1、“.....它是种计算机硬件和软件的结合，使与之间建立起个安全网关，从而保护内部网免受非法用户的侵入，防火墙主要由服务访问规则验证工具包过滤和应用网关个部分组成。防火墙就是个位于计算机和它所连接的网络之间的软件或硬件其中硬件防火墙用的较少，例如国防部以及大型机房等地才用,因为它价格昂贵。该计算机流入流出的所有网络通信均要经过此防火墙。防火墙英语为英汉证券投资词典的解释为金融机构内部将银行业务与证券业务严格区分开来的法律屏障，旨在防止可能出现的内幕消息共享等不公平交易出现。使用防火墙比喻不要引火烧身。当然，既然打算由浅入深的来了解，就要先看看防火墙的概念了。防火墙是汽车中个部件的名称。在汽车中，利用防火墙把乘客和引擎隔开，以便汽车引擎旦著火......”。

2、“.....而同时还能让司机继续控制引擎。在电脑术语中，当然就不是这个意思了，我们可以类比来理解，在网络中，所谓防火墙，是指种将内部网和公众访问网如分开的方法，它实际上是种隔离技术。防火墙是在两个网络通讯时执行的种访问控制尺度，它能允许你同意的人和数据进入你的网络，同时将你不同意的人和数据拒之门外，最大限度地阻止网络中的黑客来访问你的网络。换句话说，如果不通过防火墙，公司内部的人就无法访问，上的人也无法和公司内部的人进行通信。防火墙的类型包过滤防火墙四川科技职业学院毕业设计论文第页包过滤技术是在网络层对数据包进行选择，选择的依据是系统内设置的访问控制列表。通过检查数据包的的源地址目的地址所用的端口号协议状态等因素，或它们的组合来确定是否允许该数据包通过。包过滤防火墙的优点是费用不高且不用改动客户机和主机上的应用程序缺点是数据包可能被窃听或假冒，般无报警功能，无高质量的监控或日志记录功能，只要这单的设备被突破......”。

3、“.....应用层代理应用层代理是在网络应用层上建立协议过滤和转发功能。它针对特定的网络应用服务协议使用指定的数据过滤逻辑，并在过滤的同时，对数据包进行必要的分析登记和统计，形成报告。链路层代理链路层代理是针对数据包过滤和应用层代理技术存在的缺点，将所有跨越防火墙的网络通信链路分为两段。防火墙内外计算机系统间应用层的链接，由两个终止代理服务器上的链路来实现，外部计算机的网络链路只能到达代理服务器，从而起到了隔离防火墙内外计算机系统的作用。复合型防火墙复合型防火墙是指将包过滤的方法和基于应用层代理的方法结合起来形成的防火墙。防火墙的拓扑屏蔽路由器屏蔽路由器图是包过滤路由器的另种称呼，它是个多端口的路由器，通过对每个到来的包依据组规则进行检查来判断是否对之进行转发。屏蔽路由器从包头取得信息，例如协议号收发报文的地址和端口号连接标志以及另外些选项，对包进行过滤......”。

4、“.....缺点则是建立包过滤规则比较困难，加之屏蔽路由器的管理成本以及用户级身份认证的缺乏等。图包过滤路由器单目壁垒主机第二种流行的防火墙类型是使用台单目主机加台屏蔽路由器的屏蔽主机。单目壁垒主机图既可以被配置成链路级也可以是应用级网关。当使用这两种类型中的任意种时，每个都是代理服务器，壁垒主机可以隐藏内部网络的配置。单目壁垒主机使用网络地址翻译来提供这种功能。这种实施方式更优于包过滤防火墙，因为它增加了台壁垒主机，对于黑客来说他不仅需要攻破包过滤路由器还需要攻破壁垒主机。但比起包过滤器来说，这种方法的缺点在于成本的增加和性能的下降，因为多了台设备且壁垒主机要对信息进行处理，网络需要更多的时间对用户的请求进行回应。图单目壁垒主机多目壁垒主机多目壁垒主机双目壁垒主机如图的方法显著地增加安全性，因为你可以配置块或更多的网卡在主机上，这样，这种防火墙在网络和任意外部网络之间建立了个完全的物理间隔。在这种方法中，黑客绕不过防火墙，此外......”。

5、“.....般人都有个毛病，就是漏掉些步骤，或在过程中暂停几天。如果这个空档正好碰到个账号没有密码，入侵者就很容易四川科技职业学院毕业设计论文第页进来了。账号建立程序中定要标明账号日期，以及每隔阶段就自动检查账号。虽然不需要自动关闭账号，但是需要自动通知那些账号超过期限的人。可能的话，设置个自动系统监控这些账号。这可以在系统上产生账号文件，然后传送到其他的机器上，或者是在各台机器上产生账号，自动把这些账号文件拷贝到上，再检查它们。如果系统支持密码期限的功能，应该把该功能打开。选择稍微长点的期限，譬如说三到六个月。如果密码有效期太短，例如个月，用户可能会想尽办法躲避期限，也就无法在安全防护上得到真正的收益。同理如果密码期限功能不能保证用户在账号被停用前看到密码到期通知，就不要开启这个功能。否则，用户会很不方便，而且也会冒着锁住急需使用机器的系统管理者的风险......”。

6、“.....即使在几乎没有什么用户的机器上也样。人们总是向文件系统的各个角落丢东西，把各种数据转存到文件系统的临时地址中。这样引起的问题可能常常会超出人们的想象。暂且不说可能需要使用那些磁盘空间，只是这种碎片就容易造成混乱，使事件的处理更复杂。于是有人可能会问那是上次安装新版程序留下来的程序吗是入侵者放进来的程序吗那真的是个普通的数据文件吗是些对入侵者有特殊意义的东西等等，不幸的是能自动找出这种垃圾的方法没有，尤其是可以在磁盘上到处写东西的系统管理者。因此，最好有个人定期检查磁盘，如果让每个新任的系统管理者都去遍历磁盘会特别有效。他们将会发现管理员忽视的东西。在大多数防火墙中，主要的磁盘空间问题会被日志记录下来。这些记录应该自动进行，自动重新开始，这些数据最好把它压缩起来。程序能够使这个处理程序自动化。当系统管理者要截断或搬移记录时，定要停止程序或让它们暂停记录，如果在截断或搬移记录时，还有程序在尝试写入记录文件......”。

7、“.....事实上，即使只是有程序开启了文件准备稍后写入，也可能会惹上麻烦。监视系统对防火墙的维护监视系统是维护防火墙的重点，它可以告诉系统管理者以下的问题四川科技职业学院毕业设计论文第页防火墙已岌岌可危了吗防火墙能提供用户需求的服务吗防火墙还在正常运作吗尝试攻击防火墙的是哪些类型的攻击要回答这几个问题，首先应该知道什么是防火墙的正常工作状态。专用设备的监视虽然大部分的监视工作都是利用防火墙上现成的工具或记录数据，但是也可能会觉得如果有些专用的监视设备会很方便。例如，可能需要在周围网络上放个监视站，以便确定通过的都是预料中的数据包。可以使用有网络窥视软件包的般计算机，也可以使用特殊用途的网络检测器。如何确定这台监视机器不会被入侵者利用呢事实上，最好根本不要让入侵者知道它的存在。在些网络硬件设备上，只要利用些技术和对断线器取消网络接口的传输功能，就可以使这台机器无法被检测到，也很难被入侵者利用。如果有操作系统的原始程序......”。

8、“.....随时停止传输。但是，在这种情况下很难确认操作是否已经做成功了。应该监视的内容理想的情况是，应该知道通过防火墙的切事情，包括每条连接，以及每个丢弃或接受的数据包。然而实际的情况是很难做到的，而折衷的办法是，在不至于影响主机速度也不会太快填满磁盘的情况下，尽量多做记录，然后再为所产生的记录整理出摘要。在特殊情况下，要记录好以下内容是所有抛弃的包和被拒绝的连接二是每个成功的连接通过堡垒主机的时间协议和用户名三是所有从路由器中发现的堡垒主机和些代理程序。监视工作中的些经验应该把可疑的事件划分为几类是知道事件发生的原因，而且这不是个安全方面的问题二是不知道是什么原因，也许永远不知道是什么原因引起的，但是无论它是什么，它从未再出现过三是有人试图侵入，但问题并不严重，只是试探下四是有人事实上已经侵入。这些类别之间的界限比较含糊。要提供以上任何问题的详细征兆是不可能的......”。

9、“.....如果发现以下情况，网络系统管理员就有理由怀疑有人在探试站点是试图访问在不安全的端口上提供的服务如企图与端口映射或者调试服务器连接二是试图利用普通账户登录如三是请求文件传输或传输，网络文件系统映射四是给站点的，简单邮件传输协议服务器发送命令。如果网络系统管理员见到以下任何情况，应该更加关注。因为侵袭可能正在进行之中是多次企图登录但多次失败的合法账户，特别是因特网上的通用账户二是目的不明的数据包命令三是向个范围内每个端口广播的数据包四是不明站点的成功登录。如果网络系统管理员了发现以下情况，应该怀疑已有人成功地侵入站点是日志文件被删除或者修改二是程序突然忽略所期望的正常信息三是新的日志文件包含有不能解释的密码信息或数据包痕迹四是特权用户的意外登录例如用户，或者突然成为特权用户的意外用户五是来自本机的明显的试探或者侵袭，名字与系统程序相近的应用程序六是登录提示信息发生了改变......”。