1.防火墙的概念
网络防火墙技术是—种用来加强网络之间访问控制,防止外部网络用户以非法手段通过外部网络进入内部网络，访问内部网络资源,保护内互联设备.它对两个或的安全策略来实施检查，以决定网络之间的通信是否被允许，并监视网络运行状态。设立防火墙的主要目的是保护—个网络不受来自另一个网络的攻击。防火墙相当于—个控流器，可用来监视或拒绝应用层的通信业务，防火墙也可以在网络层和传输层运行,在这种情况下，防火墙检查进人和离去的报文分组的IP和TCP头部,根据预先设计的报文分组过滤规则来拒绝或允许报文分组通过。
防火墙是一种保护计算机网络安全的技术性措施，所谓“防火墙”，是指一种将内部网和公众访问网(如Internet）分开的方法，它实际上是一种隔离技术。防火墙是在两个网络通讯时执行的一种访问控制尺度，它能允许你“同意"的人和数据进入你的网络,同时将你“不同意”的人和数据拒之门外，最大限度地阻止网络中的黑客来访问你的网络，防止他们更改、拷贝、毁坏你的重要信息。
2.防火墙的分类
a)按防火墙的软硬件形式来分
1)软件防火墙
软件防火墙运行于特定的计算机上，它需要客户预先安装好的计算机操作系统的支持，一般来说这台计算机就是整个网络的网关。俗称“个人防火墙”.
2)硬件防火墙
这里说的硬件防火墙是指“所谓的硬件防火墙".之所以加上"所谓"二字是针对芯片级防火墙说的了。它们最大的差别在于是否基于专用的硬件平台。目前市场上大多数防火墙都是这种所谓的硬件防火墙,它们都基于PC架构，就是说，它们和普通的家庭用的PC没有太大区别。
3)芯片级防火墙
芯片级防火墙基于专门的硬件平台,没有操作系统。专有的ASIC芯片促使它们比其他种类的防火墙速度更快，处理能力更强,性能更高。
b)按防火墙的处理机制来分
1)包过滤型
包过滤型防火墙工作在OSI网络参考模型的网络层和传输层，它根据数据包头源地址，目的地址、端口号和协议类型等标志确定是否允许通过。只有满足过滤条件的数据包才被转发到相应的目的地，其余数据包则被从数据流中丢弃.
2)应用代理型
应用代理型防火墙是工作在OSI的最高层，即应用层。其特点是完全"阻隔”了网络通信流，通过对每种应用服务编制专门的代理程序，实现监视和控制应用层通信流的作用。
3)状态检测型
状态检测型直接对分组里的数据进行处理，并且结合前后分组的数据进行综合判断,然后决定是否允许该数据包通过。
c)按防火墙的结构来分
1)单一主机防火墙
单一主机防火墙是最为传统的防火墙，独立于其它网络设备，它位于网络边界.
2)路由器集成式防火墙
3)分布式防火墙
d)按防火墙的应用部署位置来分
1)边界防火墙
边界防火墙是最为传统的那种,它们于内、外部网络的边界，所起的作用的对内、外部网络实施隔离,保护边界内部网络.这类防火墙一般都是硬件类型的，价格较贵，性能较好.
2)个人防火墙
个人防火墙安装于单台主机中,防护的也只是单台主机.这类防火墙应用于广大的个人用户，通常为软件防火墙,价格最便宜，性能也最差.
3)混合式防火墙
混合式防火墙可以说就是“分布式防火墙”或者“嵌入式防火墙”，它是一整套防火墙系统,由若干个软、硬件组件组成,分布于内、外部网络边界和内部各主机之间，既对内、外部网络之间通信进行过滤，又对网络内部各主机间的通信进行过滤.它属于最新的防火墙技术之一，性能最好，价格也最贵。
3.防火墙的功能
a)限制他人进入内部网络，过滤掉不安全服务和非法用户；
b)防止入侵者接近防御设施；
c)限制访问特殊站点；
d)为监视网络安全和预警提供方便；
e)防止资源被滥用。
4.防火墙系统的构建
a)创建步骤
创建成功的防火墙系统一般需要6步：制订安全计划、构建安全体系、制订规则程序、落实规则集、注意更换控制、做好审计工作。
b)应遵循的原则
在构建过程中，应遵循以下两个原则：
1)未经说明许可的就是拒绝
防火墙阻塞所有流经的信息，每一个服务请求或应用的实现都建立在逐项审查的基础上.这是一个值得推荐的方法，它将创建一个非常安全的环境。当然，该理念的不足在于，过于强调安全，而减弱了可用性，限制了用户可以申请的服务的数量。
2)未说明拒绝的均为许可的
约定防火墙总是传递所有的信息，此方式认定每一个潜在的危害总是可以基于逐项审查而被杜绝的。当然，该理念的不足在于，它将可用性置于比安全性更为重要的地位,增加了保证企业网安全性的难度。
c)防火墙的体系架构
目前，成熟的体系构架有X86架构，它采用通用CPU和PCI总线接口，具有很高的灵活性和可扩展性，过去一直是防火墙开发的主要平台.而对于一些对网络安全有一定要求的中小企业来说，选择NP防火墙是最佳的选择。NP技术通过专门的指令集和配套的软件开发系统,提供强大的编程能力，因而便于开发应用。如果你受到的网络攻击太过复杂,那么使用基于ASIC的防火墙是你的最佳选择.ASIC将指令或计算逻辑固化到芯片中，获得了很高的处理能力，因而明显提升了防火墙的性能。
5.防火墙的特点
a)特性
1)所有的通信都经过防火墙；
2)防火墙只放行经过授权的网络流量；
3)防火墙能经受的住对其本身的攻击。
b)优点
1)防火墙可以通过执行访问控制策略而保护整个网络的安全，并且可以将通信约束在一个可管理和可靠性高的范围之内；
2)防火墙可以用于限制对某些特殊服务的访问；
3)防火墙功能单一，不需要在安全性，可用性和功能上做取舍；
4)防火墙有审记和报警功能，有足够的日志空间和记录功能，可以延长安全响应的周期.
c)弱点
1)不能防御已经授权的访问，以及存在于网络内部系统间的攻击；
2)不能防御合法用户恶意的攻击.以及社交攻击等非预期的威胁；
3)不能修复脆弱的管理措施和存在问题的安全策略；
4)不能防御不经过防火墙的攻击和威胁.
6.防火墙的入侵检测
a)入侵检测系统的概念 
入侵检测系统IDS（Intrusion Detection System）指的是一种硬件或者软件系统，该系统对系统资源的非授权使用能够做出及时的判断、记录和报警。 
b)入侵检测系统面临的挑战
一个有效的入侵检测系统应限制误报出现的次数，但同时又能有效截击。误报是指被入侵检测系统测报警的是正常及合法使用受保护网络和计算机的访问。误报是入侵检测系统最头疼的问题，攻击者可以而且往往是利用包的结构伪造无威胁的“正常”假警报,而诱导没有警觉性的管理员人把入侵检测系统关掉。
c)误报
没有一个入侵检测能无敌于误报,因为没有一个应用系统不会发生错误，原因主要有四个方面：
1)缺乏共享数据的机制；
2)缺乏集中协调的机制；
3)缺乏揣摩数据在一段时间内变化的能力；
4)缺乏有效的跟踪分析.
d)入侵检测系统的类型和性能比较 
根据入侵检测的信息来源不同,可以将入侵检测系统分为两类：基于主机的入侵检测系统和基于网络的入侵检测系统。
1)基于主机的入侵检测系统
主要用于保护运行关键应用的服务器。它通过监视与分析土机的审计记录和日志文件：来检测入侵。日志中包含发生在系统上的不寻常和不期望活动的证据，这些证据可以指出有人正在入侵或已成功入侵了系统。通过查看日志文件，能够发现成功的入侵或入侵企图，并很快地启动相应的应急响应程序。
2)基于网络的入侵检测系统
主要用于实时监控网络关键路径的信息，它监听网络上的所有分组来采集数据，分析可疑现象.
e)入侵检测的方法 
1)目前入侵检测方法有三种分类依据：
i.根据物理位置进行分类；
ii.根据建模方法进行分类；
iii.根据时间分析进行分类。
2)常用的方法有三种： 
i.静态配置分析 
静态配置分析通过检查系统的配置，诸如系统文件的内容,来检查系统是否已经或者可能会遭到破坏。静态是指检查系统的静态特征(比如,系统配置信息）。
采用静态分析方法主要有以下几方面的原因：入侵者对系统攻击时可能会留下痕迹，可通过检查系统的状态检测出来。
ii.异常性检测方法
异常性检测技术是一种在不需要操作系统及其安全性缺陷的专门知识的情况下，就可以检测入侵者的方法,同时它也是检测冒充合法用户的入侵者的有效方法.但是。在许多环境中，为用户建立正常行为模式的特征轮廓以及对用户活动的异常性进行报警的门限值的确定都是比较困难的事。因为并不是所有入侵者的行为都能够产生明显的异常性,所以在入侵检测系统中，仅使用异常性检测技术不可能检测出所有的入侵行为。而且，有经验的入侵者还可以通过缓慢地改变他的行为，来改变入侵检测系统中的用户正常行为模式，使其入侵行为逐步变为合法，这样就可以避开使用异常性检测技术的入侵检测系统的检测。
iii.基于行为的检测方法 
基于行为的检测方法通过检测用户行为中的那些与某些已知的入侵行为模式类似的行为或那些利用系统中缺陷或者是间接地违背系统安全规则的行为,来检测系统中的入侵活动。
基于入侵行为的入侵检测技术的优势：如果检测器的入侵特征模式库中包含一个已知入侵行为的特征模式,就可以保证系统在受到这种入侵行为攻击时能够把它检测出来。但是,目前主要是从已知的入侵行为以及已知的系统缺陷来提取入侵行为的特征模式，加入到检测器入侵行为特征模式库中，来避免系统以后再遭受同样的入侵攻击.
7.防火墙的安全措施
一个有效的安全体系,至少由防护、检测、响应3部分组成.这三者之间要实现基于时间的简单关系：P>D+R(式中：P代表防护手段所需支持的时问，D代表入侵检测手段发现入侵行为所需的时间，尺代表事件响应设施产生效力所需的时间）。从这个关系式可以知道：如果在入侵者尚未突破防护设施的防御时检测系统就发现了这一入侵企图，且响应设施随即进行了有效的处理。这样，尽管保护不能百分之百地有效,但只要检测快速、响应及时，整个安全系统作为一个整体，仍是有可能实现有效防御的。
防护是防火墙一类防御手段,检测是入侵检测手段，响应是网络系统对检测手段所发现的入侵企图所做出的反应.这就是说，IDS与防火墙有效互动就可以实现一个较为有效的安全防护体系,克服了传统信息安全技术的弊端，解决原先防火墙的粗颗粒防御和检测系统只能发现、难以响应的问题.所以，把IDS与防火墙结合起来、互动运行，防火墙便可通过IDS及时发现其策略之外的攻击行为，也可以通过防火墙对来自外部网络的攻击行为进行阻断。这样就可以大大提高整体防护性能,并解决上述问题。
目前实现入侵检测系统和防火墙之间的互动一般有两种方式:一种方式是实现紧密结合，把入侵检测系统嵌入到防火墙中,即入侵检测系统的数据不再来源于数据包,而是流经防火墙的数据流。所有通过的数据包不仅要接受防火墙的检测规则的验证，还要被判断是否是有攻击性，以达到真正的实时阻断.这样，实际上是把两个产品合成到一起.但是，由于入侵检测系统本身也是一个很庞大的系统，所以无论从实施难度上，还是合成后的整体性能上，都会受很大的影响。第二种方式是通过开发接口来实现互动，即防火墙或者入侵检测系统开放一个接口供对方使用，双方按照固定的协议进行通信,完成网络安全事件的传输。这种方式比较灵活,不影响防火墙和入侵检测系统的性能。
防火墙技术与入侵检测系统结合互动的使用是将两个系统各自的功能展现在新的系统中,入侵检测安全技术的实时、快速、自适应的特点成为防火墙技术的有效补充,防火墙技术的包过滤、信任检查、访问控制成为入侵检测系统的有力保障。事实证明，这样的组合比以前单一的技术有了较大的提高，使网络的防御安全能力大大提高,从而使防御系统成为一道更加坚固的围墙.