计算机网络应用 防火墙的主要功能

计算机网络应用防火墙的主要功能

防火墙属于用户网络边界的安全保护设备。所谓网络边界也就是采用不同安全策略的两个网络连接处，比如用户网络和互联网之间连接和用户内网不同部门之间的连接等。防火墙的目的是在网络连接之间建立一个安全控制点，通过允许、拒绝或重新定向经过防火墙的数据流，实现对进、出内部网络的服务和访问的审计和控制。

通过防火墙可以对通过它的数据进行扫描，能够过滤掉一些攻击，以免所保护的网络中计算机受到破坏。另外，防火墙还可以关闭不使用的端口而且能禁止特定端口的流出通信，封锁特洛伊木马；还可以禁止来自特殊站点的访问，从而防止来自不明入侵者的所有通信。除此之外，防火墙还具有以下几点主要功能：

●作为网络安全的屏障

一个防火墙（作为阻塞点、控制点）能极大地提高一个内部网络的安全性，并通过过滤不安全的服务而降低风险。由于防火墙可以对应用层协议进行监测和控制，所以网络环境变得更安全。如防火墙可以禁止不安全的NFS（Network File System 网络文件系统）协议进出受保护网络，这样外部的攻击者就不可能利用这些脆弱的协议来攻击内部网络。同时，防火墙还可以保护网络免受基于路由的攻击，如IP路由（IP数据包头中的原IP地址、目标IP地址信息）攻击。

●强化网络安全策略

通过以防火墙为中心的安全方案配置，能将所有安全软件（如口令、加密、身份认证、审计等）配置在防火墙上。与将网络安全问题分散到各个主机上相比，防火墙的集中安全管理更经济。

●对网络存取和访问进行监控审计

如果统一时间内某些访问都经过防火墙，那么该防火墙能够记录下这些访问并做出日志记录，同时也能提供网络使用情况的统计数据。当有可疑动作发生时，防火墙能进行适当的报警，并提供网络是否受到监测和攻击的详细信息。另外，收集网络中的使用和误用情况也很重要的，可以清楚防火墙是否能够抵挡攻击者的探测、攻击、控制等。并且网络使用统计对网络需求分析和威胁分析等来说也是非常重要的。

●避免内部信息的外泄

通过利用防火墙对内部网络的划分，可实现内部网络重点网段的隔离，从而限制局部重点网络的安全对全局网络造成影响。并且隐私是内部网络非常关心的问题，如内部网络中一些细小的信息，可能包含了有关安全的线索。而这些信息可能引起攻击者的兴趣，并暴漏内部网络中的安全漏洞。

使用防火墙就可以隐蔽这些细小的信息，如Finger、DNS等服务。其中，Finger服务协议（返回一个指定主机上一个或多个用户的信息）中显示了主机的所有用户的注册名、真名，最后登录时间和使用shell（提供使用者使用界面的软件——命令解析器）类型等。

●身份认证（authentication）

防火墙能够识别从外部网访问用户的身份，从而决定是否允许该用户访问内部网络，达到在用户级进行访问控制、对安全策略进行细化的目的。但是，身份认证也会使网络通信的安全性降低，如防火墙必须在某些端口进行监听，这样很容易暴露防火墙的存在，会导致外部互联网的用户有机会在防火墙上面打开一个缺口虚拟专网。