防火墙 这里说的硬件防火墙是指“所谓的硬件防火墙”。之所以加上"所谓"二字是针对芯片级防火墙说的了。它们最大的差别在于是否基于专用的硬件平台。目前市场上大多数防火墙都是这种所谓的硬件防火墙，他们都基于PC架构，就是说，它们和普通的家庭用的PC没有太大区别。在这些PC架构计算机上运行一些经过裁剪和简化的操作系统，最常用的有老版本的Unix、Linux和FreeBSD系统。 值得注意的是，由于此类防火墙采用的依然是别人的内核，因此依然会受到OS（操作系统）本身的安全性影响。 传统硬件防火墙一般至少应具备三个端口，分别接内网，外网和DMZ区（非军事化区），现在一些新的硬件防火墙往往扩展了端口，常见四端口防火墙一般将第四个端口做为配置口、管理端口。很多防火墙还可以进一步扩展端口数目。第三种：芯片级防火墙 芯片级防火墙基于专门的硬件平台，没有操作系统。专有的ASIC芯片促使它们比其他种类的防火墙速度更快，处理能力更强，性能更高。做这类防火墙最出名的厂商有NetScreen、FortiNet、Cisco等。这类防火墙由于是专用OS（操作系统）,因此防火墙本身的漏洞比较少，不过价格相对比较高昂。防火墙技术虽然出现了许多，但总体来讲可分为“包过滤型”和“应用代理型”两大类。前者以以色列的Checkpoint防火墙和美国Cisco公司的PIX防火墙为代表，后者以美国NAI公司的Gauntlet防火墙为代表。

防火墙技术是一种被动式安全模型。防火墙是一种能够保护电脑网络安全的技术性措施，它可以通过网络边界上建立相对应的网络通信监控系统来隔离内部和外部的网络，避免网络入侵伤害。防火墙（Firewall），也称防护墙，是由Check Point创立者Gil Shwed于1993年发明并引入国际互联网（US5606668（A）1993-12-15）。它是一种位于内部网络与外部网络之间的网络安全系统。一项信息安全的防护系统，依照特定的规则，允许或是限制传输的数据通过。所谓防火墙指的是一个由软件和硬件设备组合而成、在内部网和外部网之间、专用网与公共网之间的界面上构造的保护屏障.是一种获取安全性方法的形象说法，它是一种计算机硬件和软件的结合，使Internet与Intranet之间建立起一个安全网关（Security Gateway），从而保护内部网免受非法用户的侵入，防火墙主要由服务访问规则、验证工具、包过滤和应用网关4个部分组成，防火墙就是一个位于计算机和它所连接的网络之间的软件或硬件。该计算机流入流出的所有网络通信和数据包均要经过此防火墙。

防火墙技术，最初是针对 Internet 网络不安全因素所采取的一种保护措施。顾名思义，防火墙就是用来阻挡外部不安全因素影响的内部网络屏障，其目的就是防止外部网络用户未经授权的访问。它是一种计算机硬件和软件的结合，使Internet与Internet之间建立起一个安全网关（Security Gateway），从而保护内部网免受非法用户的侵入，防火墙主要由服务访问政策、验证工具、包过滤和应用网关4个部分组成，防火墙就是一个位于计算机和它所连接的网络之间的软件或硬件(其中硬件防火墙用的很少只有国防部等地才用,因为它价格昂贵)。该计算机流入流出的所有网络通信均要经过此防火墙。防火墙有网络防火墙和计算机防火墙的提法。网络防火墙是指在外部网络和内部网络之间设置网络防火墙。这种防火墙又称筛选路由器。网络防火墙检测进入信息的协议、目的地址、端口（网络层）及被传输的信息形式（应用层）等，滤除不符合规定的外来信息。防火墙示意图见图8.14，网络防火墙也对用户网络向外部网络发出的信息进行检测。计算机防火墙是指在外部网络和用户计算机之间设置防火墙。计算机防火墙也可以是用户计算机的一部分。计算机防火墙检测接口规程、传输协议、目的地址及/或被传输的信息结构等，将不符合规定的进入信息剔除。计算机防火墙对用户计算机输出的信息进行检查，并加上相应协议层的标志，用以将信息传送到接收用户计算机（或网络）中去。使用防火墙的好处有：保护脆弱的服务，控制对系统的访问，集中地安全管理，增强保密性，记录和统计网络利用数据以及非法使用数据情况。防火墙的设计通常有两种基本设计策略：第一，允许任何服务除非被明确禁止；第二，禁止任何服务除非被明确允许。一般采用第二种策略。从技术角度来看，目前有两类防火墙，即标准防火墙和双穴网关。标准防火墙使用专门的软件，并要求比较高的管理水平，而且在信息传输上有一定的延迟。双穴网关是标准防火墙的扩充，也称应用层网关，它是一个单独的系统，但能够同时完成标准防火墙的所有功能。它的优点是能够运行比较复杂的应用，同时防止在互联网和内部系统之间建立任何直接的连接，可以确保数据包不能直接从外部网络到达内部网络。随着防火墙技术的进步，在双穴网关的基础上又演化出两种防火墙配置，一种是隐蔽主机网关，一种是隐蔽智能网关。目前，技术比较复杂而且安全级别较高的防火墙是隐蔽智能网关，它将网关隐藏在公共系统之后使其免遭直接攻击。隐蔽智能网关提供了对互联网服务进行几乎透明的访问，同时也阻止了外部未授权访问者对专用网络的非法访问。