个人防火墙的工作原理是基于什么_个人防火墙的工作方式是什么

个人防火墙的工作原理是基于什么_个人防火墙的工作方式是什么

       在接下来的时间里，我将为大家提供一些关于个人防火墙的工作原理是基于什么的信息，并尽力回答大家的问题。让我们开始探讨一下个人防火墙的工作原理是基于什么的话题吧。

1.个人用户所使用的防火墙产品主要是以什么存在

2.防火墙的基本工作原理是什么

3.防火墙的工作原理?

4.硬件防火墙的基本原理及内部构造

5.防火墙基本技术

6.防火墙技术有哪些？

个人用户所使用的防火墙产品主要是以什么存在

软件形式。

       防火墙技术是通过有机结合各类用于安全管理与筛选的软件和硬件设备，帮助计算机网络于其内、外网之间构建一道相对隔绝的保护屏障，以保护用户资料与信息安全性的一种技术。防火墙技术的功能主要在于及时发现并处理计算机网络运行时可能存在的安全风险、数据传输等问题，其中处理措施包括隔离与保护，同时可对计算机网络安全当中的各项操作实施记录与检测，以确保计算机网络运行的安全性，保障用户资料与信息的完整性，为用户提供更好、更安全的计算机网络使用体验。

防火墙的基本工作原理是什么

       它可通过监测、限制、更改跨越防火墙的数据流，尽可能地对外部屏蔽网络内部的信息、结构和运行状况，

       以此来实现网络的安全保护。

       在逻辑上，防火墙是一个分离器，一个限制器，也是一个分析器，有效地监控了内部网和Internet之间的任何活动，

       保证了内部网络的安全。

       2.使用Firewall的益处

       保护脆弱的服务

       通过过滤不安全的服务，Firewall可以极大地提高网络安全和减少子网中主机的风险。例如，

       Firewall可以禁止NIS、NFS服务通过，Firewall同时可以拒绝源路由和ICMP重定向封包。

       控制对系统的访问

       Firewall可以提供对系统的访问控制。如允许从外部访问某些主机，同时禁止访问另外的主机。例如，

       Firewall允许外部访问特定的Mail

       Server和Web

       Server。

       集中的安全管理

       Firewall对企业内部网实现集中的安全管理，在Firewall定义的安全规则可以运行于整个内部网络系统，

       而无须在内部网每台机器上分别设立安全策略。Firewall可以定义不同的认证方法，

       而不需要在每台机器上分别安装特定的认证软件。外部用户也只需要经过一次认证即可访问内部网。

       增强的保密性

       使用Firewall可以阻止攻击者获取攻击网络系统的有用信息，如Figer和DNS。

       记录和统计网络利用数据以及非法使用数据

       Firewall可以记录和统计通过Firewall的网络通讯，提供关于网络使用的统计数据，并且，Firewall可以提供统计数据，

       来判断可能的攻击和探测。

       策略执行Firewall提供了制定和执行网络安全策略的手段。未设置Firewall时，网络安全取决于每台主机的用户。

       3.防火墙的种类

       防火墙总体上分为包过滤、应用级网关和代理服务器等几大类型。

       数

       据

       包

       过

       滤

       数据包过滤(Packet

       Filtering)技术是在网络层对数据包进行选择，选择的依据是系统内设置的过滤逻辑，

       被称为访问控制表(Access

       Control

       Table)。通过检查数据流中每个数据包的源地址、目的地址、所用的端口号、

       协议状态等因素，或它们的组合来确定是否允许该数据包通过。

       数据包过滤防火墙逻辑简单，价格便宜，易于安装和使用，

       网络性能和透明性好，它通常安装在路由器上。路由器是内部网络与Internet连接必不可少的设备，

       因此在原有网络上增加这样的防火墙几乎不需要任何额外的费用。

       数据包过滤防火墙的缺点有二：一是非法访问一旦突破防火墙，即可对主机上的软件和配置漏洞进行攻击;

       二是数据包的源地址、目的地址以及IP的端口号都在数据包的头部，很有可能被窃听或假冒。

       应

       用

       级

       网

       关

       应用级网关(Application

       Level

       Gateways)是在网络应用层上建立协议过滤和转发功能。

       它针对特定的网络应用服务协议使用指定的数据过滤逻辑，并在过滤的同时，对数据包进行必要的分析、

       登记和统计，形成报告。实际中的应用网关通常安装在专用工作站系统上。

       数据包过滤和应用网关防火墙有一个共同的特点，就是它们仅仅依靠特定的逻辑判定是否允许数据包通过。

       一旦满足逻辑，则防火墙内外的计算机系统建立直接联系，

       防火墙外部的用户便有可能直接了解防火墙内部的网络结构和运行状态，这有利于实施非法访问和攻击。

       代理服务(Proxy

       Service)也称链路级网关或TCP通道(Circuit

       Level

       Gateways

       or

       TCP

       Tunnels)，

       也有人将它归于应用级网关一类。它是针对数据包过滤和应用网关技术存在的缺点而引入的防火墙技术，

       其特点是将所有跨越防火墙的网络通信链路分为两段。防火墙内外计算机系统间应用层的

       链接，

       由两个终止代理服务器上的

       链接来实现，外部计算机的网络链路只能到达代理服务器，

       从而起到了隔离防火墙内外计算机系统的作用。

防火墙的工作原理?

       防火墙定义

       防火墙就是一个位于计算机和它所连接的网络之间的软件。该计算机流入流出的所有网络通信均要经过此防火墙。

       防火墙的功能

       防火墙对流经它的网络通信进行扫描，这样能够过滤掉一些攻击，以免其在目标计算机上被执行。防火墙还可以关闭不使用的端口。而且它还能禁止特定端口的流出通信，封锁特洛伊木马。最后，它可以禁止来自特殊站点的访问，从而防止来自不明入侵者的所有通信。

       为什么使用防火墙

       防火墙具有很好的保护作用。入侵者必须首先穿越防火墙的安全防线，才能接触目标计算机。你可以将防火墙配置成许多不同保护级别。高级别的保护可能会禁止一些服务，如视频流等，但至少这是你自己的保护选择。

       防火墙的类型

       防火墙有不同类型。一个防火墙可以是硬件自身的一部分，你可以将因特网连接和计算机都插入其中。防火墙也可以在一个独立的机器上运行，该机器作为它背后网络中所有计算机的代理和防火墙。最后，直接连在因特网的机器可以使用个人防火墙。

硬件防火墙的基本原理及内部构造

       分类: 电脑/网络 >> 反病毒

        问题描述:

        防火墙可以防病毒吗？还是会降低感染病毒的机率呢？

        最好可以把工作原理说的通俗一些。

        解析:

        防火墙主要用语对付黑客用的。可以降低中毒几率。要杀毒还得靠杀毒软件

        防火墙能增强机构内部网络的安全性。防火墙系统决定了哪些内部服务可以被外界访问；外界的哪些人可以访问内部的服务以及哪些外部服务可以被内部人员访问。防火墙必须只允许授权的数据通过，而且防火墙本身也必须能够免于渗透。

       防火墙的五大功能

        一般来说，防火墙具有以下几种功能：

        1．允许网络管理员定义一个中心点来防止非法用户进入内部网络。

        2．可以很方便地监视网络的安全性，并报警。

        3．可以作为部署NAT（Neork Address Translation，网络地址变换）的地点，利用NAT技术，将有限的IP地址动态或静态地与内部的IP地址对应起来，用来缓解地址空间短缺的问题。

        4．是审计和记录Inter使用费用的一个最佳地点。网络管理员可以在此向管理部门提供Inter连接的费用情况，查出潜在的带宽瓶颈位置，并能够依据本机构的核算模式提供部门级的计费。

防火墙基本技术

       防火墙就是一种过滤塞（目前你这么理解不算错），你可以让你喜欢的东西通过这个塞子，别的玩意都统统过滤掉。在网络的世界里，要由防火墙过滤的就是承载通信数据的通信包。

       天下的防火墙至少都会说两个词：Yes或者No。直接说就是接受或者拒绝。最简单的防火墙是以太网桥。但几乎没有人会认为这种原始防火墙能管多大用。大多数防火墙采用的技术和标准可谓五花八门。这些防火墙的形式多种多样：有的取代系统上已经装备的TCP/IP协议栈；有的在已有的协议栈上建立自己的软件模块；有的干脆就是独立的一套操作系统。还有一些应用型的防火墙只对特定类型的网络连接提供保护（比如SMTP或者HTTP协议等）。还有一些基于硬件的防火墙产品其实应该归入安全路由器一类。以上的产品都可以叫做防火墙，因为他们的工作方式都是一样的：分析出入防火墙的数据包，决定放行还是把他们扔到一边。

       所有的防火墙都具有IP地址过滤功能。这项任务要检查IP包头，根据其IP源地址和目标地址作出放行/丢弃决定。看看下面这张图，两个网段之间隔了一个防火墙，防火墙的一端有台UNIX计算机，另一边的网段则摆了台PC客户机。

       当PC客户机向UNIX计算机发起telnet请求时，PC的telnet客户程序就产生一个TCP包并把它传给本地的协议栈准备发送。接下来，协议栈将这个TCP包“塞”到一个IP包里，然后通过PC机的TCP/IP栈所定义的路径将它发送给UNIX计算机。在这个例子里，这个IP包必须经过横在PC和UNIX计算机中的防火墙才能到达UNIX计算机。

       现在我们“命令”（用专业术语来说就是配制）防火墙把所有发给UNIX计算机的数据包都给拒了，完成这项工作以后，“心肠”比较好的防火墙还会通知客户程序一声呢！既然发向目标的IP数据没法转发，那么只有和UNIX计算机同在一个网段的用户才能访问UNIX计算机了。

       还有一种情况，你可以命令防火墙专给那台可怜的PC机找茬，别人的数据包都让过就它不行。这正是防火墙最基本的功能：根据IP地址做转发判断。但要上了大场面这种小伎俩就玩不转了，由于黑客们可以采用IP地址欺骗技术，伪装成合法地址的计算机就可以穿越信任这个地址的防火墙了。不过根据地址的转发决策机制还是最基本和必需的。另外要注意的一点是，不要用DNS主机名建立过滤表，对DNS的伪造比IP地址欺骗要容易多了。

       服务器TCP/UDP 端口过滤

       仅仅依靠地址进行数据过滤在实际运用中是不可行的，还有个原因就是目标主机上往往运行着多种通信服务，比方说，我们不想让用户采用 telnet的方式连到系统，但这绝不等于我们非得同时禁止他们使用SMTP/POP邮件服务器吧？所以说，在地址之外我们还要对服务器的TCP/ UDP端口进行过滤。

       比如，默认的telnet服务连接端口号是23。假如我们不许PC客户机建立对UNIX计算机（在这时我们当它是服务器）的telnet连接，那么我们只需命令防火墙检查发送目标是UNIX服务器的数据包，把其中具有23目标端口号的包过滤就行了。这样，我们把IP地址和目标服务器TCP/UDP端口结合起来不就可以作为过滤标准来实现相当可靠的防火墙了吗？不，没这么简单。

       客户机也有TCP/UDP端口

       TCP/IP是一种端对端协议，每个网络节点都具有唯一的地址。网络节点的应用层也是这样，处于应用层的每个应用程序和服务都具有自己的对应“地址”，也就是端口号。地址和端口都具备了才能建立客户机和服务器的各种应用之间的有效通信联系。比如，telnet服务器在端口23侦听入站连接。同时telnet客户机也有一个端口号，否则客户机的IP栈怎么知道某个数据包是属于哪个应用程序的呢？

       由于历史的原因，几乎所有的TCP/IP客户程序都使用大于1023的随机分配端口号。只有UNIX计算机上的root用户才可以访问1024以下的端口，而这些端口还保留为服务器上的服务所用。所以，除非我们让所有具有大于1023端口号的数据包进入网络，否则各种网络连接都没法正常工作。

       这对防火墙而言可就麻烦了，如果阻塞入站的全部端口，那么所有的客户机都没法使用网络资源。因为服务器发出响应外部连接请求的入站（就是进入防火墙的意思）数据包都没法经过防火墙的入站过滤。反过来，打开所有高于1023的端口就可行了吗？也不尽然。由于很多服务使用的端口都大于1023，比如X client、基于RPC的NFS服务以及为数众多的非UNIX IP产品等（NetWare/IP）就是这样的。那么让达到1023端口标准的数据包都进入网络的话网络还能说是安全的吗？连这些客户程序都不敢说自己是足够安全的。

       双向过滤

       OK，咱们换个思路。我们给防火墙这样下命令：已知服务的数据包可以进来，其他的全部挡在防火墙之外。比如，如果你知道用户要访问Web服务器，那就只让具有源端口号80的数据包进入网络：

       不过新问题又出现了。首先，你怎么知道你要访问的服务器具有哪些正在运行的端口号呢？ 象HTTP这样的服务器本来就是可以任意配置的，所采用的端口也可以随意配置。如果你这样设置防火墙，你就没法访问哪些没采用标准端口号的的网络站点了！反过来，你也没法保证进入网络的数据包中具有端口号80的就一定来自Web服务器。有些黑客就是利用这一点制作自己的入侵工具，并让其运行在本机的80端口！

       检查ACK位

       源地址我们不相信，源端口也信不得了，这个不得不与黑客共舞的疯狂世界上还有什么值得我们信任呢？还好，事情还没到走投无路的地步。对策还是有的，不过这个办法只能用于TCP协议。

       TCP是一种可靠的通信协议，“可靠”这个词意味着协议具有包括纠错机制在内的一些特殊性质。为了实现其可靠性，每个TCP连接都要先经过一个“握手”过程来交换连接参数。还有，每个发送出去的包在后续的其他包被发送出去之前必须获得一个确认响应。但并不是对每个TCP包都非要采用专门的ACK包来响应，实际上仅仅在TCP包头上设置一个专门的位就可以完成这个功能了。所以，只要产生了响应包就要设置ACK位。连接会话的第一个包不用于确认，所以它就没有设置ACK位，后续会话交换的TCP包就要设置ACK位了。

       举个例子，PC向远端的Web服务器发起一个连接，它生成一个没有设置ACK位的连接请求包。当服务器响应该请求时，服务器就发回一个设置了ACK位的数据包，同时在包里标记从客户机所收到的字节数。然后客户机就用自己的响应包再响应该数据包，这个数据包也设置了ACK位并标记了从服务器收到的字节数。通过监视ACK位，我们就可以将进入网络的数据限制在响应包的范围之内。于是，远程系统根本无法发起TCP连接但却能响应收到的数据包了。

       这套机制还不能算是无懈可击，简单地举个例子，假设我们有台内部Web服务器，那么端口80就不得不被打开以便外部请求可以进入网络。还有，对UDP包而言就没法监视ACK位了，因为UDP包压根就没有ACK位。还有一些TCP应用程序，比如FTP，连接就必须由这些服务器程序自己发起。

       FTP带来的困难

       一般的Internet服务对所有的通信都只使用一对端口号，FTP程序在连接期间则使用两对端口号。第一对端口号用于FTP的“命令通道”提供登录和执行命令的通信链路，而另一对端口号则用于FTP的“数据通道”提供客户机和服务器之间的文件传送。

       在通常的FTP会话过程中，客户机首先向服务器的端口21（命令通道）发送一个TCP连接请求，然后执行LOGIN、DIR等各种命令。一旦用户请求服务器发送数据，FTP服务器就用其20端口 (数据通道)向客户的数据端口发起连接。问题来了，如果服务器向客户机发起传送数据的连接，那么它就会发送没有设置ACK位的数据包，防火墙则按照刚才的规则拒绝该数据包同时也就意味着数据传送没戏了。通常只有高级的、也就是够聪明的防火墙才能看出客户机刚才告诉服务器的端口，然后才许可对该端口的入站连接。

       UDP端口过滤

       好了，现在我们回过头来看看怎么解决UDP问题。刚才说了，UDP包没有ACK位所以不能进行ACK位过滤。UDP 是发出去不管的“不可靠”通信，这种类型的服务通常用于广播、路由、多媒体等广播形式的通信任务。NFS、DNS、WINS、NetBIOS-over-TCP/IP和 NetWare/IP都使用UDP。

       看来最简单的可行办法就是不允许建立入站UDP连接。防火墙设置为只许转发来自内部接口的UDP包，来自外部接口的UDP包则不转发。现在的问题是，比方说，DNS名称解析请求就使用UDP，如果你提供DNS服务，至少得允许一些内部请求穿越防火墙。还有IRC这样的客户程序也使用UDP，如果要让你的用户使用它，就同样要让他们的UDP包进入网络。我们能做的就是对那些从本地到可信任站点之间的连接进行限制。但是，什么叫可信任！如果黑客采取地址欺骗的方法不又回到老路上去了吗？

       有些新型路由器可以通过“记忆”出站UDP包来解决这个问题：如果入站UDP包匹配最近出站UDP包的目标地址和端口号就让它进来。如果在内存中找不到匹配的UDP包就只好拒绝它了！但是，我们如何确信产生数据包的外部主机就是内部客户机希望通信的服务器呢？如果黑客诈称DNS服务器的地址，那么他在理论上当然可以从附着DNS的UDP端口发起攻击。只要你允许DNS查询和反馈包进入网络这个问题就必然存在。办法是采用代理服务器。

       所谓代理服务器，顾名思义就是代表你的网络和外界打交道的服务器。代理服务器不允许存在任何网络内外的直接连接。它本身就提供公共和专用的DNS、邮件服务器等多种功能。代理服务器重写数据包而不是简单地将其转发了事。给人的感觉就是网络内部的主机都站在了网络的边缘，但实际上他们都躲在代理的后面，露面的不过是代理这个假面具。

       小结

       IP地址可能是假的，这是由于IP协议的源路有机制所带来的，这种机制告诉路由器不要为数据包采用正常的路径，而是按照包头内的路径传送数据包。于是黑客就可以使用系统的IP地址获得返回的数据包。有些高级防火墙可以让用户禁止源路由。通常我们的网络都通过一条路径连接ISP，然后再进入Internet。这时禁用源路由就会迫使数据包必须沿着正常的路径返回。

       还有，我们需要了解防火墙在拒绝数据包的时候还做了哪些其他工作。比如，防火墙是否向连接发起系统发回了“主机不可到达”的ICMP消息？或者防火墙真没再做其他事？这些问题都可能存在安全隐患。ICMP“主机不可达”消息会告诉黑客“防火墙专门阻塞了某些端口”，黑客立即就可以从这个消息中闻到一点什么气味。如果ICMP“主机不可达”是通信中发生的错误，那么老实的系统可能就真的什么也不发送了。反过来，什么响应都没有却会使发起通信的系统不断地尝试建立连接直到应用程序或者协议栈超时，结果最终用户只能得到一个错误信息。当然这种方式会让黑客无法判断某端口到底是关闭了还是没有使用。

       ...防火墙分为软件防火墙和硬件防火墙两种。软件防火墙是安装在pc平台的软件产品，它通过在操作系统底层工作来实现网络管理和防御功能的优化。但对国内市场上的硬件防火墙产品介绍仔细研读后，记者发现，对于硬件防火墙的定义，厂商们似乎仍莫衷一是。大多数厂商对产品的介绍，往往用大量的篇幅向消费者灌输产品的防护功能，而关于防火墙的实际配置，则基本没有提及。

       查阅国内外大量资料后，发现硬件防火墙一般有着这样的核心要求：它的硬件和软件都需要单独设计，有专用网络芯片来处理数据包；同时，采用专门的操作系统平台，从而避免通用操作系统的安全性漏洞。对软硬件的特殊要求，使硬件防火墙的实际带宽与理论值基本一致，有着高吞吐量、安全与速度兼顾的优点。

       而国内市场的硬件防火墙，大部分都是所谓的“软硬件结合的防火墙”，采用的是定制机箱+x86硬件架构+防火墙软件模块(大多数是基于unix类系统下开发的)，而且是pc box结构。这种防火墙的核心技术实际上仍然是软件，吞吐量不高，容易造成带宽瓶颈。并且pc架构本身就不稳定，更不可能长时间运行。

防火墙技术有哪些？

       防火墙的基本技术

        防火墙是在对网络的服务功能和拓扑结构详细分析的基础上，在被保护对象周围通过的专用软件、硬件以及

       管理措施的综合，对跨越网络边界的信息进行监测、控制甚至修改的设施。目前使用的防火墙技术主要有包过滤

       和代理服务技术等，用这些技术可以分别做成具有不同功能的防火墙部件。

       ⒈包过滤技术

        包过滤(Packet Filtering)技术就是在网络的适当位置对数据包进行审查，审查的依据是系统内设置的过滤

       逻辑——访问控制表(Access Control table)。包过滤器逐一审查每份数据包并判断它是否与包过滤规则相匹配。

       过滤规则以顺行处理数据包头信息为基础，即通过对IP包头和TCP包头或UDP包头的检查而实现。包过滤工作在网

       络层，故也称网络防火墙。

        在Internet技术中还使用内容过滤技术，担任内容过滤的软件有“黑名单”软件、“白名单”软件和内容选

       择平台(Platform for Internet Content Selection，PICS)。

        “黑名单”软件是第一代Internet内容过滤软件，其工作原理是封锁住不应检索的网址。其中最有名的是(Cyber

       NOT，它记录了大约7000个网址。“白名单”软件是第二代Internet内容过滤软件，其工作原理是先封锁全部网址，

       然后只开放应检索的网址。

        PICS是由麻省理工学院计算机科学实验室的Jim Miller教授开发的第三代Internet内容过滤软件。它的主要工

       作是对每一个网页的内容进行分类，并根据内容加上标签，同时由计算机软件对网页的标签进行检测，以限制对特

       定内容网页的检索。

        数据包过滤防火墙网络逻辑简单、性能和透明性好，一般安装在路由器上。路由器是内部网络与Internet连接

       的必要设备是一种天然的防火墙，它可以决定对到来的数据包是否进行转发。这种防火墙实现方式相当简捷，效率

       较高，在应用环境比较简单的情况下，能够以较小的代价在一定程度上保证系统的安全。

        包过滤技术是一种完全基于网络层的安全技术，只能根据数据包的来源、目标和端口等网络信息进行判断，无

       法识别基于应用层的恶意侵入，如恶意的Java小程序以及电子邮件中附带的病毒。有经验的黑客很容易伪造IP地址，

       骗过包过滤型防火墙，一旦突破防火墙，即可对主机上的软件和配置漏洞进行攻击。进一步说，由于数据包的源地址、

       目标地址以及IP的端口号都在数据包的头部，很有可能被窃听或假冒；并且它缺乏用户日志(Log)和审计 (Audit)信

       息，不具备登录和报告性能，不能进行审核管理，因而过滤规则的完整性难以验证，所以安全性较差。

       ⒉代理服务技术

       ⑴代理服务概述

        代理服务器(Proxy Server)是位于两个网络(如Internet和Intranet)之间的一种常见服务器，如果把网络防火墙

       比做门卫，代理服务器就好比是接待室。门卫只根据证件决定来访者是否可以进入，而接待室在内部人员与来访者之

       间真正隔起一道屏障，它位于客户机与服务器之间，完全阻挡了二者间的数据交流。其特别之处就在于它的双重角色，

       从客户机来看，它相当于一台真正的服务器；而从服务器来看，它又是一台真正的客户机。当客户机需要使用服务

       器上的数据时，首先将数据请求发给代理服务器，代理服务器再根据这一请求向服务器索取数据，然后再由代理服务

       器将数据传输给客户机。由于外部系统与内部服务器之间没有直接的数据通道，外部的恶意侵害也就很难伤害到企

       业内部网络系统。

       代理服务技术可以运用于应用层，也可以运用于传输层。运用于应用层的代理服务与过滤路由器组合的防火墙，

       被称为应用层网关，它们是面对不同的应用的。运用于传输层的代理服务防火墙，实际上是TCP/UDP连接中继服务。

       ⑵代理服务器的工作原理

       图8-9所示表明了代理服务器(应用网关)的工作原理。

       ①代理服务器运行后，它的核心部件——应用代理程序启动，并开始监听某个应用端口(这个应用端口是由安全管

       理员设定的)；

       ②外部客户需要访问内部服务器时，发送请求到对应的应用端口；

       ③代理服务器将请求转发给内部服务器；

       ④服务器的应答也通过代理服务器发给外部客户。

        一旦应用代理程序与服务器之间的连接建立，也就在客户与服务器之间建立了一个虚连接，这个虚连接是由两

       条虚连接(客户端到代理服务器的客户连接和代理服务器到服务器的服务器连接)和代理服务器(应用代理程序)的

       中转实现。

       图8-9代理服务器工作原理

       ⑶应用代理程序

        应用代理程序是代理服务器的核心部件。对于应用网关来说，应用代理程序是根据不同的应用协议进行设计的，

       根据所代理的应用协议，应用网关可以分为FTP网关、Telnet网关、Web网关等，它们各有对应的应用代理程序。

       ⑷代理服务器的功能

       ①中转数据。

       ②对传输的数据进行预处理常见的有地址过滤、关键字过滤和协议过滤。

       ③对中转数据提供详细的日志和审计。

       ④节省IP地址。使用网络地址转换服务(Network Address Translation，NAT)，可以屏蔽内部网络的IP地址，使所

       有用户对外只用一个IP地址，但这也给黑客留下了隐藏自己真实的IP地址，而逃避监视的隐患。

       ⑤节省网络资源。代理服务常常设置一个较大的硬盘存储空间，用于存放通过的信息，当内部用户再访问相同的信

       息时，就可以直接从缓冲区中读取。

        代理服务的隔离作用强，具有对过往的数据包进行分析监控、注册登记、过滤、记录和报告等功能，可以针对

       应用层进行侦测和扫描，当发现被攻击迹象时会向网络管理员发出警报，并能保留攻击痕迹，因此，具有比包过滤

       更强的防火墙功能。它的缺点是必须针对客户机可能产生的所有应用类型逐一进行设置，大大增加了系统管理的复

       杂性。

       ⒊堡垒主机

        运行防火墙软件(例如运行应用代理程序)的主机称为堡垒主机。堡垒主机是防火墙最关键的部件，也是入侵者

       最关注的部件，因此它必须健壮，必须不容易被攻破。

       从实现原理上分，防火墙的技术包括四大类：网络级防火墙、应用级网关、电路级网关和规则检查防火墙。

       1、网络级防火墙

       一般是基于源地址和目的地址、应用、协议以及每个IP包的端口来作出通过与否的判断。防火墙检查每一条规则直至发现包中的信息与某规则相符。

       如果没有一条规则能符合，防火墙就会使用默认规则，一般情况下，默认规则就是要求防火墙丢弃该包。通过定义基于TCP或UDP数据包的端口号，防火墙能够判断是否允许建立特定的连接，如Telnet、FTP连接。

       2、应用级网关

       应用级网关能够检查进出的数据包，通过网关复制传递数据，防止在受信任服务器和客户机与不受信任的主机间直接建立联系。应用级网关能够理解应用层上的协议，能够做复杂一些的访问控制，并做精细的注册和稽核。

       它针对特别的网络应用服务协议即数据过滤协议，并且能够对数据包分析并形成相关的报告。应用网关对某些易于登录和控制所有输出输入的通信的环境给予严格的控制，以防有价值的程序和数据被窃取。?

       3、电路级网关

       电路级网关用来监控受信任的客户或服务器与不受信任的主机间的TCP握手信息,这样来决定该会话是否合法，电路级网关是在OSI模型中会话层上来过滤数据包，这样比包过滤防火墙要高二层。

       电路级网关代理服务器功能，代理服务器是设置在Internet防火墙网关的专用应用级代码。这种代理服务准许网管员允许或拒绝特定的应用程序或一个应用的特定功能。包过滤技术和应用网关是通过特定的逻辑判断来决定是否允许特定的数据包通过，成功地实现了防火墙内外计算机系统的隔离。

       4、规则检查防火墙

       该防火墙结合了包过滤防火墙、电路级网关和应用级网关的特点。能够在OSI网络层上通过IP地址和端口号，过滤进出的数据包，也能够检查SYN和ACK标记和序列数字是否逻辑有序。当然它也象应用级网关一样，可以在OSI应用层上检查数据包的内容，查看这些内容是否能符合企业网络的安全规则。

       规则检查防火墙虽然集成前三者的特点，但是不同于一个应用级网关的是，它并不打破客户机/服务器模式来分析应用层的数据，它允许受信任的客户机和不受信任的主机建立直接连接。规则检查防火墙不依靠与应用层有关的代理，而是依靠某种算法来识别进出的应用层数据。

扩展资料

       应用防火墙技术考虑以下方面：

       1、防火墙是不能防病毒的。

       2、防火墙技术的另外一个弱点在于数据在防火墙之间的更新是一个难题，如果延迟太大将无法支持实时服务请求。

       防火墙采用滤波技术，滤波通常使网络的性能降低50%以上，如果为了改善网络性能而购置高速路由器，又会大大提高经济预算。

       防火墙是企业网安全问题的常用方案，即把公共数据和服务置于防火墙外，使其对防火墙内部资源的访问受到限制。作为一种网络安全技术，防火墙具有简单实用的特点，并且透明度高，可以在不修改原有网络应用系统的情况下达到一定的安全要求。

       百度百科—防水墙技术

       好了，今天关于“个人防火墙的工作原理是基于什么”的话题就讲到这里了。希望大家能够对“个人防火墙的工作原理是基于什么”有更深入的认识，并且从我的回答中得到一些帮助。