防火墙的功能

8.1.2　防火墙的功能

防火墙是一种有效的网络安全控制机制。其基本功能是对通过的数据包按设定的规则进行分析和过滤，确保网络流量的合法性。但由于防火墙的种类众多，为了满足不同的应用，不同型号和品牌的防火墙功能差异也较大。一般地，防火墙应该具备以下一些主要功能:

(1)实施安全策略，防火墙是内外网络的枢纽，建立以防火墙为中心的网络安全防御系统，不仅管理方便，而且风险较低，能够将互联网上大部分威胁拒之门外。

(2)过滤传输数据，防火墙检查每一个通过的包，查看包中可用的基本信息(源地址和目的地址、端口号、协议等)。然后，将这些信息与设立的规则相匹配，满足条件则按规则预定动作处理(接受或丢弃)。例如已经设立了阻断telnet连接，而包的目的端口是23的话，那么该包就会被丢弃。如果允许传入Web连接，而目的端口为80，则包就会被放行。为了实现更加高级的功能，可是使用多个复杂规则的组合。一个由状态包检查防火墙跟踪的不仅是包中包含的信息，还可对数据包的行为进行跟踪。为了跟踪包的状态，防火墙须记录有用的信息以帮助识别包，例如已有的网络连接、数据的传出请求等。例如，如果传入的包包含视频数据流，而防火墙可能已经记录了有关信息，是关于位于特定IP地址的应用程序最近向发出包的源地址请求视频信号的信息。如果传入的包是要传给发出请求的相同系统，防火墙进行匹配，包就可以被允许通过。

(3)记录互联网活动，防火墙可以记录下所有通过它的访问并提供网络使用情况的统计数据，不仅方便网络管理员的管理和分析，也可以有效地对网络活动进行监控。

(4)保护内部网络信息，防火墙可以允许受保护网段或主机不被外部网访问，从而保护了局部重要或敏感的网络设备和数据。

(5)IP地址转换，利用网络地址转换(NAT)技术，将有限的IP地址动态或静态地与内部的IP地址对应起来，用来缓解地址空间短缺的问题。

各种的防火墙的构造是不同的，有的是一台主机，有的甚至是一个分布系统，功能也有一定的差异。防火墙功能是否满足需要，主要取决于网络的安全要求和工程预算等综合因素。