防火墙是什么?有什么作用?

防火墙的作用是：
防火墙是指设置在不同网络（如可信任的企业内部网和不可信的公共网）或网络安全域之间的一系列部件的组合。它可通过监测、限制、更改跨越防火墙的数据流，尽可能地对外部屏蔽网络内部的信息、结构和运行状况，以此来实现网络的安全保护。
在逻辑上，防火墙是一个分离器，一个限制器，也是一个分析器，有效地监控了内部网和Internet之间的任何活动，保证了内部网络的安全。

网络病毒无处逃
——网络防病毒产品购买指南
刚刚过去的2001年可以算得上是“病毒年”，从欢乐时光（Happytime）、主页病毒(Home
page)、COM先生 (Sircom)，到红色代码(Codered)及其变种、蓝色代码(Codeblue)、尼姆
达(Nimda)及其变种，再到求职信、坏透了(Badtrands)以及将死者(goner)，形形色色的病
毒“你方唱罢我登场”。对付这些病毒，防病毒厂商各出奇招，或是推产品，或是推方案
。面对林林总总的防病毒产品和方案，用户有一种眼花的感觉。我们本期推出的网络防病
毒产品购买指南，将对网络防病毒产品的技术现状及发展趋势进行介绍，并为用户购买网
络防病毒产品提供参考。
网络防病毒产品技术综述
技术的先进性是网络防病毒产品品质的保证。对付变幻莫测的病毒的最好办法就是不断发
展反病毒技术。下面我们就来分析一下网络防病毒产品目前所采用的几种重要技术。
1数字免疫系统
数字免疫系统（Digital Immune System）是赛门铁克与IBM共同合作研究开发的一项网络
防病毒技术。采用该技术的网络防病毒产品能够应付网络病毒的爆发和极端恶意事件的发
生。数字免疫系统主要包括封闭循环自动化网络防病毒技术和启发式侦测技术（Heuristi
c Technology）。前者是一个后端基础设施，可以为企业级用户提供高级别的病毒保护。
在网络系统的管理中，不管系统管理员介入与否，数字免疫系统都能够根据系统管理员的
要求，自动进行病毒侦测和分析。后者则可以自动监视可疑行为，为网络防病毒产品对付
未知病毒提供依据。数字免疫系统还可以将病毒解决方案广泛发送到被感染的PC机上，或
者发送到整个企业网络系统中，从而提高了网络系统的运行效率。另外，数字免疫系统的
超流量控制，还可以减少由于过多用户同时提交被感染文件时所引起的带宽问题，使整个
网络监测变得更加简单和方便。
2监控病毒源技术
密切关注、侦测和监控网络系统外部病毒的动向，将所有病毒源堵截在网络入口处，是当
前网络防病毒技术的一个重点。
人们普遍认为网络防毒必须从各个不同的层次堵截病毒的来源。趋势科技针对网络防病毒
所提出的可以远程中央控管的TVCS（Trend Virus Control System :趋势病毒监控系统）
系统，不仅可完成跨网域的 *** 作，而且在传输过程中还能保障文件的安全。该套系统共包
括针对Internet代理服务器的InterScan、用于Mail Server的ScanMail、针对文件服务器
的ServerProtect，以及用于终端用户的PC-cillin等全方位解决方案，这些防毒技术整合
在一起，便构成了一道网关防毒网。
3主动内核技术
主动内核技术（ActiveK）是将已经开发的各种网络防病毒技术从源程序级嵌入到 *** 作系统
或网络系统的内核中，实现网络防病毒产品与 *** 作系统的无缝连接。例如将实时防毒墙、
文件动态解压缩、病毒陷阱、宏病毒分析器等功能，组合起来嵌入到 *** 作系统或网络系统
中，并作为 *** 作系统本身的一个“补丁”，与其浑然一体。这种技术可以保证网络防病毒
模块从系统的底层内核与各种 *** 作系统和应用环境密切协调，确保防毒 *** 作不会伤及到 ***
作系统内核，同时确保杀灭病毒的功效。这样，即使用户是一个全球性的大型异构网络，
只要用户的服务器安装了内置主动内核技术的 *** 作系统，采用该技术的安全产品（如Kill
）就能自动探测到网络中的每一台计算机是否已经安装了主动内核以及是否都已升级到了
最新版本，如果有一台计算机没有做到，防毒系统就会补上这个漏洞。还有，用户所使用
的计算机系统若处于主动内核保护之下，已知病毒的入侵就会被拒之门外，做到了防患于
未然。像Kill网络防病毒系列采用的就是主动内核技术，由于该技术对用户是完全透明的
，用户平时使用计算机时甚至感觉不到它的存在。Kill网络防病毒软件，通过全方位的网
络管理、支持远程服务器、软件自动分发、多种报警机制、完整的病毒报告，可帮助管理员实施网络防病毒工作。
4“分布式处理”技术
“集中式管理、分布式杀毒”技术，使安装在网络系统中的每台计算机上的杀毒软件构筑
成协调一致的立体防护体系，而网络管理员只需通过控制台，就可实时掌握全网各节点的
病毒监测状况，也可远程指挥每台计算机杀毒软件的工作方式。瑞星网络杀毒软件采用的
就是“分布式处理”技术，该技术实际上是一项杀毒软件的网络远程化管理技术。采用“
分布处理、集中控制”技术的网络杀毒软件，可以克服网络杀毒产品不能全网统一杀毒的
缺陷，杜绝了因部分计算机未能及时杀毒而留下的隐患。
5安全网管技术
许多网络防病毒产品还采用网管技术，允许网络管理员从一个单独的工作站上管理整个网
络的所有病毒保护程序，并可对整个网络中工作站或服务器上的防毒软件进行集中安装、
卸载、设置、扫描及更新。
网络防病毒技术发展趋势
计算机病毒在形式上越来越狡猾，造成的危害也日益严重。这就要求网络防病毒产品在技
术上更先进，在功能上更全面，并具有更高的查杀效率。从目前病毒的演化趋势来看，网
络防病毒产品的发展趋势主要体现在以下几个方面。
1反黑与反病毒相结合。病毒与黑客在技术和破坏手段上结合得越来越紧密。将杀毒、防
毒和反黑客有机地结合起来，已经成为一种趋势。专家认为，在网络防病毒产品中植入网
络防火墙技术是完全可能的。有远见的防病毒厂商已经开始在网络防病毒产品中植入文件
扫描过滤技术和软件防火墙技术，并将文件扫描过滤的职能选择和防火墙的“防火”职能
选择交给用户，用户根据自己的实际需要进行选择，并由防毒系统中的网络防病毒模块完
成病毒查杀工作，进而在源头上起到防范病毒的作用。
2从入口拦截病毒。网络安全的威胁多数来自邮件和采用广播形式发送的信函。面对这些
威胁，许多专家建议安装代理服务器过滤软件来防止不当信息。目前已有许多厂商正在开
发相关软件，直接配置在网络网关上，d性规范网站内容，过滤不良网站，限制内部浏览
。这些技术还可提供内部使用者上网访问网站的情况，并产生图表报告。系统管理者也可
以设定个人或部门下载文件的大小。此外，邮件管理技术能够防止邮件经由Internet网关
进入内部网络，并可以过滤由内部寄出的内容不当的邮件，避免造成网络带宽的不当占用
。从入口处拦截病毒成为未来网络防病毒产品发展的一个重要方向。
3全面解决方案。未来的网络防病毒体系将会从单一设备或单一系统，发展成为一个整体
的解决方案，并与网络安全系统有机地融合在一起。同时，用户会要求反病毒厂商能够提
供更全面、更大范围的病毒防范，即用户网络中的每一点，无论是服务器、邮件服务器，
还是客户端都应该得到保护。这就意味着防火墙、入侵检测等安全产品要与网络防病毒产
品进一步整合。这种整合需要解决不同安全产品之间的兼容性问题。这种发展趋势要求厂
商既要对查杀病毒技术驾轻就熟，又要掌握防病毒技术以外的其他安全技术。
4客户化定制。客户化定制模式是指网络防病毒产品的最终定型是根据企业网络的特点而
专门制订的。对于用户来讲，这种定制的网络防病毒产品带有专用性和针对性，既是一种
个性化、跟踪性产品，又是一种服务产品。这种客户化定制体现了网络防病毒正从传统的
产品模式向现代服务模式转化。并且大多数网络防病毒厂商不再将一次性卖出反病毒产品
作为自己最主要的收入来源，而是通过向用户不断地提供定制服务获得持续利润。
5区域化到国际化。Internet和Intranet快速发展为网络病毒的传播提供了便利条件，也
使得以往仅仅限于局域网传播的本地病毒迅速传播到全球网络环境中。过去常常需要经过
数周甚至数月才可能在国内流行起来的国外“病毒”，现在只需要一二天，甚至更短的时
间，就能传遍全国。这就促使网络防病毒产品要从技术上由区域化向国际化转化。过去，
国内有的病毒，国外不一定有;国外有的病毒，在国内也不一定能够流行起来。这种特殊的
小环境，造就一批“具有中国特色”的杀病毒产品，如今病毒发作日益与国际同步，国内
的网络防病毒技术也需要与国际同步。技术的国际化不仅是反映在网络防病毒产品的杀毒
能力和反应速度方面，同时也意味着要吸取国外网络防病毒产品的服务模式。
如何选购网络防病毒产品
选购一款效果理想的网络防病毒产品，用户应该着重考虑以下几个方面。
1对已知病毒和未知病毒的检测率和清除率
用户应该选购对已知病毒和未知病毒具有较高检测率和清除率的网络防病毒产品。网络防
病毒产品对病毒的检测率和清除率，用户可参照权威机构定期或不定期公布的测试报告。
2产品性能
网络防病毒产品是用来保障网络安全的，网络防病毒产品最好是具备一些体贴、周到的设
计。像杀毒前备份、实时监控防毒、监控邮件、自动预定扫描作业、压缩文件的检测、变
形病毒的检测和清除、关机前扫描以及灾难恢复等都应该成为网络防病毒产品功能的重要
组成部分。此外，好的网络防病毒产品在启用时对用户正常业务的开展影响很小，这就要
求用户要注意考查网络防病毒产品的病毒查杀速度、延时和资源占用率等性能。
3管理能力
管理性能的优劣也是评价一款网络防病毒产品的重要因素。好的网络防病毒产品通常具有
自动化管理功能，如集中式安全系统安装、集中式安全系统配置、集中式安全任务管理、
集中式报告管理、智能化病毒源追踪、智能查找和填补漏洞、实时报警管理、跨平台管理
、自动化智能升级和安全性验证等。
4可靠性
网络防病毒产品的可靠性体现在与 *** 作系统的结合和与其他安全产品的兼容方面。网络防
病毒产品的可靠性差往往会影响企业网络的正常运转。好的网络防病毒产品应该取得当前
流行 *** 作系统公司的可靠性认证。
5易 *** 作性
在一个复杂的网络环境中，部署和使用安全防护体系的难度都很大。网络防病毒产品的易
*** 作减少了出错的机会，也减少了不安全因素。
6厂商的服务体系
厂商的售后服务包括升级频率、怎样将最新升级文件发送到用户手中、如何解答用户的疑
难问题、怎样处理突发事件以及能否为用户提供数据恢复和技术培训等。随着病毒出现速
度的加快，用户急需对病毒突发事件的应急服务和对丢失数据进行恢复的服务。对付红色
代码、尼姆达这样的病毒，使用常规的方法已无法解决，用户最好是能从厂商那里得到专
业支持。从某种意义上说，用户不仅需要购买网络防病毒产品，而且需要购买厂商的售后
服务。

计算机的网络安全技术常用技术有：
一、病毒防护技术
阻止病毒的传播。在防火墙、代理服务器、SMTP服务器、网络服务器、群件服务器上安装病毒过滤软件。在桌面PC安装病毒监控软件。在防火墙、代理服务器及PC上安装Java及ActiveX控制扫描软件，禁止未经许可的控件下载和安装。
二、入侵检测技术
利用防火墙技术，经过仔细的配置，通常能够在内外网之间提供安全的网络保护，降低了网络安全风险。入侵检测系统是新型网络安全技术，目的是提供实时的入侵检测及采取相应的防护手段，如记录证据用于跟踪和恢复、断开网络连接等。
三、安全扫描技术
网络安全技术中，另一类重要技术为安全扫描技术。安全扫描技术与防火墙、安全监控系统互相配合能够提供很高安全性的网络。
安全扫描工具源于Hacker在入侵网络系统时采用的工具。商品化的安全扫描工具为网络安全漏洞的发现提供了强大的支持。安全扫描工具通常也分为基于服务器和基于网络的扫描器。
四、认证签名技术
认证技术主要解决网络通讯过程中通讯双方的身份认可，数字签名作为身份认证技术中的一种具体技术，同时数字签名还可用于通信过程中的不可抵赖要求的实现。
该种认证方式是最常用的一种认证方式，用于 *** 作系统登录、telnet、rlogin等，但由于此种认证方式过程不加密，即password容易被监听和解密。
五、应用安全技术
由于应用系统的复杂性，有关应用平台的安全问题是整个安全体系中最复杂的部分。下面的几个部分列出了在Internet/Intranet中主要的应用平台服务的安全问题及相关技术。
同时，新发现的针对BIND-NDS实现的安全漏洞也开始发现，而绝大多数的域名系统均存在类似的问题。如由于DNS查询使用无连接的UDP协议，利用可预测的查询ID可欺骗域名服务器给出错误的主机名-IP对应关系。

世界顶级杀毒软件排名! 金奖：BitDefender BitDefender 杀毒软件是来自罗马尼亚的老牌杀毒软件，二十四万超大病毒库，它将为你的计算机提供最大的保护，具有功能强大的反病毒引擎以及互联网过滤技术，为你提供即时信息保护功能，通过回答几个简单的问题，你就可以方便的进行安装，并且支持在线升级。 它包括：1 永久的防病毒保护；2 后台扫描与网络防火墙；3 保密控制；4 自动快速升级模块；5 创建计划任务；6 病毒隔离区。 银奖：Kaspersky Kaspersky （卡巴斯基）杀毒软件来源于俄罗斯，是世界上最优秀、最顶级的网络杀毒软件，查杀病毒性能远高于同类产品。卡巴斯基杀毒软件具有超强的中心管理和杀毒能力，能真正实现带毒杀毒！提供了一个广泛的抗病毒解决方案。它提供了所有类型的抗病毒防护：抗病毒扫描仪、监控器、行为阻段、完全检验、E-mail 通路和防火墙。 它支持几乎是所有的普通 *** 作系统。卡巴斯基控制所有可能的病毒进入端口，它强大的功能和局部灵活性以及网络管理工具为自动信息搜索、中央安装和病毒防护控制提供最大的便利和最少的时间来建构你的抗病毒分离墙。卡巴斯基抗病毒软件有许多国际研究机构、中立测试实验室和 IT 出版机构的证书，确认了卡巴斯基具有汇集行业最高水准的突出品质。 铜奖：F-Secure Anti-Virus 来自Linux 的故乡芬兰的杀毒软件，集合 AVP、LIBRA、ORION、DRACO 四套杀毒引擎,其中一个就是 Kaspersky 的杀毒内核，而且青出于蓝胜于蓝，个人感觉杀毒效率比 Kaspersky 要好，该软件采用分布式防火墙技术，对网络流行病毒尤其有效。 在《PC Utilites》评测中超过 Kaspersky 名列第一，但后来 Kaspersky 增加了扩展病毒库，反超 F-secure。鉴于普通用户用不到扩展病毒库，因此 F-secure 还是普通用户很不错的一个选择。F-Secure AntiVirus 是一款功能强大的实时病毒监测和防护系统，支持所有的 Windows 平台，它集成了多个病毒监测引擎，如果其中一个发生遗漏，就会有另一个去监测。可单一扫描硬盘或是一个文件夹或文件，软件更提供密码的保护性，并提供病毒的信息。 第四名：PC-cillin 趋势科技网络安全个人版集成了包括个人防火墙、防病毒、防垃圾邮件等功能于一体，最大限度地提供对桌面机的保护并不需要用户进行过多的 *** 作。在用户日常使用及上网浏览时，进行"实时的安全防御监控"； 内置的防火墙不仅更方便您使用因地制宜的设定，"专业主控式个人防火墙"及"木马程序损害清除还原技术"的双重保障还可以拒绝各类黑客程序对计算机的访问请求；趋势科技全新研发的病毒阻隔技术，包含"主动式防毒应变系统"以及"病毒扫瞄逻辑分析技术"不仅能够精准侦测病毒藏匿与化身并予以彻底清除外，还能针对特定变种病毒进行封锁与阻隔，让病毒再无可趁之机；强有力的"垃圾邮件过滤功能"为您全面封锁不请自来的垃圾邮件。 趋势科技网络安全个人版的诸多功能确保您的电脑系统运作正常，从此摆脱病毒感染的恶梦。 第五名：ESET Nod32 国外很权威的防病毒软件评测给了 NOD32 很高的分数，在全球共获得超过 40 多个奖项，包括Virus Bulletin、PC Magazine、ICSA、Checkmark认证等，更加是全球唯一通过 26 次 VB 100% 测试的防毒软件，高据众产品之榜首！产品线很长，从 DOS、Windows 9x/Me、Windows NT/XP/2000，到Novell Netware Server、Linux、BSD 等，都有提供。可以对邮件进行实时监测，占用内存资源较少，清除病毒的速度效果都令人满意。 第六名：McAfee VirusScan 全球最畅销的杀毒软件之一，McAfee 防毒软件，除了 *** 作介面更新外，也将该公司的 WebScanX 功能合在一起，增加了许多新功能！除了帮你侦测和清除病毒，它还有 VShield 自动监视系统，会常驻在 System Tray，当你从磁盘、网络上、E-mail 夹文件中开启文件时便会自动侦测文件的安全性，若文件内含病毒，便会立即警告，并作适当的处理，而且支持鼠标右键的快速选单功能，并可使用密码将个人的设定锁住让别人无法乱改你的设定。 第七名：Norton AntiVirus Norton AntiVirus 是一套强而有力的防毒软件，它可帮你侦测上万种已知和未知的病毒，并且每当开机时，自动防护便会常驻在 System Tray，当你从磁盘、网路上、E-mail 夹档中开启档案时便会自动侦测档案的安全性，若档案内含病毒，便会立即警告，并作适当的处理。另外它还附有 LiveUpdate 的功能，可帮你自动连上 Symantec 的 FTP Server 下载最新的病毒码，於下载完后自动完成安装更新的动作。 第八名：AVG Anti-Virus AVG Anti-Virus 欧洲有名的杀毒软件，AVG Anti-Virus System 功能上相当完整，可即时对任何存取文件侦测，防止电脑病毒感染；可对电子邮件和附加文件进行扫瞄，防止电脑病毒透过电子邮件和附加文件传播； "病毒资料库"里面则记录了一些电脑病毒的特性和发作日期等相关资讯；"开机保护"可在电脑开机时侦测开机型病毒，防止开机型病毒感染。 在扫毒方面，可扫瞄磁碟片、硬盘、光盘机外，也可对网络磁碟进行扫瞄。在扫瞄时也可只对磁碟片、硬盘、光盘机上的某个目录进行扫瞄。可扫瞄文件型病毒、巨集病毒、压缩文件 (支持 ZIP、ARJ、RAR 等压缩文件即时解压缩扫描)。 在扫瞄时如发现文件感染病毒时会将感染病毒的文件隔离至 AVG Virus VauIt，待扫瞄完成后在一并解毒。支持在线升级

---