入侵检测与防火墙防火墙的功能
第五组
黄晨辉20131070141
郑东亮20131070123
颜串怀20131070131
罗维念20131070114
防火墙的主要功能
从宏观方面对防火墙的功能进行综合描述，防火墙的主要功能有以
下4个方面：
1、创建一个阻塞点：
防火墙在一个公司内部网络和外部网络间建立一个检查点。

这种实
现要求所有的流量都要通过这个检查点。

一旦这些检查点清楚的建立，防火墙设备就可以监视，过滤和检查所有进出的流量。

这样一
个检查点，在网络安全行业里就叫做“阻塞点”。

通过强制所有进
出流量都通过这些检查点，网络管理员可以集中在较少的地方来实
现安全目的。

2、隔离不同网络，防止内部信息泄露：
防火墙最基本的功能，它通过隔离内、外部网络来确保内部网络的安全，也限制了局部重点或敏感网络安全问题对全局网络造成的影响，比如可隐藏那些能透露内部细节的如Finger,DNS等服务。

3、强化安全策略：
通过以防火墙为中心的安全方案配置，能将所有安全软件（如口令、加密、身份认证、审计等）配置在防火墙上。

与将网络安全问题分
散到各个主机相比，防火墙的集中安全管理更经济。

各种安全措施
的有机结合，更能有效地对网络安全性能起到加强作用。

4、有效地审计和记录内、外部网络上的活动：
防火墙可以对内外部网络存取和访问进行监控审计。

如果所有的访
问都经过防火墙，那么，防火墙就能记录下这些访问并进行日志记录，同时也能提供网络使用情况的统计数据。

当发生可疑动作时，
防火墙能进行适当报警，并提供网络是否受到监测和攻击的详细信息。

从微观方面对防火墙的功能进行综合描述，防火墙的主要功能有以
下5个方面：
1、包过滤：
包过滤是防火墙所要实现的最基本的功能，现在的防火墙已经由最
初的地址、端口判断控制，发展到判断通信报文协议头的各部分，
以及通信协议的应用层命令、内容、用户认证、用户规则甚至状态
检测等。

2、审计和报警机制：
在防火墙结合网络配置和安全策略对相关数据分析完成以后，就要
做出接受、拒绝、丢弃或加密等决定。

如果某个访问违反安全策略，审计和报警机制就开始起作用，并作记录和报告。

审计是一种重要
的安全举措，用以监控通信行为和完善安全策略，检查安全漏洞和
错误配置。

报警机制是在通信违反相关安全策略后，防火墙可以有
多种方式及时向管理员进行报警，如声音、邮件、电话、手机短信等。

3、NAT（网络地址转换）：
网络地址转换功能现在也成为防火墙的标准配置之一。

通过此项功
能就可以很好地屏蔽内部网络的IP地址，对内部网络用户起到保护作用。

4、Proxy(代理)：
在防火墙代理服务中，主要有如下两种实现方式：
透明代理：透明代理是指内部网络主机需要访问外部网络主机时，
不需要做任何设置，完全意识不到防火墙的存在。

而从外部网络只
能看到防火墙，这就影藏了内部网络，提高了安全性。

传统代理：传统代理工作原理与透明代理相似，所不同的是需要在
客户端设置代理服务器。

如前所述，代理能实现较高的安全性，不
足之处是响应变慢。

5、流量控制和统计分析、流量计费：
流量控制可以分为基于IP地址的控制和基于用户的控制。

基于IP
地址的控制是对通过防火墙各个网络接口的流量进行控制，基于用
户的控制是通过用户登录来控制每个用户的流量，从而防止某些应
用或用户占用户过多的资源。

并通过流量控制可以保证重要用户和
重要接口的连接。

流量统计是建立在流量控制基础之上的。

一般防火墙通过对基于IP、服务、时间、协议等等进行统计，并可以与管理界面实现挂接，实
现或者以统计报表的形式输出结果。

流量计费从而也是非常容易实
现的。