1、“.....综上，软件防火墙从开始的时候单纯的个截包丢包，堵截和端口的工具，发展到了今天功能强大的整体性的安全套件。防火墙的特点般防火墙具备以下特点控制对特殊站点的访问，广泛的服务支持通过将动态的应用层的过滤能力和认证相结合，可实现浏览器服务器等。提供监视安全和预警的方便端点，对私有数据的加密支持，保证通过进行的虚拟私人网络和商务活动不受损坏。客户端认证只允许指定的用户访问内部网络或选择服务，过滤掉不安全服务和非法用户。反欺骗欺骗是从外部获取网络访问权的常用手段，它令数据包像是来自网络内部。防火墙能监视这样的数据包并扔掉它们。模式和跨平台支持能使运行在平台的管理模块控制另平台的监视模块。邮件保护保护网络免受对电子邮件服务的攻击。第三章防火墙基础和分类从防火墙的防范方式和侧重点的不同来看，防火墙可以分为很多类型，但是根据防火墙对内外来往数据处理方法，大致可将防火墙分为两大体系包过滤防火墙和代理防火墙......”。

2、“.....它会检查所有通过信息包里的地址号，端口号及其它的包头信息，并根据系统管理员给定的过滤规则和准备过滤的信息包匹配，其中如果信息包中存在点与过滤规则不符合，那么这个信息包里所有的信息都会被防火墙屏蔽掉，这个信息包就不会通过防火墙。相反的，如果每条规都和过滤规则相匹配，那么信息包就允许通过。静态包的过滤原理就是将信息分成若干个小数据片数据包，确认符合防火墙的包过滤规则后，把这些个小数据片按顺序发送，接收到这些小数据片后再把它们组织成个完整的信息这个就是包过滤的原理。这种静态包过滤防火墙，对用户是透明的，它不需要用户的用户名和密码就可以登录，它的速度快，也易于维护。但由于用户的使用记录没有记载，如果有不怀好意的人进行攻击的话，我们即不能从访问记录中得到它的攻击记录，也无法得知它的来源。而个单纯的包过滤的防火墙的防御能力是非常弱的，对于恶意的攻击者来说是攻破它是非常容易的......”。

3、“.....旦有个包通过了防火墙，那么攻击者停止再发测试地址的信息包，用这个成功发送的地址来伪装他们所发出的对内部网有攻击性的信息。动态包过滤防火墙静态包过滤防火墙的缺点，动态包过滤防火墙都可以避免。它采用的规则是发展为包状态检测技术的动态设置包过滤规则。它可以根据需要动态的在过滤原则中增加或更新条目，在这点上静态防火墙是比不上它的，它主要对建立的每个连接都进行跟踪。在这里我们了解的是代理防火墙。代理服务器型防火墙与包过滤防火墙不同之点在于，它的内外网之间不存在直接的连接，般由两部分组成服务器端程序和客户端程序，其中客户端程序通过中间节点与提供服务的服务器连接。代理服务器型防火墙提供了日志和审记服务。代理防火墙也经历了两代代理应用层网关防火墙这种防火墙被网络安全专家认为是最安全的防火墙，主要是因为从内部发出的数据包经过这样的防火墙处理后......”。

4、“.....可以达到隐藏内部网结构的作用。由于内外网的计算机对话机会根本没有，从而避免了入侵者使用数据驱动类型的攻击方式入侵内部网。自适应代理防火墙自适应代理技术是商业应用防火墙中实现的种革命性技术。它结合了代理类型防火墙和包过滤防火墙的优点，即保证了安全性又保持了高速度，同时它的性能也在代理防火墙的十倍以上，在般的情况下，用户更倾向于这种防火墙。我们把两种防火墙的优缺点的对比用下列图表的形式表示如下优点缺点包过滤防火墙价格较低性能开销小，处理速度较快定义复杂，容易出现速度较慢，不太适用于高速网之间的应用代理防火墙内置了专门为提高安全性而编制的应用程序，能够透彻地理解相关服务的命令，对来往的数据包进行安全化处理不能理解特定服务的上下文环境，相应控制只能在高层由代理服务和应用层网关来完成第四章防火墙的部署使用配置及测试标准防火墙的部署虽然监测型防火墙安全性上已超越了包过滤型和代理服务器型防火墙......”。

5、“.....也不易管理，所以目前在实用中的防火墙产品仍然以第二代代理型产品为主，但在些方面也已经开始使用监测型防火墙。基于对系统成本与安全技术成本的综合考虑，用户可以选择性地使用些监测型技术。这样既能够保证网络系统的安全性需求，同时也能有效地控制安全系统的总拥有成本。实际上，作为当前防火墙产品的主流趋势，大多数代理服务器也称应用网关也集成了包过滤技术，这两种技术的混合应用显然比单独使用具有更大的优势。由于这种产品是基于应用的，应用网关能提供对协议的过滤。例如，它可以过滤掉连接中的命令，而且通过代理应用，应用网关能够有效地避免内部网络的信息外泄。正是由于应用网关的这些特点，使得应用过程中的矛盾主要集中在对多种网络应用协议的有效支持和对网络整体性能的影响上。那么我们究竟应该在哪些地方部署防火墙呢首供可由内部用户配置的基本的文本信息，而不提供任何与攻击有关的系统信息。与邮件服务器要对所有进出防火墙的邮件做处理......”。

6、“.....服务器对用户连接的识别做专门处理，网络新闻服务则为接收来自的新闻开设了专门的磁盘空间。安全服务器网络为了适应越来越多的用户向上提供服务时对服务器的需要，第四代防火墙采用分别保护的策略对用户上网的对外服务器实施保护，它利用张网卡将对外服务器作为个网络处理，对外服务器既是内部网络的部分，又与内部网关完全隔离，这就是安全服务器网络技术。而对上的主机既可单独管理，也可设置成通过等方式从内部网上管理。方法提供的安全性要比传统的隔离区方法好得多，因为与外部网之间有防火墙保护，与风部网之间也有防火墙的保护，而只是种在内外部网络网关之间存在的种防火墙方式。换言之，旦受破坏，内部网络仍会处于防火墙的保护之下，而旦受到破坏，内部网络便暴露于攻击之下。用户鉴别与加密为了减低防火墙产品在等服务和远程管理上的安全风险，鉴别功能必不可少。第四代防火墙采用次性使用的口令系统来作为用户的鉴别手段，并实现了对邮件的加密......”。

7、“.....第四代防火墙在提供众多服务的同时，还为用户定制提供支持，这类选项有通用出站等，如果用户需要建立个数据库的代理，便可以利用这些支持，方便设置。审计和告警第四代防火墙产品采用的审计和告警功能十分健全，日志文件包括般信息内核信息核心信息接收邮件邮件路径发送邮件已收消息已发消息连接需求已鉴别的访问告警条件管理日志进站代理代理出站代理邮件服务器名服务器等。告警功能会守住每个或探寻，并能以发出邮件声响等多种方式报警。此外，第四代防火墙还在网络诊断数据备份保全等方面具有特色。第四代防火墙的抗攻击能力作为种安全防护设备，防火墙在网络中自然是众多攻击者的目标，故抗攻击能力也是防火墙的必备功能。在环境中针对防火墙的攻击很多，下面从几种主要的攻击方法来评估第四代防火墙的抗攻击能力。抗假冒攻击假冒是指个非法的主机假冒内部的主机地址，骗取服务器的信任，从而达到对网络的攻击目的......”。

8、“.....外部用户很难知道内部的地址，因而难以攻击。抗特洛伊木马攻击特洛伊木马能将病毒或破坏性程序传入计算机网络，且通常是将这些恶意程序隐蔽在正常的程序之中，尤其是热门程序或游戏，些用户下载并执行这程序，其中的病毒便会发作。第四代防火墙是建立在安全的操作系统之上的，其内核中不能执行下载的程序，故而可以防止特洛伊木马的发生。必须指出的是，防火墙能抗特洛伊木马的攻击并不表明其保护的个主机也能防止这类攻击。事实上，内部用户可以通过防火墙下载程序，并执行下载的程序。抗口令字探寻攻击在网络中探寻口令的方法很多，最常见的是口令嗅探和口令解密。嗅探是通过监测网络通信，截获用户传给服务器的口令字，记录下来，以便使用解密是指采用强力攻击猜测或截获含有加密口令的文件，并设法解密。此外，攻击者还常常利用些常用口令字直接登录。第四代防火墙采用了次性口令字和禁止直接登录防火墙措施，能够有效防止对口令字的攻击......”。

9、“.....旦这类工具用作攻击网络的手段，则能够比较方便地探测到内部网络的安全缺陷和弱点所在。目前，软件可以从网上免费获得，可以从市面上购买，这些分析工具给网络安全构成了直接的威胁。第四代防火墙采用了地址转换技术，将内部网络隐蔽起来，使网络安全分析工具无法从外部对内部网络做分析。抗邮件诈骗攻击邮件诈骗也是越来越突出的攻击方式，第四代防火墙不接收任何邮件，故难以采用这种方式对它攻击，同样值得提的是，防火墙不接收邮件，并不表示它不让邮件通过，实际上用户仍可收发邮件，内部用户要防邮件诈骗，最终的解决办法是对邮件加密。防火墙的发展趋势优良的性能新代的防火墙系统不仅应该能够更好地保护防火墙后面内部网络的安全，而且应该具有更为优良的整体性能。传统的代理型防火墙虽然可以提供较高级别的安全保护，但是同时它也成为限制网络带宽的瓶颈，这极大地制约了在网络中的实际应用。数据通过率是表示防火墙性能的参数......”。