NetGuard防火墙功能说明 (1)

Netguard防火墙功能说明
Netguard防火墙是基于优秀的免费操作系统Linux的包过滤型防火墙，具备基于IP地址的数据包过滤、流量记帐、地址翻译等功能并且为用户提供了方便的Web管理界面，在中小企业中有着广泛的应用前景。

下面对Netguard防火墙的以上几个功能和特点分别予以介绍：
一、数据包过滤功能
Netguard是基于包过滤的防火墙，安装在内部网络和外部网络的连结点上。

该防火墙工作在OSI七层网络模型的第三层——网络层上，可按照事先制定好的网络安全策略对所有流进和流出的IP包进行选择过滤，允许或拒绝特定的报文通过。

过滤是基于一个IP分组的有关数据域（IP源地址、IP目的地址、TCP/UDP源端口或服务类型和TCP/UDP目的端口或服务类型）进行的。

基于IP源/目的地址的过滤，即根据特定组织机构的网络安全策略，过滤掉具有特定特征的IP分组，从而达到保护内部网络的目的；另一方面也可以控制内部网络用户对外部网络资源的访问。

基于TCP/UDP源/目的端口的过滤，因为端口号区分了不同的服务类型或连接类型（如SMTP使用端口25，Telnet使用端口23等），所以为包过滤提供了更大的灵活性。

同时由于它是位于协议的网络层，所以效率较高。

和应用层防火墙相比基于IP数据包过滤的网络层防火墙配置更容易、性能价格比更高，因而拥有更广阔的市场前景。

Netguard防火墙能够针对中小型网络，提供较为完善的IP数据包过滤机制：
1、对内部IP地址或地址段的数据包进行有针对性的过滤；开放或者关闭某些网络服务
2、屏蔽外部某些可疑的或危险的站点对内部网络的访问
3、屏蔽内部网络对一些有敏感或不健康内容的站点的访问
二、流量记帐功能
随着网络的不断普及，越来越多的单位和部门不断地加入到联网的行列中来。

在一个单位内部，一般都针对不同的IP地址实际产生的网络流量来进行记帐收费，这样可以做到比较的公平合理。

Netguard防火墙具有比较完善的流量记帐功能。

系统管理员可以为内部单个的IP地址或IP地址段建立管理帐号，并针对相应的帐号进行权限管理和流量记帐。

根据目前国内网络的实际情况和教育网的网络使用记费政策，我们将IP地址分成三类：本单位内部的IP 地址（内部地址）、国内IP地址（国内地址）和国外IP地址（国外地址）来进行管理。

管理员为用户开户时，在内部地址范围内为用户分配适当的IP地址或地址段，并设置基本的访问权限（是否拥有出国权限等）。

所有通过本防火墙流进和流出的IP数据包的信息都会写入系统的日志文件，系统提供的程序可以每天自动汇总每个IP地址一天的数据流进流出量，并生成相应的记帐信息文件。

利用这些记帐信息，可以很方便地生成用户记费报表，也可供用户查询。

三、地址翻译（NAT）功能
上网单位和个人的飞速增长带来了IP地址日益紧张的问题。

一个单位内部分配到的IP
地址数目一般很难满足实际的需求。

地址翻译（NAT）的出现，在一定程度上缓解了这一矛盾。

通过地址翻译，多台主机可以共享一个或几个IP地址。

内部网络上的机器可以按照一定的规则任意设置IP地址，这些“内部”IP地址可以自动和透明地被转换成直接与外部网络相连的具备NAT功能的防火墙主机的真实IP地址。

对于外部网络来讲，所有的网络连结请求和数据传输都是通过防火墙进行的，它根本意识不到防火墙后边的内部网络的存在。

这在一方面，有效地解决了IP地址紧张的问题,节约了成本；在另一方面也可以有效地隐藏内部网络的细节，减少被黑客攻击的可能性，在一定程度上提高了内部网络的安全性。

Netguard防火墙支持和提供了较为完善的地址翻译功能，允许没有真实IP地址的内部网络通过防火墙“透明地”连入Internet。

四、基于Web的管理界面
防火墙的使用和配置是比较复杂和容易出错的工作，因此一个比较简洁和容易学习使用的管理界面尤为重要。

NetGuard提供了目前流行的Web管理界面，几乎所有有关防火墙的配置工作都可以通过Web浏览器完成。

系统管理员和用户都可以通过浏览器完成相关的配置工作。

基本的配置项目包括：防火墙的帐户管理、基本配置、用户基本权限设置、高级过滤规则。

具体如下：
1、帐号和IP地址管理可以针对IP地址或地址段建立用户帐号，完成新建帐号、删除帐号、冻结帐号、更改帐户信息、更改密码等工作
2、防火墙的基本配置配置防火墙的基本参数：网卡接口、外部网卡IP地址、内部网卡IP地址、外部DNS服务器地址、防火墙基本管理策略、内部IP地址列表、国内IP地址列表等
3、用户基本权限管理针对具体的IP地址或地址段，设置使用权限（内部、国内、国际）
4、高级过滤规则设置根据IP源/目的地址以及TCP/UDP源端口或服务类型的其它高级和特殊过滤规则的设置和管理。