多级防火墙

防火墙多级安全访问控制

限制未授权的用户访问内部网络的空间和信息资源是访问控制的首要环节，访问者必须要适应现行所有服务和应用，才能通过控制进入内部网络实现资源共享。多级安全访问控制包括多方面内容的组合，包括服务协议、浏览器、电子邮件等。在多级访问控制中还提供了基于状态检测技术的IP地址、端口、用户的管理和控制，从而达到访问受限的目的。高效的控制策略可以实现访问目标的访问权限设置、目标确立等，通过应用层策略实现URL和文件级的访问控制。另外多级防火墙控制还可阻止ActiveX、Java等的侵入，是对http的过滤和审核，检测出其代码危险同时过滤用户上载的cgi、asp等程序，从而达到对计算机的保护。多级防火墙安全访问控制还对计算机进行了实时监控，以及审计和报警功能，当发现攻击和危险时会立即发出警报，提醒用户采取安全防措施，保护计算机网络的安全。

多级防火墙用户认证

由于网络的开放性，为了保护区域内网的安全性，必须加强对用户信息的识别和准入限制，对访问链接的用户采用有效的权限控制和身份识别，从而系统的安全运行。具体说来可以通过提供具有高安全强度的口令用户认证，口令用户认证能够极大提高访问控制的安全性，有效阻止非授权用户进入内部网络，造成网络系统的破坏，从而保证网络系统的合法使用。口令认证首先需要用户向防火墙发送其身份认证请求，并且设置其个人用户名和密码，从而形成个人网络的口令。防火墙通过识别用户发来的口令鉴别用户的合法与否，是否具有准入的权利。

为了防止有的不法分子进行口令猜测，在防火墙设置中规定如果用户连续三次认证失败则在一段时间内禁止该用户的使用。通过这样一种多次重复确认的口令设置能够极大的增强防火墙用户认证上的有效性。

多级防火墙技术下的防御功能

多级防火墙设置的防御功能包含了多方面的内容，首先在防止端口扫描上，防火墙可以检测到对内部机器的扫描，从而起到保护计算机的作用。另外是抗攻击，主要是指拒绝服务攻击，主要是防火墙通过控制、检测与告警机制组织黑客的攻击和不良袭击，造成系统的破坏。防火墙的防御功能实现与入侵检测技术密不可分，入侵检测系统是计算机和网络资源上恶意行为的识别和反应，它分为外部检测和内部检测两方面内容，入侵检测从计算机网络系统中收集若干信息，并对这些信息进行分析，审核其中是否存在不安全因素和遭到袭击的现象。作为一种积极主动的预防技术，在网络安全维护立体化的发展下显得极为重要，是防火墙的重要组成部分。

多级防火墙的安全管理

防火墙的安全管理是网络安全维护，保证防火墙的正常有效运行的关键，防火墙的管理包括几个方面。

(1)防火墙的诗词奥状态管理:防火墙与其他程序和应用系统一样，具有本身的生命周期和使用限制，检查一个防火墙是否整成，是否能够阻挡或者捕捉到恶意攻击及其他存在安全隐患的访问，需要从四个状态来考虑:未受到袭击和伤害，在计算机运行过程中能够正常工作;重新启动后能够恢复到正常状态;禁止所有数据同行;允许所有数据通行。

(2)防火墙的动态维护:防火墙的管理不同于其他程序的安全管理，它包含了系统运行的各个方面，要使防火墙发挥其应有的作用，就必须时刻对防火墙进行跟踪维护，并且及时更新检测防火墙数据库。一旦发现防火墙出现漏洞，就尽快对其进行修复，从而最终起到防火墙的保护功能。

(3)非法访问:防止防火墙使用过程中的非法访问，保证防火墙的安全;

(4)几个威胁:配置错误、安全政策、强力攻击、匿名协议、文件共享等。要做好防火墙的安全管理工作并不能拘泥于单级防火墙的管理，要从防火墙的多级设置上维护系统安全，保证多级防火墙的正常运行，最终维护计算机网络安全。

虽然多级防火墙在应用过程中还存在着许多局限性，但从未来发展的角度来说它在维护计算机网络安全中的地位仍然极为重要。多级防火墙技术在计算机网络上的应用极大的提高了传统防火墙的保护功能，提高了对不良信息的检测和对计算机的保护，设置了用户控制及服务控制，从而保证防范就位。任何一种防火墙的建设都是为了维护计算机网络的安全和稳定，但网络安全的维护只依靠防火墙的搭建是不够的，要在发展过程中逐渐将防火墙与其他维护计算机安全的技术结合起来，建成一个全方位的安全防御体系，从而更大的发挥多级防火墙的功能，实现对计算机网络安全的有效维护。

伴随Internet在全球的迅速发展和普及，上述计算机网络安全隐患在现实中真实存在并且逐渐成为计算机用户的担忧。为解决上述问题，防火墙技术便是当前环节网络安全袭击和破坏的有效途径之一。防火墙作为一种设置在被保护网络与网络系统中的访问控制系统，经历了长期的发展阶段，并且在长期的发展中逐渐完善，但就目前的情况来看，传统的防火墙技术不足以应对日渐猖獗的计算机网络病毒、黑酷侵袭、信息破坏等网络安全隐患。

目前的防火墙还具有几点不足之处:

(1)无法有效的组织内部网络用户无意或者有意向外泄露关键和敏感信息，造成内部网络的不安全和不稳定;

(2)无法有效拒绝网络上的恶意服务信息;

(3)无法及时和快速做出反应应对内部网络用户发起的网络攻击行为;

(4)无法有效地阻止系统网络对内部网络发起的攻击。由此，多级防火墙技术便应运而生，通过防火墙技术的进一步完善，尽量减少网络不安全因素对计算机的袭击，造成不必要的损失。

伴随防火墙技术的不断革新，它在维护计算机网络安全中发挥着不可替代的作用，网络安全隐患的提高也给防火墙技术提出了更高的要求。但是我们仍需要看到多级防火墙技术并不是包治百病的，它在应用过程中也存在一些不足之处。

首先它的局限性表现在不能防范跳过防火墙的攻击行为，不能对这些攻击进行识别和防范。因此，当用户在使用防火墙对计算机进行保护时也不能内部安全系统的建立。

其次，多级防火墙虽然从多个层面和角度保护着计算机不受攻击，但它往往很难应付病毒的入侵，当计算机内部数据被病毒破坏时，防火墙不能检测出来，从而使得病毒有了可趁之机。

另外多级防火墙技术本身就是独立的一个系统，在其发展过程中难免会出现故障，从而出现漏洞，使得对计算机的保护失效。

防火墙具有很好的保护作用。入侵者必须首先穿越防火墙的安全防线，才能接触目标计算机。你可以将防火墙配置成许多不同保护级别。高级别的保护可能会禁止一些服务，如视频流等，但至少这是你自己的保护选择。

在具体应用防火墙技术时，还要考虑到两个方面:

一是防火墙是不能防病毒的，尽管有不少的防火墙产品声称其具有这个功能。 二是防火墙技术的另外一个弱点在于数据在防火墙之间的更新是一个难题，如果延迟太大将无法支持实时服务请求。并且，防火墙采用滤波技术，滤波通常使网络的性能降低50%以上，如果为了改善网络性能而购置高速路由器，又会大大提高经济预算。

总之，防火墙是企业网安全问题的流行方案，即把公共数据和服务置于防火墙外，使其对防火墙内部资源的访问受到限制。作为一种网络安全技术，防火墙具有简单实用的特点，并且透明度高，可以在不修改原有网络应用系统的情况下达到一定的安全要求。

(1)设置网卡IP地址为192.168.1.234，子网掩码为255.255.255.0，网关为192.168.1.1。

(2)设置DNS为61.177.7.1。

(3)Linux防火墙设置，禁用SELinux，启用防火墙，信任WWW、FTP、SSH、SMTP端口。

(4)设置防火墙，使能信任TCP协议的POP3端口。