以上介绍了防火墙的含义,其实我们可以从防火墙的这些解释中可以理解到防火墙的功能。具体来说,防火墙主要有以下几方面功能:
防火墙在一个公司内部网络和外部网络间建立一个检查点。这种实现要求所有的流量都要通过这个检查点。一旦这些检查点清楚地建立,防火墙设备就可以监视,过滤和检查所有进来和出去的流量。这样一个检查点,在网络安全行业中称之为“阻塞点”。通过强制所有进出流量都通过这些检查点,网络管理员可以集中在较少的地方来实现安全目的。如果没有这样一个供监视和控制信息的点,系统或安全管理员则要在大量的地方来进行监测。
这是防火墙的最基本功能,它通过隔离内、外部网络来确保内部网络的安全。也限制了局部重点或敏感网络安全问题对全局网络造成的影响。企业秘密是大家普遍非常关心的问题,一个内部网络中不引人注意的细节可能包含了有关安全的线索而引起外部攻击者的兴趣,甚至因此而暴漏了内部网络的某些安全漏洞。使用防火墙就可以隐蔽那些透漏内部细节如Finger,DNS等服务。Finger显示了主机的所有用户的注册名、真名,最后登录时间和使用shell类型等。但是Finger显示的信息非常容易被攻击者所截获,攻击者通过所获取的信息可以知道一个系统使用的频繁程度,这个系统是否有用户正在连线上网等信息。防火墙可以同样阻塞有关内部网络中的DNS信息,这样一台主机的域名和IP地址就不会被外界所了解。
通过以防火墙为中心的安全方案配置,能将所有安全软件(如口令、加密、身份认证、审计等)配置在防火墙上。与将网络安全问题分散到各个主机上相比,防火墙的集中安全管理更经济。各种安全措施的有机结合,更能有效地对网络安全性能起到加强作用。
防火墙可以对内、外部网络存取和访问进行监控审计。如果所有的访问都经过防火墙,那么,防火墙就能记录下这些访问并进行日志记录,同时也能提供网络使用情况的统计数据。当发生可疑动作时,防火墙能进行适当的报警,并提供网络是否受到监测和攻击的详细信息。这为网络管理人员提供非常重要的安全管理信息,可以使管理员清楚防火墙是否能够抵挡攻击者的探测和攻击,并且清楚防火墙的控制是否充足。
以上是从宏观方面对防火墙的功能所进行的综合描述,如果从技术微观方面分的话,它主要体现在如下方面:
包过滤是防火墙所要实现的最基本功能,现在的防火墙已经由最初的地址、端口判定控制,发展到判断通信报文协议头的各部分,以及通信协议的应用层命令、内容、用户认证、用户规则甚至状态检测等等。
在防火墙结合网络配置和安全策略对相关数据分析完成以后,就要做出接受、拒绝、丢弃或加密等决定。如果某个访问违反安全策略,审计和报警机制开始起作用,并作记录和报告。审计是一种重要的安全举措,用以监控通信行为和完善安全策略,检查安全漏洞和错误配置。报警机制是在有通信违反相关安全策略后,防火墙可以有多种方式及时向管理员进行报警,如声音、邮件、电话、手机短信息等。
防火墙的审计和报警机制在防火墙体系中是很重要的,只有有了审计和报警功能,管理人员才可能及时知道网络是否受到了攻击。通过防火墙日志启示还可以进行统计、分析,得出系统安全存在最大不足和隐患,进而可以有针对性地进行改进。
但要注意的,由于要对整个网络通信进行日志记录,所以防火墙的日志记录数据量比较大,在防火墙自身上是不可能能存储这么庞大的日志文件的。通常采用外挂方式,即将日志挂接在内部网络的一台专门存放日志的日志服务器上。
网络地址转换功能现在也已成为防火墙的标准配置之
一。通过此项功能就可以很好地屏蔽内部网络的IP地址,对内部网络用户起到了保护作用。
NAT又分“SNAT(SourceNAT)”和“DNAT(DestinationNAT)”。SNAT就是改变转发数据包的源地址,对内部网络地址进行转换,对外部网络是屏蔽的,使得外部非常用户对内部主机的攻击更加困难,同时可以节省有限的
上海车展广州车展汽车详解汽车问答汽车百科别克GL6哈弗F5维特拉讴歌RDX嘉际启辰T60标致5008标致4008远景S1ModelY奥迪Q2L新能源红旗HS7起亚K3新能源瑞虎e朗逸新能源宝马M8宝马8系宝马5系