邊界防火牆有什麼作用

　　我們經常所說的邊界防火牆，都有些什麼作用呢?下面由小編給你做出詳細的邊界防火牆作用介紹!希望對你有幫助!

　　邊界防火牆作用介紹一

　　邊界防火牆是最為傳統的那種，它們於內、外部網路的邊界，所起的作用的對內

　　外部網路實施隔離，保護邊界內部網路。這類防火牆一般都是硬體型別的，價格較貴，效能較好。

　　邊界防火牆作用介紹二

　　它可通過監測、限制、更改跨越防火牆的資料流，儘可能地對外部遮蔽網路內部的資訊、結構和執行狀況， 以此來實現網路的安全保護。

　　在邏輯上，防火牆是一個分離器，一個限制器，也是一個分析器，有效地監控了內部網和Internet之間的任何活動， 保證了內部網路的安全。

　　2.使用Firewall的益處

　　保護脆弱的服務

　　通過過濾不安全的服務，Firewall可以極大地提高網路安全和減少子網中主機的風險。例如， Firewall可以禁止NIS、NFS服務通過，Firewall同時可以拒絕源路由和ICMP重定向封包。

　　控制對系統的訪問

　　Firewall可以提供對系統的訪問控制。如允許從外部訪問某些主機，同時禁止訪問另外的主機。例如， Firewall允許外部訪問特定的Mail Server和Web Server。

　　集中的安全管理

　　Firewall對企業內部網實現集中的安全管理，在Firewall定義的安全規則可以運行於整個內部網路系統， 而無須在內部網每臺機器上分別設立安全策略。Firewall可以定義不同的認證方法， 而不需要在每臺機器上分別安裝特定的認證軟體。外部使用者也只需要經過一次認證即可訪問內部網。

　　增強的保密性

　　使用Firewall可以阻止攻擊者獲取攻擊網路系統的有用資訊，如Figer和DNS。

　　記錄和統計網路利用資料以及非法使用資料

　　Firewall可以記錄和統計通過Firewall的網路通訊，提供關於網路使用的統計資料，並且，Firewall可以提供統計資料， 來判斷可能的攻擊和探測。

　　策略執行Firewall提供了制定和執行網路安全策略的手段。未設定Firewall時，網路安全取決於每臺主機的使用者。

　　3.防火牆的種類

　　防火牆總體上分為包過濾、應用級閘道器和代理伺服器等幾大類型。

　　數 據 包 過 濾

　　資料包過濾***Packet Filtering***技術是在網路層對資料包進行選擇，選擇的依據是系統內設定的過濾邏輯， 被稱為訪問控制表***Access Control Table***。通過檢查資料流中每個資料包的源地址、目的地址、所用的埠號、 協議狀態等因素，或它們的組合來確定是否允許該資料包通過。 資料包過濾防火牆邏輯簡單，價格便宜，易於安裝和使用， 網路效能和透明性好，它通常安裝在路由器上。路由器是內部網路與Internet連線必不可少的裝置， 因此在原有網路上增加這樣的防火牆幾乎不需要任何額外的費用。

　　資料包過濾防火牆的缺點有二：一是非法訪問一旦突破防火牆，即可對主機上的軟體和配置漏洞進行攻擊; 二是資料包的源地址、目的地址以及IP的埠號都在資料包的頭部，很有可能被竊聽或假冒。

　　應 用 級 網 關

　　應用級閘道器***Application Level Gateways***是在網路應用層上建立協議過濾和轉發功能。 它針對特定的網路應用服務協議使用指定的資料過濾邏輯，並在過濾的同時，對資料包進行必要的分析、 登記和統計，形成報告。實際中的應用閘道器通常安裝在專用工作站系統上。

　　資料包過濾和應用閘道器防火牆有一個共同的特點，就是它們僅僅依靠特定的邏輯判定是否允許資料包通過。 一旦滿足邏輯，則防火牆內外的計算機系統建立直接聯絡， 防火牆外部的使用者便有可能直接瞭解防火牆內部的網路結構和執行狀態，這有利於實施非法訪問和攻擊。

　　代理服務***Proxy Service***也稱鏈路級閘道器或TCP通道***Circuit Level Gateways or TCP Tunnels***， 也有人將它歸於應用級閘道器一類。它是針對資料包過濾和應用閘道器技術存在的缺點而引入的防火牆技術， 其特點是將所有跨越防火牆的網路通訊鏈路分為兩段。防火牆內外計算機系統間應用層的 連結， 由兩個終止代理伺服器上的 連結來實現，外部計算機的網路鏈路只能到達代理伺服器， 從而起到了隔離防火牆內外計算機系統的作用。

　　邊界防火牆作用介紹三

　　防火牆在網路中經常是以下圖所示的兩種圖標出現的。左邊那個圖示非常形象，真正像一堵牆一樣。而右邊那個圖示則是從防火牆的過濾機制來形象化的，在圖示中有一個二極體圖示。而二極體我們知道，它具有單向導電性，這樣也就形象地說明了防火牆具有單向導通性。這看起來與現在防火牆過濾機制有些矛盾，不過它卻完全體現了防火牆初期的設計思想，同時也在相當大程度上體現了當前防火牆的過濾機制。因為防火最初的設計思想是對內部網路總是信任的，而對外部網路卻總是不信任的，所以最初的防火牆是隻對外部進來的通訊進行過濾，而對內部網路使用者發出的通訊不作限制。當然目前的防火牆在過濾機制上有所改變，不僅對外部網路發出的通訊連線要進行過濾，對內部網路使用者發出的部分連線請求和資料包同樣需要過濾，但防火牆仍只對符合安全策略的通訊通過，也可以說具有“單向導通”性。

　　防火牆的本義是指古代構築和使用木製結構房屋的時候，為防止火災的發生和蔓延，人們將堅固的石塊堆砌在房屋周圍作為屏障，這種防護構築物就被稱之為“防火牆”。其實與防火牆一起起作用的就是“門”。如果沒有門，各房間的人如何溝通呢，這些房間的人又如何進去呢?當火災發生時，這些人又如何逃離現場呢?這個門就相當於我們這裡所講的防火牆的“安全策略”，所以在此我們所說的防火牆實際並不是一堵實心牆，而是帶有一些小孔的牆。這些小孔就是用來留給那些允許進行的通訊，在這些小孔中安裝了過濾機制，也就是上面所介紹的“單向導通性”。

　　防火牆的功能一般有五個功能。

　　《一》防火牆是網路安全的屏障：

　　一個防火牆***作為阻塞點、控制點***能極大地提高一個內部網路的安全性，並通過過濾不安全的服務而降低風險。由於只有經過精心選擇的應用協議才能通過防火牆，所以網路環境變得更安全。如防火牆可以禁止諸如眾所周知的不安全的NFS協議進出受保護網路，這樣外部的攻擊者就不可能利用這些脆弱的協議來攻擊內部網路。防火牆同時可以保護網路免受基於路由的攻擊，如IP選項中的源路由攻擊和ICMP重定向中的重定向路徑。防火牆應該可以拒絕所有以上型別攻擊的報文並通知防火牆管理員。

　　《二》防火牆可以強化網路安全策略：

　　通過以防火牆為中心的安全方案配置，能將所有安全軟體***如口令、加密、身份認證、審計等***配置在防火牆上。與將網路安全問題分散到各個主機上相比，防火牆的集中安全管理更經濟。例如在網路訪問時，一次一密口令系統和其它的身份認證系統完全可以不必分散在各個主機上，而集中在防火牆一身上。

　　《三》對網路存取和訪問進行監控審計：

　　如果所有的訪問都經過防火牆，那麼，防火牆就能記錄下這些訪問並作出日誌記錄，同時也能提供網路使用情況的統計資料。當發生可疑動作時，防火牆能進行適當的報警，並提供網路是否受到監測和攻擊的詳細資訊。另外，收集一個網路的使用和誤用情況也是非常重要的。首先的理由是可以清楚防火牆是否能夠抵擋攻擊者的探測和攻擊，並且清楚防火牆的控制是否充足。而網路使用統計對網路需求分析和威脅分析等而言也是非常重要的。

　　《四》防止內部資訊的外洩：

　　通過利用防火牆對內部網路的劃分，可實現內部網重點網段的隔離，從而限制了局部重點或敏感網路安全問題對全域性網路造成的影響。再者，隱私是內部網路非常關心的問題，一個內部網路中不引人注意的細節可能包含了有關安全的線索而引起外部攻擊者的興趣，甚至因此而暴漏了內部網路的某些安全漏洞。使用防火牆就可以隱蔽那些透漏內部細節如Finger，DNS等服務。Finger顯示了主機的所有使用者的註冊名、真名，最後登入時間和使用shell型別等。但是Finger顯示的資訊非常容易被攻擊者所獲悉。攻擊者可以知道一個系統使用的頻繁程度，這個系統是否有使用者正在連線上網，這個系統是否在被攻擊時引起注意等等。防火牆可以同樣阻塞有關內部網路中的DNS資訊，這樣一臺主機的域名和IP地址就不會被外界所瞭解。

　　《五》除了安全作用，防火牆還支援具有Internet服務特性的企業內部網路技術體系***虛擬專用網***。