什么是防火墙防火墙的功能有哪些 防火墙的作用主要有哪些

什么是防火墙？防火墙是指设置在不同网络(如可信内网和不可信公网)或网络安全域之间的一系列组件的组合。它可以监控、限制和改变穿越防火墙的数据流，尽可能地从外部屏蔽网络的

防火墙是指设置在不同网络(如可信内网和不可信公网)或网络安全域之间的一系列组件的组合。它可以监控、限制和改变穿越防火墙的数据流，尽可能地从外部屏蔽网络的信息、结构和运行，从而实现网络的安全保护。从逻辑上来说，防火墙是一个分离器，一个限制器，一个分析器，有效地监控内网和互联网之间的任何活动，保证内网的安全。

防火墙是一种硬件设备或软件系统，主要设置在内部网络和外部网络之间。为了防止外部恶意程序破坏内部系统或防止内部重要信息流出，它具有双向监管功能。通过防火墙管理员的配置，可以灵活调整安全级别。

一般来说，防火墙分为包过滤、应用层网关和代理服务器。它包括以下核心技术:

包过滤技术是一种简单有效的安全控制技术，工作在网络层。通过加载诸如允许和禁止某些源地址、目的地址、TCP端口号等规则。在网络间连接的设备上，通过设备的数据包会受到检查，并被限制进出内部网络。

包过滤最大的优点是对用户透明，传输性能高。但由于安全控制级别在网络层和传输层，安全控制只限于源地址、目的地址和端口号，所以只能进行初步的安全控制，对于恶意拥塞攻击、内存覆盖攻击或病毒等高层攻击无能为力。

代理防火墙工作在OSI的第七层，它通过检查所有的应用层数据包，并将检查的内容信息放入决策过程中，可以提高网络的安全性。

网关防火墙是通过打破客户机/服务器模式实现的。每个客户机/服务器通信需要两个连接:一个从客户机到防火墙，另一个从防火墙到服务器。此外，每个代理需要不同的应用进程或在后台运行的服务程序。对于每个新的应用程序，必须添加该应用程序的服务程序，否则不能使用该服务。所以应用网关防火墙有扩展性差的缺点。

状态防火墙工作在OSI的第二至第四层，采用状态包过滤技术，是传统包过滤功能的扩展。状态检测防火墙在网络层有一个检查引擎，用于拦截数据包并提取与应用层状态相关的信息，然后决定是接受还是拒绝连接。该技术提供了一种高度安全的解决方案，具有良好的适应性和可扩展性。通常，状态防火墙还包括一些代理级服务，为特定的应用程序数据内容提供额外的支持。

状态防火墙基本保持了简单包过滤防火墙的优点，具有良好的性能和对应用的透明性。在此基础上，安全性有了很大的提高。这种防火墙摒弃了简单包过滤防火墙只检查进出网络的数据包，而不关心数据包状态的缺点。它在防火墙的核心部分建立状态连接表，维护连接，将进出网络的数据作为事件处理。主要特点是由于缺乏应用层协议的深度检测功能，无法彻底识别数据包中的大量垃圾邮件、广告、木马等。

完整的内容检测技术防火墙集成了状态检测和应用代理技术，并在此基础上将反病毒、内容过滤、应用识别等功能集成到基于多层检测架构的防火墙中，该防火墙还包含IPS功能。它在网络接口扫描应用层，将反病毒、内容过滤和防火墙结合在一起，体现了一种新的网络与信息安全思想(因此也被称为“下一代防火墙技术”)。

在网络边缘实现OSI第7层的内容扫描，在网络边缘实现病毒防护、内容过滤等应用层服务措施的实时部署。完整内容检测技术的防火墙可以检查整个数据包的内容，根据需要建立连接状态表，具有网络层强保护、应用层精细控制等优点。但由于其功能集成度高，对产品硬件要求较高。

通过过滤不安全的服务，防火墙可以大大提高网络安全性，降低子网内主机的风险。例如，防火墙可以阻止NIS和NFS服务通过，防火墙可以拒绝源路由和ICMP重定向数据包。

防火墙可以提供对系统的访问控制。例如，一些主机被允许从外部访问，而另一些则被禁止。例如，防火墙允许外部访问特定的邮件服务器和Web服务器。

防火墙对企业内网实施集中的安全管理，防火墙中定义的安全规则可以在整个内网系统中运行，而不需要在内网的每台机器上设置安全策略。防火墙可以定义不同的身份验证方法，而无需在每台机器上安装特定的身份验证软件。外部用户只需要认证一次就可以访问内部网。

防火墙可以阻止攻击者获取有用的信息来攻击网络系统，如Figer和DNS。

防火墙可以记录和统计通过防火墙的网络通信，并提供网络使用情况的统计。此外，防火墙可以提供统计数据来判断可能的攻击和检测。

防火墙提供了一种制定和实施网络安全策略的方法。当没有设置防火墙时，网络安全依赖于每台主机的用户。