3 防火牆的配置

如果防火牆處於未連通的狀態，所謂連通的狀態是指是指服務器之間沒有建立連接，沒有完成握手協議，這個時候任何數據都無法穿越防火牆。但是防火牆內部的主機之間可以進行通信。具體的通信規則如下：

一般把區域劃分為3個部分內部區域（inside）、外部區域（outside）、以及dmz區域。

對於內部區域能夠與所有的外部區域和dmz區域進行通信。其中內部區域訪問dmz區域需要static的配合。而外部區域訪問dmz區域需要acl的配合。

Static主要是指靜態地址轉換，acl是指訪問控製列表。

防火牆的配置方式主要有三種方式分別是Screened-subnet、Dual-homed、Screened-host方式。

（1）Screened-subnet主要有兩個部分組成Screeningrouter和Bastionhost。通過兩個部分在外部網絡和內部網絡之間形成一個隔離的區域，這個區域即是“停火區”。防火牆的這種配置方式具有的優點是安全性非常好，但是費用太高。

（2）防火牆中配置方式中最簡單的一種方式是Dual-homed。在內部網絡和外部網絡之間放置Dual-homed Gateway，這種方式也是Bastionhost。這種配置方式的優點是價格低廉，

（3）防火牆配置方式中Screened-host方式，為了更好的保護Bastionhost，為它建立了Screeningrouter作為安全屏障。另外這個結構主要依靠Screeningrouter和Bastionhost，其中之一被破壞，全部網絡會被破壞。

4 防火牆的發展趨勢

傳統的防火牆隻能夠保護內部網絡的安全性，但是對於整個網絡的整體性能不具有整天協調性。因此，作為防火牆的發展方向應該更好的完善防火牆的整體性能。另外，傳統的防火牆盡管能夠對內部網絡提供較高的安全保護，通過提高安全級別。但是提高防火牆的安全級別是通過降低帶寬來實現的，這就很大的限製了網絡的運行效率。評價防火牆的優劣主要是通過評價通過防火牆的數據量。因此下一代防火牆的發展方向就是在提高防火牆的安全級別基礎上，如何提高通過防火牆的數據量。另外，現在很多防火牆都支持NAT技術，但是使用NAT技術之後對防火牆的安全性能有所影響，如何減少這個影響也是防火牆的發展趨勢之一。

5 結束語

互聯網技術的快速發展，越來越多的電腦連接到Internet。導致網絡安全的問題越來越明顯。因此防火牆這項技術受到越來越多網絡安全人士的關注。為了保護國家信息的安全，國家加大對防火牆技術研究的支持。使得防火牆技術在我國有了很大發展。另外，防火牆還處在進步的階段，有很大的提升空間。

參考文獻：

[1]陳斌等.網絡設計，電子工業出版社，2005，9

[2]朱雁輝.WLNDOWS防火牆與網絡技術，電子工業出版社，2002，4

[3]常紅等.網絡安全技術與反黑客，冶金工業出版社，2001，6

[4]袁家政.計算機網絡安全與應用技術，清華大學出版社，2002，5

[5]胡道元.計算機網絡，清華大學出版社，1999，1

[6]刑鈞.網絡安全與防火牆技術，電子科技大學出版社，2004，3

[7]謝希仁.計算機網絡工程基礎，電子工業出版社，2002，5

[8]石彥傑.計算機網絡係統集成技術，高等教育出版社，2006，2