网路安全技术指致力于解决诸如如何有效进行介入控制，以及何如保证数据传输的安全性的技术手段，主要包括物理安全分析技术，网路结构安全分析技术，系统安全分析技术，管理安全分析技术，及其它的安全服务和安全机制策略。

一个国家的信息安全体系实际上包括国家的法规和政策,以及技术与市场的发展平台.我国在构建信息防卫系统时,应着力发展自己独特的安全产品,我国要想真正解决网路安全问题,最终的办法就是通过发展民族的安全产业,带动我国网路安全技术的整体提高.

信息安全是国家发展所面临的一个重要问题.对于这个问题,我们还没有从系统的规划上去考虑它,从技术上,产业上,政策上来发展它.政府不仅应该看见信息安全的发展是我国高科技产业的一部分,而且应该看到,发展安全产业的政策是信息安全保障系统的一个重要组成部分,甚至应该看到它对我国未来电子化,信息化的发展将起到非常重要的作用.

网路安全产品有以下几大特点:

第一,网路安全来源于安全策略与技术的多样化,如果採用一种统一的技术和策略也就不安全了;

第二,网路的安全机制与技术要不断地变化;

第三,随着网路在社会个方面的延伸,进入网路的手段也越来越多,因此,网路安全技术是一个十分複杂的系统工程.为此建立有中国特色的网路安全体系,需要国家政策和法规的支持及集团联合研究开发.安全与反安全就像矛盾的两个方面,总是不断地向上攀升,所以安全产业将来也是一个随着新技术发展而不断发展的产业.

网路防火墙技术是一种用来加强网路之间访问控制,防止外部网路用户以非法手段通过外部网路进入内部网路,访问内部网路资源,保护内部网路操作环境的特殊网路互联设备.它对两个或多个网路之间传输的数据包如连结方式按照一定的安全策略来实施检查,以决定网路之间的通信是否被允许,并监视网路运行状态.

目前的防火墙产品主要有堡垒主机,包过滤路由器,套用层网关(代理伺服器)以及电路层网关,禁止主机防火墙,双宿主机等类型.

虽然防火墙是目前保护网路免遭黑客袭击的有效手段,但也有明显不足:无法防範通过防火墙以外的其它途径的攻击,不能防止来自内部变节者和不经心的用户们带来的威胁,也不能完全防止传送已感染病毒的软体或档案,以及无法防範数据驱动型的攻击.

自从1986年美国Digital公司在Internet上安装了全球第一个商用防火墙系统,提出了防火墙概念后,防火墙技术得到了飞速的发展.国内外已有数十家公司推出了功能各不相同的防火墙产品系列.

防火墙处于5层网路安全体系中的最底层,属于网路层安全技术範畴.在这一层上,企业对安全系统提出的问题是:所有的IP是否都能访问到企业的内部网路系统 如果答案是"是",则说明企业内部网还没有在网路层採取相应的防範措施.

作为内部网路与外部公共网路之间的第一道屏障,防火墙是最先受到人们重视的网路安全产品之一.虽然从理论上看,防火墙处于网路安全的最底层,负责网路间的安全认证与传输,但随着网路安全技术的整体发展和网路套用的不断变化,现代防火墙技术已经逐步走向网路层之外的其他安全层次,不仅要完成传统防火墙的过滤任务,同时还能为各种网路套用提供相应的安全服务.另外还有多种防火墙产品正朝着数据安全与用户认证,防止病毒与黑客侵入等方向发展.

根据防火墙所採用的技术不同,我们可以将它分为四种基本类型:包过滤型,网路地址转换—NAT,代理型和监测型.

2.1.包过滤型

包过滤型产品是防火墙的初级产品,其技术依据是网路中的分包传输技术.网路上的数据都是以"包"为单位进行传输的,数据被分割成为一定大小的数据包,每一个数据包中都会包含一些特定信息,如数据的源地址,目标地址,TCP/UDP源连线埠和目标连线埠等.防火墙通过读取数据包中的地址信息来判断这些"包"是否来自可信任的安全站点 ,一旦发现来自危险站点的数据包,防火墙便会将这些数据拒之门外.系统管理员也可以根据实际情况灵活制订判断规则.

包过滤技术的优点是简单实用,实现成本较低,在套用环境比较简单的情况下,能够以较小的代价在一定程度上保证系统的安全.

但包过滤技术的缺陷也是明显的.包过滤技术是一种完全基于网路层的安全技术,只能根据数据包的来源,目标和连线埠等网路信息进行判断,无法识别基于套用层的恶意侵入,如恶意的Java小程式以及电子邮件中附带的病毒.有经验的黑客很容易伪造IP位址,骗过包过滤型防火墙.

2.2.网路地址转化—NAT

网路地址转换是一种用于把IP位址转换成临时的,外部的,注册的IP位址标準.它允许具有私有IP位址的内部网路访问网际网路.它还意味着用户不许要为其网路中每一台机器取得注册的IP位址.

在内部网络通过安全网卡访问外部网路时,将产生一个映射记录.系统将外出的源地址和源连线埠映射为一个伪装的地址和连线埠,让这个伪装的地址和连线埠通过非安全网卡与外部网路连线,这样对外就隐藏了真实的内部网路地址.在外部网路通过非安全网卡访问内部网路时,它并不知道内部网路的连线情况,而只是通过一个开放的IP位址和连线埠来请求访问.OLM防火墙根据预先定义好的映射规则来判断这个访问是否安全.当符合规则时,防火墙认为访问是安全的,可以接受访问请求,也可以将连线请求映射到不同的内部计算机中.当不符合规则时,防火墙认为该访问是不安全的,不能被接受,防火墙将禁止外部的连线请求.网路地址转换的过程对于用户来说是透明的,不需要用户进行设定,用户只要进行常规操作即可.

2.3.代理型

代理型防火墙也可以被称为代理伺服器,它的安全性要高于包过滤型产品,并已经开始向套用层发展.代理伺服器位于客户机与伺服器之间,完全阻挡了二者间的数据交流.从客户机来看,代理伺服器相当于一台真正的伺服器;而从伺服器来看,代理伺服器又是一台真正的客户机.当客户机需要使用伺服器上的数据时,首先将数据请求发给代理伺服器,代理伺服器再根据这一请求向伺服器索取数据,然后再由代理伺服器将数据传输给客户机.由于外部系统与内部伺服器之间没有直接的数据通道,外部的恶意侵害也就很难伤害到企业内部网路系统.

代理型防火墙的优点是安全性较高,可以针对套用层进行侦测和扫描,对付基于套用层的侵入和病毒都十分有效.其缺点是对系统的整体性能有较大的影响,而且代理伺服器必须针对客户机可能产生的所有套用类型逐一进行设定,大大增加了系统管理的複杂性.

2.4.监测型

监测型防火墙是新一代的产品,这一技术实际已经超越了最初的防火墙定义.监测型防火墙能够对各层的数据进行主动的,实时的监测,在对这些数据加以分析的基础上,监测型防火墙能够有效地判断出各层中的非法侵入.同时,这种检测型防火墙产品一般还带有分散式探测器,这些探测器安置在各种套用伺服器和其他网路的节点之中,不仅能够检测来自网路外部的攻击,同时对来自内部的恶意破坏也有极强的防範作用.据权威机构统计,在针对网路系统的攻击中,有相当比例的攻击来自网路内部.因此,监测型防火墙不仅超越了传统防火墙的定义,而且在安全性上也超越了前两代产品

虽然监测型防火墙安全性上已超越了包过滤型和代理伺服器型防火墙,但由于监测型防火墙技术的实现成本较高,也不易管理,所以目前在实用中的防火墙产品仍然以第二代代理型产品为主,但在某些方面也已经开始使用监测型防火墙.基于对系统成本与安全技术成本的综合考虑,用户可以选择性地使用某些监测型技术.这样既能够保证网路系统的安全性需求,同时也能有效地控制安全系统的总拥有成本.

实际上,作为当前防火墙产品的主流趋势,大多数代理伺服器(也称套用网关)也集成了包过滤技术,这两种技术的混合套用显然比单独使用具有更大的优势.由于这种产品是基于套用的,套用网关能提供对协定的过滤.例如,它可以过滤掉FTP连线中的PUT命令,而且通过代理套用,套用网关能够有效地避免内部网路的信息外泄.正是由于套用网关的这些特点,使得套用过程中的矛盾主要集中在对多种网路套用协定的有效支持和对网路整体性能的影响上.