一、防火墙的应用

目前防火墙技术进步很快，功能上也做的五花八门，用户选择上也比较困难。在包过滤方式上，目前各个厂商采用的基本上都是基于状态检测包过滤功能。其他的一些附加的功能可以视实际的需要而定，例如，对于没有固定主机的单位，可能需要身份认证的功能；对网络资源比较紧张的单位，可能需要带宽管理的功能以合理控制资源分配；对于有总部和分支机构的企业，就可能需要选择能支持VPN通讯功能的防火墙产品等等。

对于经常有公司内部用户移动办公的企业，最好能提供支持VPN通信或者身份验证功能，这样做有两个好处：一是可以大量节省通信费用（因为VPN只需要用户与本地ISP连接即可）；另一方面用户出差时可以登录公司内部的服务器，在没有其它加密手段或者加密成本比较高时，这样的身份验证方式是比较实用的。Nokia防火墙作为业内领先的产品，全面提供包括防火墙、VPN、入侵检测、流量控制、防病毒网关等多种功能在内的产品。

因防火墙就象单位用户出入互联网的一道门，如果门坏了显然进出互联网也就成问题了。这样很可能会使用户造成巨大的损失，这就要求防火墙产品自身具有高的可靠性。提高防火墙的可靠性通常是在设计中采取措施，具体措施是提高部件的强健性、增大设计阀值和增加冗余部件。防火墙支持虚拟路由器冗余协议（VRRP，RFC2338），可以在2台或者多台Nokia防火墙之间实现冗余和负载均衡。

二、防火墙基础知识介绍

防火墙是一种功能，它使得内部网络和外部网络或Internet互相隔离，以此来保护内部网络或主机。简单的防火墙可以由Router,3 Layer Switch的ACL（access control list）来充当，也可以用一台主机，甚至是一个子网来实现。复杂的可以购买专门的硬件防火墙或软件防火墙来实现。防火墙的功能有：1、过滤掉不安全服务和非法用户 ;  2、控制对特殊站点的访问 ;    3、提供监视Internet安全和预警的方便端点;

防火墙并不是万能的，也有很多防火墙无能为力的地方： 1、防火墙防不住绕过防火墙的攻击。比如，防火墙不限制从内部网络到外部网络的连接，那么，一些内部用户可能形成一个直接通往Internet的连接，从而绕过防火墙，造成一个潜在的backdoor.恶意的外部用户直接连接到内部用户的机器上，以这个内部用户的机器为跳板，发起绕过防火墙的不受限制的攻击。 2、防火墙不是防毒墙，不能拦截带病毒的数据在网络之间传播。  3、防火墙对数据驱动式攻击也无能为力。

因此，我们不能过分依赖防火墙。网络的安全是一个整体，并不是有某一样特别出色的配置。网络安全遵循的是“木桶原则”。 

三、一般防火墙具备以下特点：

1、广泛的服务支持：通过将动态的、应用层的过滤能力和认证相结合，可实现WWW浏览器、HTTP服务器、 FTP等；

2、对私有数据的加密支持：保证通过Internet进行虚拟私人网络和商务活动不受损坏；

3、客户端认证只允许指定的用户访问内部网络或选择服务：企业本地网与分支机构、商业伙伴和移动用户间安全通信的附加部分；

4、反欺骗：欺骗是从外部获取网络访问权的常用手段，它使数据包好似来自网络内部。防火墙能监视这样的数据包并能扔掉它们；

5、C/S模式和跨平台支持：能使运行在一平台的管理模块控制运行在另一平台的监视模块。

四、状态监视器(StatefulInspection)：

状态监视器作为防火墙技术其安全特性最佳，它采用了一个在网关上执行网络安全策略的软件引擎，称之为检测模块。检测模块在不影响网络正常工作前提下，采用抽取相关数据的方法对网络通信各层实施监测，抽取部分数据，即状态信息，并动态地保存起来作为以后制定安全决策的参考。检测模块支持多种协议和应用程序，并可以很容易地实现应用和服务的扩充。与其它安全方案不同，当用户访问到达网关的操作系统前，状态监视器要抽取有关数据进行分析，结合网络配置和安全规定作出接纳、拒绝、鉴定或给该通信加密等决定。一旦某个访问违反安全规定，安全报警器就会拒绝该访问，并作下记录向系统管理器报告网络状态。状态监视器另一个优点就是可以监测RemoteProcedureCall和User DatagrqamProtocol类端口信息。问题当然也有，即状态监视器的配置非常复杂，而且会降低网络速度。

目前防火墙已在Internet上得到了广泛的应用，而且由于防火墙不限于TCP/IP协议的特点，也使其逐步在Internet之外更具生命力。客观的讲，防火墙并不是解决网络安全问题的万能药方，而只是网络安全政策和策略中的一个组成部分，但了解防火墙技术并学会在实际操作中应用防火墙技术，相信会在新世纪的网络生活中让每一位网友都受益菲浅。一个固定的合法地址。外部网络的用户就可通过防火墙来访问内部的服务器。这种技术既缓解了少量的IP地址和大量的主机之间的矛盾，又对外隐藏了内部主机的IP地址，提高了安全性。