防火墙技术

2024年4月3日发(作者：)

防火墙技术

随着网络安全问题日益严重，网络安全技术和产品也被人们逐渐重视起来，

防火墙 作为最早出现的网络安全技术和使用量最大的网络安全产品，受到用户

和研发机构的亲睐。

1、防火墙的基本概念与作用

防火墙是指设置在不同网络或网络安全域之间的一系列部件的组合，它执行

预先制 定的访问控制策略，决定了网络外部与网络内部的访问方式。 在网络中，

防火墙实际是一种隔离技术，它所执行的隔离措施有：

（1）拒绝未经授权的用户访问内部网和存取敏感数据。

（2）允许合法用户不受妨碍地访问网络资源。

而它的核心思想是在不安全的因特网环境中构造一个相对安全的子网环境，

其目的 是保护一个网络不受另一个网络的攻击，所以防火墙又有以下作用：

（1）作为网络安全的屏障。一个防火墙作为阻塞节点和控制节点能极大地提

高一个 内部网络的安全性，并通过过滤不安全的服务而降低风险，只有经过精

心选择的应用协 议才能通过防火墙，所以网络环境变得更安全。

（2）可以强化网络安全策略。通过以防火墙为中心的安全方案配置，能将所

有的安全软件配置在防火墙上，体现集中安全管理更经济。

（3）对网络存取和访问进行监控审计。如果所有的访问都经过防火墙，那么，

防火墙就能记录下这些访问并做出日志记录，同时也能提供网络使用情况的统计

数据，当发生可疑动作时，防火墙能进行适当的报警，并提供网络是否受到监测

和攻击的详细信息。

（4）防止内部信息的外泄。通过利用防火墙对内部网络的划分，可实现内部

网重点网段的隔离，从而限制了局部重点或敏感网络安全问题对全局网络造成的

影响。

（5）支持具有因特网服务性的企业内部网络技术体系VPN。

2、防火墙的工作原理

从防火墙的作用可以看出，防火墙必须具备两个要求：保障内部网安全和保

障内部 网和外部网的联通。因此在逻辑上防火墙是一个分离器、限制器、分析

器。

防火墙根据功能实现在 TCP/IP 网络模型中的层次，其实现原理可以分为三

类：在网络层实现防火墙功能为分组过滤技术；在应用层实现防火墙功能为代理

服务技术；在网络层，IP层，应用层三层实现防火墙为状态检测技术。

（1）分组过滤技术实际上是基于路由器技术，它通常由分组过滤路由器对

IP分组进行分组选择，允许或拒绝特定的IP数据包，工作于IP层。

（2）代理服务技术以一个高层的应用网关作为代理服务器，接受外来的应用

连接请求，在代理服务器上进行安全检查后，再与被保护的应用服务器连接，使

外部用户可以在受控制的前提下使用内部网络的服务，由于代理服务作用于应用

层，它能解释应用层上的协议，能够作复杂和更细粒度的访问控制；同时，由于

所有进出服务器的客户请求必须通过代理网关的检查，可以作出精细的注册和审

计记录，并且可以与认证、授权等安全手段方便地集成，为客户和服务提供更高

层次的安全保护。

（3）状态检测技术此技术工作在IP/TCP/应用层，它结合了分组过滤和代理

服务技术的特点，它同分组过滤一样，在应用层上检查数据包的内容，分析高层

的协议数据，查看内容是否符合网络安全策略。

联华中安

FW1000是目前业界性能较高的应用防火墙。无与伦比的高可用性、

高性能和高可靠性，使得应用防火墙可以放心规模部署于数据中心、大型园区网

等各种复杂场景；另外，功能丰富并可按需扩展的应用防火墙方案，也简化了网

络的安全架构，并大大降低了企业网络总体应用成本。

功能特性

1、丰富的业务扩展能力

2、领先的虚拟化能力

3、强大的网络适用性

4、电信级高可靠

性能参数

产品规格 LHZA-FW1000（千兆）

工作模式 支持路由模式、透明模式、混合模式

支持Smurf 、land、tear drop、fraggle、ping death、iP spoofing、

winnuke、syn flood、icmp flood、ARP欺骗攻击防范；

安全特性

支持邮件过滤、URL过滤、内容过滤

支持攻击实时告警 、黑名单、地址绑定、流量告警功能；

支持安全事件统计和邮件告警功能

VPN功能 支持IPSec VPN、L2TP VPN、GRE VPN、SSL VPN

地址转换 支持NAT地址转换

网络协议

支持静态路由、策略路由、R1PV1/2、OSPF、BGP,支持DHCP Relay

Server/clien 支持组播协议

可以使用独立的日志服务器，容量无限制；

日志报表

支持自动定时设备；

内置数百种报表，可图形化的查询、审计、统计、检索内网用户的各种网

络行为日志

高可靠性 双击状态热备、VRRP、双链路备份

设备管理 支持WEB图形、SSH和串口Console，并支持网管平台集中管理