一、防火墻的作用有哪些

我們知道，原是指古代人們房屋之間修建的那道墻，這道墻可以防止火災發生的時候蔓延到別的房屋。而這里所說的防火墻當然不是指物理上的防火墻，而是指隔離在本地網絡與外界網絡之間的一道防御系統，那么具體的防火墻的作用有哪些呢？

1、過濾(lv)進出網(wang)絡的數據?

2、管理進出訪問網絡的行(xing)為?

3、封堵某些禁止業(ye)務?

4、記錄(lu)通過防火墻信息內(nei)容和活動?

5、對網絡(luo)攻擊檢測和告警

二、實施防火墻主要采用什么技術

實施防火墻(qiang)主要采用以(yi)下(xia)技術：

1、代理技術

代(dai)(dai)理(li)(li)系(xi)統是一(yi)(yi)種將信(xin)息從(cong)防火(huo)墻的(de)(de)一(yi)(yi)側傳送到另(ling)一(yi)(yi)側的(de)(de)軟件模塊。新一(yi)(yi)代(dai)(dai)防火(huo)墻采(cai)用(yong)了(le)兩種代(dai)(dai)理(li)(li)機制，一(yi)(yi)種用(yong)于代(dai)(dai)理(li)(li)從(cong)內部(bu)網絡到外(wai)(wai)部(bu)網絡的(de)(de)連接(jie)，另(ling)一(yi)(yi)種用(yong)于代(dai)(dai)理(li)(li)從(cong)外(wai)(wai)部(bu)網絡到內部(bu)網絡的(de)(de)連接(jie)。前者(zhe)(zhe)采(cai)用(yong)網絡地址(zhi)轉換(NAT)技(ji)術來(lai)解決，后者(zhe)(zhe)采(cai)用(yong)非保密的(de)(de)用(yong)戶定制代(dai)(dai)理(li)(li)或保密的(de)(de)代(dai)(dai)理(li)(li)系(xi)統技(ji)術來(lai)解決。

2、多級過濾技術

就是在防火墻中設置多層(ceng)過濾規則。在網絡層(ceng)，利用分組過濾技術攔截所(suo)有(you)(you)假冒(mao)的(de)(de)IP源地址和源路由分組；根據(ju)過濾規則，傳輸層(ceng)攔截所(suo)有(you)(you)禁止出(chu)/入的(de)(de)協(xie)議(yi)和數據(ju)包；在應(ying)用層(ceng)，利用FTP、SMTP等網關對各(ge)種(zhong)Internet的(de)(de)服務進(jin)行監(jian)測(ce)和控制(zhi)。

為保(bao)證(zheng)系統(tong)的安全性和防(fang)護(hu)水(shui)平，新一代防(fang)火墻采用(yong)了三級(ji)(ji)(ji)過(guo)濾(lv)措(cuo)施，并輔以鑒別手段。在分組過(guo)濾(lv)一級(ji)(ji)(ji)，能過(guo)濾(lv)掉所有的源(yuan)(yuan)路由分組和假冒的IP源(yuan)(yuan)地址。在應(ying)用(yong)級(ji)(ji)(ji)網關一級(ji)(ji)(ji)，能利用(yong)FTP、SMTP等各(ge)種(zhong)網關，控(kong)制和監測Internet提供的所用(yong)通(tong)用(yong)服務；在電路網關一級(ji)(ji)(ji)，實現內部(bu)(bu)主機與外部(bu)(bu)站點的透明(ming)連接(jie)，并對服務的通(tong)行(xing)實行(xing)嚴格控(kong)制。

3、多端口技術

具有兩(liang)個或三個獨立(li)的網卡，內外(wai)兩(liang)個網卡可不作(zuo)IP轉化而(er)串(chuan)接于(yu)內部(bu)網與外(wai)部(bu)網之間，另(ling)一個網卡可專(zhuan)用(yong)于(yu)對服(fu)務(wu)器的安全保護(hu)。

4、NAT轉換技術

利用(yong)NAT技(ji)術(shu)能(neng)透明地對所有內(nei)部(bu)(bu)地址作轉換(huan)，使外(wai)部(bu)(bu)網(wang)絡(luo)(luo)(luo)無法了解內(nei)部(bu)(bu)網(wang)絡(luo)(luo)(luo)的(de)內(nei)部(bu)(bu)結構(gou)，同時允許內(nei)部(bu)(bu)網(wang)絡(luo)(luo)(luo)使用(yong)自己定制的(de)IP地址和專(zhuan)用(yong)網(wang)絡(luo)(luo)(luo)，防(fang)火墻能(neng)詳盡記錄每一個(ge)主機的(de)通信(xin)，確(que)保每個(ge)分組送往正確(que)的(de)地址。同時使用(yong)NAT的(de)網(wang)絡(luo)(luo)(luo)，與外(wai)部(bu)(bu)網(wang)絡(luo)(luo)(luo)的(de)連(lian)接只能(neng)由內(nei)部(bu)(bu)網(wang)絡(luo)(luo)(luo)發起，極大地提(ti)高了內(nei)部(bu)(bu)網(wang)絡(luo)(luo)(luo)的(de)安全性(xing)。NAT的(de)另(ling)一個(ge)顯而易見(jian)的(de)用(yong)途是(shi)解決IP地址匱(kui)乏(fa)問(wen)題。

5、透明訪問技術

防火墻利用了透明的代理(li)系統技(ji)術，從而降(jiang)低了系統登錄(lu)固有的安(an)全風險(xian)和出錯(cuo)概(gai)率。

6、防病毒技術

防(fang)火(huo)墻具有(you)著(zhu)防(fang)病(bing)毒的(de)(de)(de)(de)(de)(de)功(gong)能，在(zai)(zai)防(fang)病(bing)毒技術(shu)的(de)(de)(de)(de)(de)(de)應用(yong)(yong)中，其主要(yao)(yao)包括病(bing)毒的(de)(de)(de)(de)(de)(de)預防(fang)、清(qing)除和檢測等方(fang)面。防(fang)火(huo)墻的(de)(de)(de)(de)(de)(de)防(fang)病(bing)毒預防(fang)功(gong)能來(lai)(lai)說，在(zai)(zai)網(wang)(wang)(wang)絡(luo)的(de)(de)(de)(de)(de)(de)建設過(guo)程中，通過(guo)安(an)裝相應的(de)(de)(de)(de)(de)(de)防(fang)火(huo)墻來(lai)(lai)對計(ji)(ji)算(suan)機和互聯網(wang)(wang)(wang)間(jian)的(de)(de)(de)(de)(de)(de)信(xin)息(xi)(xi)數據(ju)進行(xing)(xing)(xing)嚴格的(de)(de)(de)(de)(de)(de)控制(zhi)，從而形成一(yi)種安(an)全的(de)(de)(de)(de)(de)(de)屏障(zhang)(zhang)來(lai)(lai)對計(ji)(ji)算(suan)機外網(wang)(wang)(wang)以及內網(wang)(wang)(wang)數據(ju)實施(shi)保護。計(ji)(ji)算(suan)機網(wang)(wang)(wang)絡(luo)要(yao)(yao)想進行(xing)(xing)(xing)連接，一(yi)般(ban)都是通過(guo)互聯網(wang)(wang)(wang)和路由器連接實現的(de)(de)(de)(de)(de)(de)，則對網(wang)(wang)(wang)絡(luo)保護就需要(yao)(yao)從主干網(wang)(wang)(wang)的(de)(de)(de)(de)(de)(de)部分開(kai)始，在(zai)(zai)主干網(wang)(wang)(wang)的(de)(de)(de)(de)(de)(de)中心資(zi)源實施(shi)控制(zhi)，防(fang)止服(fu)務器出(chu)現非法的(de)(de)(de)(de)(de)(de)訪問(wen)，為了(le)杜(du)絕外來(lai)(lai)非法的(de)(de)(de)(de)(de)(de)入侵對信(xin)息(xi)(xi)進行(xing)(xing)(xing)盜用(yong)(yong)，在(zai)(zai)計(ji)(ji)算(suan)機連接的(de)(de)(de)(de)(de)(de)端口所接入的(de)(de)(de)(de)(de)(de)數據(ju)，還(huan)要(yao)(yao)進行(xing)(xing)(xing)以太網(wang)(wang)(wang)和IP地址(zhi)的(de)(de)(de)(de)(de)(de)嚴格檢查(cha)，被盜用(yong)(yong)IP地址(zhi)會被丟(diu)棄，同時還(huan)會對重(zhong)要(yao)(yao)信(xin)息(xi)(xi)資(zi)源進行(xing)(xing)(xing)全面記錄(lu)，保障(zhang)(zhang)其計(ji)(ji)算(suan)機的(de)(de)(de)(de)(de)(de)信(xin)息(xi)(xi)網(wang)(wang)(wang)絡(luo)具有(you)良好安(an)全性。

7、加密技術

計(ji)算機(ji)(ji)信(xin)息(xi)(xi)傳(chuan)(chuan)(chuan)輸的(de)(de)(de)(de)過程中，借助防火墻(qiang)(qiang)還能夠有(you)效的(de)(de)(de)(de)實現信(xin)息(xi)(xi)的(de)(de)(de)(de)加(jia)密(mi)(mi)(mi)，通過這種加(jia)密(mi)(mi)(mi)技(ji)術(shu)，相(xiang)關人員(yuan)就(jiu)能夠對(dui)傳(chuan)(chuan)(chuan)輸的(de)(de)(de)(de)信(xin)息(xi)(xi)進(jin)(jin)行(xing)(xing)有(you)效的(de)(de)(de)(de)加(jia)密(mi)(mi)(mi)，其中信(xin)息(xi)(xi)密(mi)(mi)(mi)碼是信(xin)息(xi)(xi)交流的(de)(de)(de)(de)雙方進(jin)(jin)行(xing)(xing)掌握，對(dui)信(xin)息(xi)(xi)進(jin)(jin)行(xing)(xing)接受的(de)(de)(de)(de)人員(yuan)需(xu)要(yao)對(dui)加(jia)密(mi)(mi)(mi)的(de)(de)(de)(de)信(xin)息(xi)(xi)實施(shi)解密(mi)(mi)(mi)處理(li)后(hou)，才能獲取所傳(chuan)(chuan)(chuan)輸的(de)(de)(de)(de)信(xin)息(xi)(xi)數據，在(zai)防火墻(qiang)(qiang)加(jia)密(mi)(mi)(mi)技(ji)術(shu)應用(yong)(yong)中，要(yao)時(shi)刻注意信(xin)息(xi)(xi)加(jia)密(mi)(mi)(mi)處理(li)安(an)全性(xing)的(de)(de)(de)(de)保障。在(zai)防火墻(qiang)(qiang)技(ji)術(shu)應用(yong)(yong)中，想要(yao)實現信(xin)息(xi)(xi)的(de)(de)(de)(de)安(an)全傳(chuan)(chuan)(chuan)輸，還需(xu)要(yao)做好用(yong)(yong)戶(hu)身(shen)份的(de)(de)(de)(de)驗(yan)(yan)證(zheng)，在(zai)進(jin)(jin)行(xing)(xing)加(jia)密(mi)(mi)(mi)處理(li)后(hou)，信(xin)息(xi)(xi)的(de)(de)(de)(de)傳(chuan)(chuan)(chuan)輸需(xu)要(yao)對(dui)用(yong)(yong)戶(hu)授權，然后(hou)對(dui)信(xin)息(xi)(xi)接收方以及發送方要(yao)進(jin)(jin)行(xing)(xing)身(shen)份的(de)(de)(de)(de)驗(yan)(yan)證(zheng)，從而建(jian)立信(xin)息(xi)(xi)安(an)全傳(chuan)(chuan)(chuan)遞(di)的(de)(de)(de)(de)通道，保證(zheng)計(ji)算機(ji)(ji)的(de)(de)(de)(de)網絡信(xin)息(xi)(xi)在(zai)傳(chuan)(chuan)(chuan)遞(di)中具有(you)良(liang)好的(de)(de)(de)(de)安(an)全性(xing)，非(fei)法分子不擁有(you)正確的(de)(de)(de)(de)身(shen)份驗(yan)(yan)證(zheng)條件，因此，其就(jiu)不能對(dui)計(ji)算機(ji)(ji)的(de)(de)(de)(de)網絡信(xin)息(xi)(xi)實施(shi)入(ru)侵(qin)。