防火墙的主要功能

所谓防火墙指的是一个由软件和硬件设备组合而成、在内部网和外部网之间、专用网与公共网之间的界面上构造的保护屏障.是一种获取安全性方法的形象说法，它是一种计算机硬件和软件的结合，它实际上是一种隔离技术，以保护用户资料与信息安全性的一种技术。所以防火墙产品质量非常重要，安全系数高才能更大限度地预防和对抗网络中不断出现的各类风险，有效提高企业应对边界威胁的安全能力。

防火墙是如何实现安全防护呢，主要有以下几点系统功能：

一、网络安全屏障

防火墙对内部网络环境安全性起着极大的提高意义，它作为阻塞点和控制点过滤那些潜在危险的服务从而降低了网络内部环境的风险。因为所有进入网络内容的信息都是经过防火墙精心过滤过的，所以网络内部环境就非常的安全可靠。例如一个不安全协议，防火墙可以过滤点该信息，不允许该协议进入受保护的网络，这样外部的攻击者就无法进入内部网络进行攻击侵害。防火墙同时可以保护网络免受基于路由的攻击，如IP选项中的源路由攻击和ICMP重定向中的重定向路径。防火墙应该可以拒绝所有以上类型攻击的报文并通知防火墙管理员。

二、网络安全策略

如果对网络安全配置上以防火墙为中心，就可以让口令、加密、身份认证、审计等安全软件配置在防火墙上。防火墙的这种集中安全管理与各个主机分散控制网络安全问题相比更比较经济实惠。另外，防火墙的集中安全控制也避免了一次一密口令系统和其他的身份认证系统分散在各个主机上的麻烦。

三、进行监控审计

防火墙有着很好的日志记录功能，它会记录所有经过防火墙访问过的记录，更能够把网络使用情况的数据进行汇总分析，从而得出网络访问的统计性数据。如果访问的数据里面含有可疑性的动作，防火墙会进行报警，显示网络可能受到的相关的检测和攻击方面的数据信息。另外，它还可以通过访问数据的统计提供某个网络的使用情况和误用情况，为网络使用需求分析和网络威胁分析提供有价值的参考数据。

四、防止内部信息的外泄

防火墙可以把内部网络隔离成若干个段，对局部重点网络或敏感网络加强监控，全局网络的安全问题就不会因为局部网络的一段问题而受到牵连。另外，防火墙对Finger、DNS等服务显示的内部细节数据进行隐蔽，这样由于Finger显示的所有用户的注册名、真名，最后登录时间和使用shell类型等信息就受到保护了，也就降低了外部的攻击侵入。同样，防火墙对内部网络中DNS信息的阻塞，也避免了主机域名和IP地址的外泄，有效了保护内部信息的安全

不同应用环境和不同的使用需求，对防火墙性能的要求各不一样。所以要真正找到一款合适的服务器防火墙，重点便是在选择服务器防火墙的时候，认真分析自身的需求，综合考虑各种不同类型的服务器防火墙的优缺点。

防火墙的优点

一、保护脆弱的服务。通过定义一个中心“扼制点”及过滤不安全的网络服务，防火墙可防止非法用户进入内部网络，减少内网中主机的风险。

二、控制对系统的访问。可提供对系统的访问控制，如允许从外部访问某些主机，同时禁止访问另外的主机，允许内部员工使用某些资源而不能使用其他资源等。

三、集中的安全管理。对内网实行集中的安全管理。通过制定安全策略，其安全防护措施可运行于整个内网系统中而无须在每个主机中分别设立。同时还可将内网中需改动的程序都存于防火墙中而不是分散到每个主机中，便于集中保护。

四、增强保密性。可阻止攻击者获取攻击网络系统的有用信息。

五、有效地记录网络上的活动。因为所有进出信息都必须通过防火墙，所以非常便于收集关于系统和网络使用和误用的信息。

防火墙的不足之处

一、不能防范来自内部的攻击。对内部用户偷窃数据，破坏硬件和软件等行为无能为力。

二、不能防范不通过它的连接。对有意绕过它进/出内网的用户或数据无法阻止，从而给系统带来威胁，如用户可以将数据复制到磁盘中带出内网。

三、不能防范未知的威胁。能较好地防备已知的威胁，但不能自动防御所有新的威胁。

四、不能完全防范病毒的破坏。

五、为了提高安全性，限制和关闭了一些有用但存在安全缺陷的网络服务，给用户带来了使用的不便

没有任何一个防火墙的设计能适用于所有的环境。它就似一个防盗门，在通常情况下能起到安全防护的作用，但当有人强行闯入时可能失效。所以在选择购买时，应根据企业的情况和特点来选择合适的防火墙。

企业建设防火墙的重要性，主要有以下两点：

1、加强网络安全，主要在于及时发现并处理计算机网络运行时可能存在的安全风险、数据传输等问题，其中处理措施包括隔离与保护，同时可对计算机网络安全当中的各项操作实施记录与检测，保障用户资料与信息的完整性，防火墙（作为阻塞点、控制点）可以极大地提高内部网络的安全性，并通过过滤不安全的服务来降低风险。因为只有精心选择的应用协议才能通过防火墙，为用户提供更好、更安全的计算机网络使用体验。

2、数据库安全的实施保护，如果所有的访问都经过防火墙，那么，防火墙就能记录下这些访问并作出日志记录，同时也能提供网络使用情况的统计数据。当发生可疑动作时，防火墙能进行适当的报警，并提供网络是否受到监测和攻击的详细信息。另外，收集一个网络的使用和误用情况也是非常重要的。首先的理由是可以清楚防火墙是否能够抵挡攻击者的探测和攻击，并且清楚防火墙的控制是否充足。而网络使用统计对网络需求分析和威胁分析等而言也是非常重要的。

防火墙作为系统安全屏障很重要，它可通过监测、限制、更改跨越防火墙的数据流，尽可能地对外部屏蔽网络内部的信息、结构和运行状况，以此来实现网络的安全保护。

转载请注明：http://www.abuoumao.com/hyfz/6349.html