nternet防火墻功能是什么

　　internet防火墻能防護我們上網(wǎng)，給予保障，那么internet防火墻都有些什么功能呢?下面由學習啦小編給你做出詳細的internet防火墻功能介紹!希望對你有幫助!

　　internet防火墻功能介紹一：

　　它可通過監(jiān)測、限制、更改跨越防火墻的數(shù)據(jù)流，盡可能地對外部屏蔽網(wǎng)絡內部的信息、結構和運行狀況， 以此來實現(xiàn)網(wǎng)絡的安全保護。

　　在邏輯上，防火墻是一個分離器，一個限制器，也是一個分析器，有效地監(jiān)控了內部網(wǎng)和Internet之間的任何活動， 保證了內部網(wǎng)絡的安全。

　　2.使用Firewall的益處

　　保護脆弱的服務

　　通過過濾不安全的服務，F(xiàn)irewall可以極大地提高網(wǎng)絡安全和減少子網(wǎng)中主機的風險。例如， Firewall可以禁止NIS、NFS服務通過，F(xiàn)irewall同時可以拒絕源路由和ICMP重定向封包。

　　控制對系統(tǒng)的訪問

　　Firewall可以提供對系統(tǒng)的訪問控制。如允許從外部訪問某些主機，同時禁止訪問另外的主機。例如， Firewall允許外部訪問特定的Mail Server和Web Server。

　　集中的安全管理

　　Firewall對企業(yè)內部網(wǎng)實現(xiàn)集中的安全管理，在Firewall定義的安全規(guī)則可以運行于整個內部網(wǎng)絡系統(tǒng)， 而無須在內部網(wǎng)每臺機器上分別設立安全策略。Firewall可以定義不同的認證方法， 而不需要在每臺機器上分別安裝特定的認證軟件。外部用戶也只需要經過一次認證即可訪問內部網(wǎng)。

　　增強的保密性

　　使用Firewall可以阻止攻擊者獲取攻擊網(wǎng)絡系統(tǒng)的有用信息，如Figer和DNS。

　　記錄和統(tǒng)計網(wǎng)絡利用數(shù)據(jù)以及非法使用數(shù)據(jù)

　　Firewall可以記錄和統(tǒng)計通過Firewall的網(wǎng)絡通訊，提供關于網(wǎng)絡使用的統(tǒng)計數(shù)據(jù)，并且，F(xiàn)irewall可以提供統(tǒng)計數(shù)據(jù)， 來判斷可能的攻擊和探測。

　　策略執(zhí)行Firewall提供了制定和執(zhí)行網(wǎng)絡安全策略的手段。未設置Firewall時，網(wǎng)絡安全取決于每臺主機的用戶。

　　3.防火墻的種類

　　防火墻總體上分為包過濾、應用級網(wǎng)關和代理服務器等幾大類型。

　　數(shù) 據(jù) 包 過 濾

　　數(shù)據(jù)包過濾(Packet Filtering)技術是在網(wǎng)絡層對數(shù)據(jù)包進行選擇，選擇的依據(jù)是系統(tǒng)內設置的過濾邏輯， 被稱為訪問控制表(Access Control Table)。通過檢查數(shù)據(jù)流中每個數(shù)據(jù)包的源地址、目的地址、所用的端口號、 協(xié)議狀態(tài)等因素，或它們的組合來確定是否允許該數(shù)據(jù)包通過。 數(shù)據(jù)包過濾防火墻邏輯簡單，價格便宜，易于安裝和使用， 網(wǎng)絡性能和透明性好，它通常安裝在路由器上。路由器是內部網(wǎng)絡與Internet連接必不可少的設備， 因此在原有網(wǎng)絡上增加這樣的防火墻幾乎不需要任何額外的費用。

　　數(shù)據(jù)包過濾防火墻的缺點有二：一是非法訪問一旦突破防火墻，即可對主機上的軟件和配置漏洞進行攻擊; 二是數(shù)據(jù)包的源地址、目的地址以及IP的端口號都在數(shù)據(jù)包的頭部，很有可能被竊聽或假冒。

　　應 用 級 網(wǎng) 關

　　應用級網(wǎng)關(Application Level Gateways)是在網(wǎng)絡應用層上建立協(xié)議過濾和轉發(fā)功能。 它針對特定的網(wǎng)絡應用服務協(xié)議使用指定的數(shù)據(jù)過濾邏輯，并在過濾的同時，對數(shù)據(jù)包進行必要的分析、 登記和統(tǒng)計，形成報告。實際中的應用網(wǎng)關通常安裝在專用工作站系統(tǒng)上。

　　數(shù)據(jù)包過濾和應用網(wǎng)關防火墻有一個共同的特點，就是它們僅僅依靠特定的邏輯判定是否允許數(shù)據(jù)包通過。 一旦滿足邏輯，則防火墻內外的計算機系統(tǒng)建立直接聯(lián)系， 防火墻外部的用戶便有可能直接了解防火墻內部的網(wǎng)絡結構和運行狀態(tài)，這有利于實施非法訪問和攻擊。

　　代理服務(Proxy Service)也稱鏈路級網(wǎng)關或TCP通道(Circuit Level Gateways or TCP Tunnels)， 也有人將它歸于應用級網(wǎng)關一類。它是針對數(shù)據(jù)包過濾和應用網(wǎng)關技術存在的缺點而引入的防火墻技術， 其特點是將所有跨越防火墻的網(wǎng)絡通信鏈路分為兩段。防火墻內外計算機系統(tǒng)間應用層的 鏈接， 由兩個終止代理服務器上的 鏈接來實現(xiàn)，外部計算機的網(wǎng)絡鏈路只能到達代理服務器， 從而起到了隔離防火墻內外計算機系統(tǒng)的作用。

　　internet防火墻功能介紹二：

　　關于防火墻其實在技術專題中，我們有專門的介紹，只是內容比較散，因此我們在這里從比較簡單的講起，由淺入深的來了解一下防火墻。

　　防火墻的概念

　　當然，既然打算由淺入深的來了解，就要先看看防火墻的概念了。防火墻是汽車中一個部件的名稱。在汽車中，利用防火墻把乘客和引擎隔開，以便汽車引擎一旦著火，防火墻不但能保護乘客安全，而同時還能讓司機繼續(xù)控制引擎。再電腦術語中，當然就不是這個意思了，我們可以類比來理解，在網(wǎng)絡中，所謂“防火墻”，是指一種將內部網(wǎng)和公眾訪問網(wǎng)(如Internet)分開的方法，它實際上是一種隔離技術。防火墻是在兩個網(wǎng)絡通訊時執(zhí)行的一種訪問控制尺度，它能允許你“同意”的人和數(shù)據(jù)進入你的網(wǎng)絡，同時將你“不同意”的人和數(shù)據(jù)拒之門外，最大限度地阻止網(wǎng)絡中的黑客來訪問你的網(wǎng)絡。換句話說，如果不通過防火墻，公司內部的人就無法訪問Internet，Internet上的人也無法和公司內部的人進行通信。

　　防火墻的功能

　　防火墻是網(wǎng)絡安全的屏障：

　　一個防火墻(作為阻塞點、控制點)能極大地提高一個內部網(wǎng)絡的安全性，并通過過濾不安全的服務而降低風險。由于只有經過精心選擇的應用協(xié)議才能通過防火墻，所以網(wǎng)絡環(huán)境變得更安全。如防火墻可以禁止諸如眾所周知的不安全的NFS協(xié)議進出受保護網(wǎng)絡，這樣外部的攻擊者就不可能利用這些脆弱的協(xié)議來攻擊內部網(wǎng)絡。防火墻同時可以保護網(wǎng)絡免受基于路由的攻擊，如IP選項中的源路由攻擊和ICMP重定向中的重定向路徑。防火墻應該可以拒絕所有以上類型攻擊的報文并通知防火墻管理員。

　　防火墻可以強化網(wǎng)絡安全策略：

　　通過以防火墻為中心的安全方案配置，能將所有安全軟件(如口令、加密、身份認證、審計等)配置在防火墻上。與將網(wǎng)絡安全問題分散到各個主機上相比，防火墻的集中安全管理更經濟。例如在網(wǎng)絡訪問時，一次一密口令系統(tǒng)和其它的身份認證系統(tǒng)完全可以不必分散在各個主機上，而集中在防火墻一身上。

　　對網(wǎng)絡存取和訪問進行監(jiān)控審計：

　　如果所有的訪問都經過防火墻，那么，防火墻就能記錄下這些訪問并作出日志記錄，同時也能提供網(wǎng)絡使用情況的統(tǒng)計數(shù)據(jù)。當發(fā)生可疑動作時，防火墻能進行適當?shù)膱缶?，并提供網(wǎng)絡是否受到監(jiān)測和攻擊的詳細信息。另外，收集一個網(wǎng)絡的使用和誤用情況也是非常重要的。首先的理由是可以清楚防火墻是否能夠抵擋攻擊者的探測和攻擊，并且清楚防火墻的控制是否充足。而網(wǎng)絡使用統(tǒng)計對網(wǎng)絡需求分析和威脅分析等而言也是非常重要的。

　　防止內部信息的外泄：

　　通過利用防火墻對內部網(wǎng)絡的劃分，可實現(xiàn)內部網(wǎng)重點網(wǎng)段的隔離，從而限制了局部重點或敏感網(wǎng)絡安全問題對全局網(wǎng)絡造成的影響。再者，隱私是內部網(wǎng)絡非常關心的問題，一個內部網(wǎng)絡中不引人注意的細節(jié)可能包含了有關安全的線索而引起外部攻擊者的興趣，甚至因此而暴漏了內部網(wǎng)絡的某些安全漏洞。使用防火墻就可以隱蔽那些透漏內部細節(jié)如Finger，DNS等服務。Finger顯示了主機的所有用戶的注冊名、真名，最后登錄時間和使用shell類型等。但是Finger顯示的信息非常容易被攻擊者所獲悉。攻擊者可以知道一個系統(tǒng)使用的頻繁程度，這個系統(tǒng)是否有用戶正在連線上網(wǎng)，這個系統(tǒng)是否在被攻擊時引起注意等等。防火墻可以同樣阻塞有關內部網(wǎng)絡中的DNS信息，這樣一臺主機的域名和IP地址就不會被外界所了解。

　　除了安全作用，防火墻還支持具有Internet服務特性的企業(yè)內部網(wǎng)絡技術體系(虛擬專用網(wǎng))。

　　防火墻的分類

　　根據(jù)防火墻的分類標準不同，防火墻可以分為N多種類型，這里我們遵循的，當然是根據(jù)網(wǎng)絡體系結構來進行的分類了，按這樣的標準，可以有以下幾種類型的防火墻：

　　1.網(wǎng)絡級防火墻

　　一般是基于源地址和目的地址、應用或協(xié)議以及每個IP包的端口來作出通過與否的判斷。一個路由器便是一個“傳統(tǒng)”的網(wǎng)絡級防火墻，大多數(shù)的路由器都能通過檢查這些信息來決定是否將所收到的包轉發(fā)，但它不能判斷出一個IP包來自何方，去向何處。

　　先進的網(wǎng)絡級防火墻可以判斷這一點，它可以提供內部信息以說明所通過的連接狀態(tài)和一些數(shù)據(jù)流的內容，把判斷的信息同規(guī)則表進行比較，在規(guī)則表中定義了各種規(guī)則來表明是否同意或拒絕包的通過。包過濾防火墻檢查每一條規(guī)則直至發(fā)現(xiàn)包中的信息與某規(guī)則相符。如果沒有一條規(guī)則能符合，防火墻就會使用默認規(guī)則，一般情況下，默認規(guī)則就是要求防火墻丟棄該包。其次，通過定義基于TCP或UDP數(shù)據(jù)包的端口號，防火墻能夠判斷是否允許建立特定的連接，如Telnet、FTP連接。

　　下面是某一網(wǎng)絡級防火墻的訪問控制規(guī)則：

　　(1)允許網(wǎng)絡123.1.0使用FTP(21口)訪問主機150.0.0.1;

　　(2) 允許IP地址為202.103.1.18和202.103.1.14的用戶Telnet(23口)到主機150.0.0.2上;

　　(3)允許任何地址的E-mail(25口)進入主機150.0.0.3;

　　(4)允許任何WWW數(shù)據(jù)(80口)通過;

　　(5)不允許其他數(shù)據(jù)包進入。

　　網(wǎng)絡級防火墻簡潔、速度快、費用低，并且對用戶透明，但是對網(wǎng)絡的保護很有限，因為它只檢查地址和端口，對網(wǎng)絡更高協(xié)議層的信息無理解能力。

　　2.應用級網(wǎng)關

　　應用級網(wǎng)關就是我們常常說的“代理服務器”，它能夠檢查進出的數(shù)據(jù)包，通過網(wǎng)關復制傳遞數(shù)據(jù)，防止在受信任服務器和客戶機與不受信任的主機間直接建立聯(lián)系。應用級網(wǎng)關能夠理解應用層上的協(xié)議，能夠做復雜一些的訪問控制，并做精細的注冊和稽核。但每一種協(xié)議需要相應的代理軟件，使用時工作量大，效率不如網(wǎng)絡級防火墻。

　　常用的應用級防火墻已有了相應的代理服務器， 例如： HTTP、 NNTP、 FTP、Telnet、rlogin、X-Windows等，但是，對于新開發(fā)的應用，尚沒有相應的代理服務，它們將通過網(wǎng)絡級防火墻和一般的代理服務。

　　應用級網(wǎng)關有較好的訪問控制，是目前最安全的防火墻技術，但實現(xiàn)困難，而且有的應用級網(wǎng)關缺乏"透明度"。在實際使用中，用戶在受信任的網(wǎng)絡上通過防火墻訪問Internet時， 經常會發(fā)現(xiàn)存在延遲并且必須進行多次登錄(Login) 才能訪問Internet或Intranet。

　　3.電路級網(wǎng)關

　　電路級網(wǎng)關用來監(jiān)控受信任的客戶或服務器與不受信任的主機間的TCP握手信息,這樣來決定該會話(Session) 是否合法,電路級網(wǎng)關是在OSI模型中會話層上來過濾數(shù)據(jù)包,這樣比包過濾防火墻要高二層。

　　實際上電路級網(wǎng)關并非作為一個獨立的產品存在，它與其他的應用級網(wǎng)關結合在一起， 如TrustInformationSystems公司的GauntletInternetFirewall;DEC公司的AltaVistaFirewall等產品。 另外，電路級網(wǎng)關還提供一個重要的安全功能：代理服務器(ProxyServer) ，代理服務器是個防火墻，在其上運行一個叫做"地址轉移"的進程，來將所有你公司內部的IP地址映射到一個"安全"的IP地址，這個地址是由防火墻使用的。但是，作為電路級網(wǎng)關也存在著一些缺陷，因為該網(wǎng)關是在會話層工作的，它就無法檢查應用層級的數(shù)據(jù)包。

　　4.規(guī)則檢查防火墻

　　該防火墻結合了包過濾防火墻、電路級網(wǎng)關和應用級網(wǎng)關的特點。它同包過濾防火墻一樣， 規(guī)則檢查防火墻能夠在OSI網(wǎng)絡層上通過IP地址和端口號，過濾進出的數(shù)據(jù)包。它也象電路級網(wǎng)關一樣，能夠檢查SYN和ACK標記和序列數(shù)字是否邏輯有序。當然它也象應用級網(wǎng)關一樣， 可以在OSI應用層上檢查數(shù)據(jù)包的內容，查看這些內容是否能符合公司網(wǎng)絡的安全規(guī)則。

　　規(guī)則檢查防火墻雖然集成前三者的特點，但是不同于一個應用級網(wǎng)關的是，它并不打破客戶機/服務機模式來分析應用層的數(shù)據(jù)， 它允許受信任的客戶機和不受信任的主機建立直接連接。規(guī)則檢查防火墻不依靠與應用層有關的代理，而是依靠某種算法來識別進出的應用層數(shù)據(jù)，這些算法通過已知合法數(shù)據(jù)包的模式來比較進出數(shù)據(jù)包，這樣從理論上就能比應用級代理在過濾數(shù)據(jù)包上更有效。

　　目前在市場上流行的防火墻大多屬于規(guī)則檢查防火墻，因為該防火墻對于用戶透明，在OSI最高層上加密數(shù)據(jù)，不需要你去修改客戶端的程序，也不需對每個需要在防火墻上運行的服務額外增加一個代理。如現(xiàn)在最流行的防火墻之一OnTechnology軟件公司生產的OnGuard和CheckPoint軟件公司生產的FireWall-1防火墻都是一種規(guī)則 檢查防火墻。

　　從趨勢上看，未來的防火墻將位于網(wǎng)絡級防火墻和應用級防火墻之間，也就是說，網(wǎng)絡級防火墻將變得更加能夠識別通過的信息，而應用級防火墻在目前的功能上則向“透明”、“低級”方面發(fā)展。最終防火墻將成為一個快速注冊稽查系統(tǒng)，可保護數(shù)據(jù)以加密方式通過，使所有組織可以放心地在節(jié)點間傳送數(shù)據(jù)。

　　看了“nternet防火墻功能是什么 ”文章的還看了：

1.防火墻知識入門(2)

2.2016電子商務論文范文3篇