计算机网络 防火墙的主要功能
作为网络中重要的安全保护设备，防火墙能够向用户网络提供访问控制、防御各种攻击、安全控制、管理功能以及日志与报表功能。

1．访问控制
防火墙能够通过包过滤机制对网络间的访问进行控制，它按照网络管理员制定的访问规则，通过对比数据包包头中的标识信息，拦截不符合规则的数据包并将其丢弃。

防火墙进行包过滤的依据主要是IP 包头部信息（如源地址和目的地址），如果IP 包头中的协议字段表明封装协议为ICMP 、TCP 或UDP ，那么再根据ICMP 头信息（类型和代码值）、TCP 头信息（源端口和目的端口）或UDP 头信息（源端口和目的端口）执行过滤，部分防火墙还会根据MAC 地址进行过滤。

应用层协议过滤主要包括FTP 过滤、基于RPC 的应用服务过滤、基于UDP 的应用服务过滤以及动态包过滤技术等。

2．防御功能
防火墙还具备有防御常见攻击的能力，这些攻击包括病毒、DDos 攻击以及恶意代码入侵等。

● 支持文件扫描 防火墙能够扫描通过FTP 上传与下载的文件或者电子邮件的附件，以发现其中包含的危险信息。

● 防御DDoS 类型攻击 防火墙通过控制、检测与报警等机制，能够在一定程度上防止或减轻DDoS 类攻击
● 阻止恶意代码入侵 防火墙能够从HTTP 页面中剥离Java 、Applet 、ActiveX 等小程序并从Script 、PHP 和ASP 等代码中检测出危险代码或病毒，并向浏览器用户报警。

同时，防火墙还能够阻止用户上载带有危险代码的CGI 、ASP 等程序。

3．报
警机制 防火墙的报警机制主要由入侵实时警告与防范和识别、记录以及防止IP 地址欺骗等功能组成。

报警机制保证了网络在受到攻击时，防火墙能够及时通知网络管理员，并尽可能的调整安全策略以应对攻击。

4．管理功能 防火墙的管理方式分为本地管理、远程管理和集中管理三种，不同防火墙产品的管理功能也有所差异。

一般来讲，防火墙的管理功能主要包括防火墙管理身份验证、编写安全规则、配置防火墙安全参数、查看防火墙日志、SNMP 监视和配置等。

除此之外，部分防火墙产品还支持集中管理策略、带宽管理和负载均衡特性等管理功能。

5．日志与报表功能
提
示 防火墙的包过滤规则应该涵盖对所有经过防火墙的数据包的处理方法，对于没有明确定义的数据包，应该有一个缺省处理方法。

此外，过滤规则应易于理解，便于编辑修改，同时应具备一致性检测机制，防止规则冲突。

提 示 DDoS 即拒绝服务攻击，是攻击者通过非法手段过多地占用网络共享资源，导致服务
器超载或系统资源耗尽，从而使其他用户无法享有服务或资源的一种攻击方法。

提 示 IP 地址欺骗指使用伪装的IP 地址作为IP 包的源地址对受保护网络进行攻击，防火墙需要禁止来自外部网络而源地址是内部IP 地址的数据包通过。

防火墙日志是网络管理员调整和完善防火墙安全策略的重要资料。

目前，常见的防火墙一般都能提供以下几种与日志相关的服务功能。

●日志自动扫描防火墙具有日志的扫描和自动分析功能，这样可以在防火墙日志的
基础上得到更详细的统计结果，为网络管理员修改安全策略提供参考依据。

●日志报告、报表书写器这是防火墙提供的一种日志报告和自动报表输出功能。

●提供简要报表这是一种按照用户ID或IP地址向管理员提供的自定义报表输出功
能。

●实时统计防火墙的一种输出方式，能够以图表的方式显示出分析防火墙日志后得
出的智能统计结果。