量。优点可与公司安全政策更紧密结合，具备弹性化的架构。缺点多重方向的访问管理条件，可能造成管理上的负担，必须提供革命性的管理界面。通讯堆叠的技术由于防火墙主要的功能是在区隔保护网络通讯及连线管理，所以防火墙的安全级数及执行效率与防火墙所采用的通讯堆叠技术有著相当密切的关系，防火墙的通讯堆叠可检查到的资料多寡正关系著防火墙的安全级数及执行效率的七层通讯堆叠为例图基本上防火墙所采用的通讯堆叠技术愈在高层，所能检查到的通讯资料愈多，其安全级数也就愈高，然而其执行效率反而较差。反之如果火墙所采用的通讯堆叠技术愈在低层，所能检查到的通讯资料愈少，其安全级数也就愈低，然而其执行效率反而较佳。目前在市场上可以看到下列类型的防火墙技术，便是以其所采用的通讯堆叠而区分包过滤技术图运作方式在网络层可以检查的资料来源位址目的位址封包类型来源位址通讯埠号码目的位址通讯埠号码内部网络与外部网络间是直接通讯。防火墙根据进出防火墙的封包进行比对查验。状态检查技术图运作方式在资料连结层及网络层之间插入状态检查模组。由状态检查模组动态集各层的网络连线状态，并将连结状态存放在动态状态表中。在动态状态表中可以检查的资料来源位址目的位址封包类型网络服务通讯埠号码有限的的资料有限的的资料。优点比还要安全点。可掌握连线的状态及部份状态资讯。较佳的扩充性及延展性，未来支援新的网络协定时较简单。网络流量效能较还好。缺点直接连线危险性高，将使内部网络暴露在外部网络下。只检查到连线状态无法检查资料内容。对于无状态的通讯协定如及等，无法管制。除非相当了解网络通讯协定的状态特性，否则很难设定出无漏洞的检查语法。对于新的通讯协定需要以语言来设定。传输层网关技术运作方式在传输层检查资料。来源位址目的位址封包类型来源位址讯埠号码目的位址通讯埠号码可掌握网络连线状态资料。内部网络与外部网络间是透过防火墙转传。适当地识别所指定的通讯埠，这个通讯埠将保持开放直到连线中止。应用程序使用公认的通讯埠例如。优点可掌握连线的状态资讯。网络流量效能较还好。缺点信认所指定的通讯埠就是公认的服务或应用。无法监督交谈层的活动及无法侦测应用程序的动态。比封包流量慢。应用层网关技术图运作方式内部使用者无法直接连接到外部主机，扮演外部主机的代传角色。内部网络的设定被保护隐藏起来。是经过安全强化的程序。在应用层作业直接解译及回应应用程序不必理会通讯埠或者协定。完整察验应用层。优点设定访问控管条件较简单。可以完全澈底的检查所有连线资料。最安全的的防火墙安全。缺点对于新的通讯协定要较久的时间来设计专属的代理程序。网络十分缓慢。受现有技术的限制，目前还没有有效的对应用层进行高速检测的方法，也没有哪款芯片能做到这点。因此，防火墙不适宜于集成内容过滤防病毒和功能传输层以下的除外，这些检测对消耗小。对于，目前最常用的方式还是把网络上的流量镜像到设备中处理，这样可以避免流量较大时造成网络堵塞。此外，应用层漏洞很多，攻击特征库需要频繁升级，对于处在网络出口关键位置的防火墙，如此频繁地升级也是不现实的。防火墙的系统管理发展趋势集中式管理，分布式和分层的安全结构。强大的审计功能和自动日志分析功能。网络安全产品的系统化纵观防火墙技术的发展，黑客入侵系统技术的不断进步以及网络病毒朝智能化和多样化发展，对防火墙技术的同步发展提出了更高的要求。防火墙技术只有不断向主动型和智能型等方向发展，才能更好的满足人们对防火墙技术日益增长的需求。结束语在刘老师的指导下，使我对防火墙技术有了定的了解，并且认识到算机网络和计算机网络安全就像矛和盾，自计算机诞生之日起就彼消此长。随着的高速发展和应用，其安全越来越引起人们的关注如何保护企业和个人在网络上的敏感信息不受侵犯己成为当前摆在人们面前的个重大问题。防火墙技术作为种用来保护用户内部第道安全屏障，始终受到人们的关注和重视，并成为网络安全产品的首选。参考文献王艳浅析计算机安全电脑知识与技术，艾军防火墙体系结构及功能分析电脑知识与技术，高峰许南山防火墙包过滤规则问题的研究计算机应用，孟涛杨磊防火墙和安全审计计算机安全，郑林防火墙原理入门企业魏利华防火墙技术及其性能研究能源研究与信息，李剑，刘美华，曹元大分布式防火墙系统安全与环境学报，王卫平，陈文惠，朱卫未防火墙技术分析信息安全与通信保密，王永纲，石江涛，戴雪龙，颜天信网络包分类算法仿真测试与比较研究中国科学技术大学学报，邵华钢，杨明福基于空间分解技术的多维数据包分类计算机工程，付歌，杨明福个快速的二维数据包分类算法计算机工程，付歌，杨明福，王兴军基于空间分解的数据包分类技术计算机工程与应用韩晓非，王学光，杨明福位并行数据包分类算法研究华东理工大学学报，韩晓非，杨明福，王学光基于元组空间的位并行包分类算法计算机工程与应用，冯东雷，张勇，白英彩种高性能包分类渐增式更新算法计算机研究与发展，余胜生，张宁，周敬利，胡熠峰种用于大规模规则库的快速包分类算法计算机工程，致谢本文是在刘老师的悉心指导卜完成的，从文献的查阅论文的选题撰写修改定稿，我的每个进步都和刘老师的关注与指导密不可分。刘老师在研究方向资料的收集论文的选题研究工作作的开展以及论文的最终定稿，给子我巨大无私的帮助。论文的字里行间无不凝结着老师的悉心指导和浮淳教海，老师渊博的学识和严谨的治学态度给我留下了深刻的印象，我从他那里学到的不仅仅是专业知识，更重要的是严谨的治学态度对事业忘我的追求高度的使命感责任感及和蔼热情的品质和做人的道理，这些将使我受益生，并将激励我不断向前奋进。最后，向所有帮助和关心过我的老师和朋友，表示我真挚的感谢,量效能效差。第五章防火墙发展趋势不论从功能还是从性能来讲，防火墙产品的演进并不会放慢速度，反而产品的丰富程度和推出速度会不断的加快，这也反映了安全需求不断上升的种趋势，而相对于产品本身个方面的演进，更值得我们关注的还是平台体系结构的发展以及安全产品标准的发布，这些变化不仅仅关系到个环境的个产品的应用情况，更关系到信息安全领域的未来。针对传统防火墙不能解决的问题，及新的网络攻击的出现，防火墙技术也出现了新的发展趋势。主要可以从包过滤技术防火墙体系结构和防火墙系统管理三方面来体现。防火墙包过滤技术发展趋势安全策略功能些防火墙厂商把在系统上运用的用户认证及其服务扩展到防火墙中，使其拥有可以支持基于用户角色的安全策略功能。该功能在无线网络应用中非常必要。具有用户身份验证的防火墙通常是采用应用级网关技术的，包过滤技术的防火墙不具有。用户身份验证功能越强，它的安全级别越高，但它给网络通信带来的负面影响也越大，因为用户身份验证需要时间，特别是加密型的用户身份验证。多级过滤技术所谓多级过滤技术，是指防火墙采用多级过滤措施，并辅以鉴别手段。在分组过滤网络层级，过滤掉所有的源路由分组和假冒的源地址在传输层级，遵循过滤规则，过滤掉所有禁止出或和入的协议和有害数据包如包圣诞树包等在应用网关应用层级，能利用等各种网关，控制和监测提供的所用通用服务。这是针对以上各种已有防火墙技术的不足而产生的种综合型过滤技术，它可以弥补以上各种单独过滤技术的不足。功能扩展功能扩展是指种集成多种功能的设计趋势，包括等附加功能，甚至防病毒入侵检测这样的主流功能，都被集成到防火墙产品中了，很多时候我们已经无法分辨这样的产品到底是以防火墙为主，还是以个功能为主了，即其已经逐渐向我们普遍称之为入侵防御系统的产品转化了。有些防火墙集成了防病毒功能，通常被称之为病毒防火墙，当然目前主要还是在个人防火墙中体现，因为它是纯软件形式，更容易实现。这种防火墙技术可以有效地防止病毒在网络中的传播，比等待攻击的发生更加积极。拥有病毒防护功能的防火墙可以大大减少公司的损失。防火墙的体系结构发展趋势随着网络应用的增加，对网络带宽提出了更高的要求。这意味着防火墙要能够以非常高的速率处理数据。另外，在以后几年里，多媒体应用将会越来越普遍，它要求数据穿过防火墙所带来的延迟要足够小。为了满足这种需要，些防火墙制造商开发了基于的防火墙和基于网络处理器的防火墙。从执行速度的角度看来，基于网络处理器的防火墙也是基于软件的解决方案，它需要在很大程度上依赖于软件的性能，但是由于这类防火墙中有些专门用于处理数据层面任务的引擎，从而减轻了的负担，该类防火墙的性能要比传统防火墙的性能好许多。与基于的纯硬件防火墙相比，基于网络处理器的防火墙具有软件色彩，因而更加具有灵活性。基于的防火墙使用专门的硬件处理网络数据流，比起前两种类型的防火墙具有更好的性能。但是纯硬件的防火墙缺乏可编程性，这就使得它缺乏灵活性，从而跟不上防火墙功能的快速发展。理想的解决方案是增加芯片的可编程性，使其与软件更好地配合。这样的防火墙就可以同时满足来自灵活性和运行性能的要求。从国内外历次测试的结果都可以看出，目前防火墙个很大的局限性是速度不够。应用和网络处理器是实现高速防火墙的主要方法，其中以采用网络处理器最优，因为网络处理器采用微码编程，可以根据需要随时升级，甚至可以支持，而采用其它方法就不那么灵活。实现高速防火墙，算法也是个关键，因为网络处理器中集成了很多硬件协处理单元，因此比较容易实现高速对于采用纯的防火墙，就必须有算法支撑，例如算法。目前有的应用环境，动辄应用数百乃至数万条规则，没有算法支撑，对于状态防火墙，建立会话的速度充合法用户等。影响网络安全的因素单机安全购买单机时，型号的选择计算机的运行环境计算机的操作等，这些都是影响单机安全性的因素。网络安全影响网络安全的因素