电脑防火墙有什么作用Word文件下载.docx

1、例如，Firewall允许外部访问特定的mailserver和webserver。集中的安全管理Firewall对企业内部网实现集中的安全管理，在Firewall定义的安全规则可以运行于整个内部网络系统，而无须在内部网每台机器上分别设立安全策略。Firewall可以定义不同的认证方法，而不需要在每台机器上分别安装特定的认证软件。外部用户也只需要经过一次认证即可访问内部网。增强的保密性使用Firewall可以阻止攻击者获取攻击网络系统的有用信息，如Figer和Dns。记录和统计网络利用数据以及非法使用数据Firewall可以记录和统计通过Firewall的网络通讯，提供关于网络使用的统计数据，并

2、且，Firewall可以提供统计数据，来判断可能的攻击和探测。策略执行Firewall提供了制定和执行网络安全策略的手段。未设置Firewall时，网络安全取决于每台主机的用户。3.防火墙的种类防火墙总体上分为包过滤、应用级网关和代理服务器等几大类型。数据包过滤数据包过滤（packetFiltering）技术是在网络层对数据包进行选择，选择的依据是系统内设置的过滤逻辑，被称为访问控制表（AccesscontrolTable）。通过检查数据流中每个数据包的源地址、目的地址、所用的端口号、协议状态等因素，或它们的组合来确定是否允许该数据包通过。数据包过滤防火墙逻辑简单，价格便宜，易于安装和使用，网

3、络性能和透明性好，它通常安装在路由器上。路由器是内部网络与Internet连接必不可少的设备，因此在原有网络上增加这样的防火墙几乎不需要任何额外的费用。数据包过滤防火墙的缺点有二：一是非法访问一旦突破防火墙，即可对主机上的软件和配置漏洞进行攻击；二是数据包的源地址、目的地址以及Ip的端口号都在数据包的头部，很有可能被窃听或假冒。应用级网关应用级网关（ApplicationLevelgateways）是在网络应用层上建立协议过滤和转发功能。它针对特定的网络应用服务协议使用指定的数据过滤逻辑，并在过滤的同时，对数据包进行必要的分析、登记和统计，形成报告。实际中的应用网关通常安装在专用工作站系统上。

4、数据包过滤和应用网关防火墙有一个共同的特点，就是它们仅仅依靠特定的逻辑判定是否允许数据包通过。一旦满足逻辑，则防火墙内外的计算机系统建立直接联系，防火墙外部的用户便有可能直接了解防火墙内部的网络结构和运行状态，这有利于实施非法访问和攻击。代理服务代理服务（proxyservice）也称链路级网关或Tcp通道（circuitLevelgatewaysorTcpTunnels），也有人将它归于应用级网关一类。它是针对数据包过滤和应用网关技术存在的缺点而引入的防火墙技术，其特点是将所有跨越防火墙的网络通信链路分为两段。防火墙内外计算机系统间应用层的链接，由两个终止代理服务器上的来实现，外部计算机的网

5、络链路只能到达代理服务器，从而起到了隔离防火墙内外计算机系统的作用。此外，代理服务也对过往的数据包进行分析、注册登记，形成报告，同时当发现被攻击迹象时会向网络管理员发出警报，并保留攻击痕迹。4.设置防火墙的要素网络策略影响Firewall系统设计、安装和使用的网络策略可分为两级，高级的网络策略定义允许和禁止的服务以及如何使用服务，低级的网络策略描述Firewall如何限制和过滤在高级策略中定义的服务。服务访问策略服务访问策略集中在Internet访问服务以及外部网络访问（如拨入策略、sLIp/ppp连接等）。服务访问策略必须是可行的和合理的。可行的策略必须在阻止已知的网络风险和提供用户服务之间

6、获得平衡。典型的服务访问策略是：允许通过增强认证的用户在必要的情况下从Internet访问某些内部主机和服务；允许内部用户访问指定的Internet主机和服务。防火墙设计策略防火墙设计策略基于特定的Firewall，定义完成服务访问策略的规则。通常有两种基本的设计策略：允许任何服务除非被明确禁止；禁止任何服务除非被明确允许。第一种的特点是安全但不好用，第二种是好用但不安全，通常采用第二种类型的设计策略。而多数防火墙都在两种之间采取折衷。增强的认证许多在Internet上发生的入侵事件源于脆弱的传统用户/口令机制。多年来，用户被告知使用难于猜测和破译口令，虽然如此，攻击者仍然在Internet上

7、监视传输的口令明文，使传统的口令机制形同虚设。增强的认证机制包含智能卡，认证令牌，生理特征（指纹）以及基于软件（RsA）等技术，来克服传统口令的弱点。虽然存在多种认证技术，它们均使用增强的认证机制产生难被攻击者重用的口令和密钥。目前许多流行的增强机制使用一次有效的口令和密钥（如smartcard和认证令牌）。5.防火墙在大型网络系统中的部署根据网络系统的安全需要，可以在如下位置部署防火墙：局域网内的VLAn之间控制信息流向时。Intranet与Internet之间连接时（企业单位与外网连接时的应用网关）。在广域网系统中，由于安全的需要，总部的局域网可以将各分支机构的局域网看成不安全的系统，（通

8、过公网chinapac，chinaDDn，FrameRelay等连接）在总部的局域网和各分支机构连接时采用防火墙隔离，并利用Vpn构成虚拟专网。总部的局域网和分支机构的局域网是通过Internet连接，需要各自安装防火墙，并利用netscreen的Vpn组成虚拟专网。在远程用户拨号访问时，加入虚拟专网。Isp可利用netscreen的负载平衡功能在公共访问服务器和客户端间加入防火墙进行负载分担、存取控制、用户认证、流量控制、日志纪录等功能。两网对接时，可利用netscreen硬件防火墙作为网关设备实现地址转换（nAT），地址映射（mAp），网络隔离（DmZ）,存取安全控制，消除传统软件防火墙的

9、瓶颈问题。6.防火墙在网络系统中的作用防火墙能有效地防止外来的入侵，它在网络系统中的作用是：控制进出网络的信息流向和信息包；提供使用和流量的日志和审计；隐藏内部Ip地址及网络结构的细节；篇二：路由器里的防火墙有什么作用防火墙已经成为企业网络建设中的一个关键组成部分。但有很多用户，认为网络中已经有了路由器，可以实现一些简单的包过滤功能，所以，为什么还要用防火墙呢?以下我们针对防火墙与业界应用最多、最具代表性的路由器在安全方面的对比，来阐述为什么用户网络中有了路由器还需要防火墙。一、两种设备产生和存在的背景不同1、两种设备产生的根源不同路由器的产生是基于对网络数据包路由而产生的。路由器需要完成的是

10、将不同网络的数据包进行有效的路由，至于为什么路由、是否应该路由、路由过后是否有问题等根本不关心，所关心的是:能否将不同的网段的数据包进行路由从而进行通讯。防火墙是产生于人们对于安全性的需求。数据包是否可以正确的到达、到达的时间、方向等不是防火墙关心的重点，重点是这个（一系列）数据包是否应该通过、通过后是否会对网络造成危害。2、根本目的不同路由器的根本目的是:保持网络和数据的“通”。防火墙根本的的目的是:保证任何非允许的数据包“不通”。二、核心技术的不同cisco路由器核心的AcL列表是基于简单的包过滤，从防火墙技术实现的角度来说，防火墙是基于状态包过滤的应用级信息流过滤。一个最为简单的应用:企

11、业内网的一台主机，通过路由器对内网提供服务（假设提供服务的端口为tcp1455）。为了保证安全性，在路由器上需要配置成:外-内只允许client访问server的tcp1455端口，其他拒绝。针对现在的配置，存在的安全脆弱性如下:1、Ip地址欺骗（使连接非正常复位）2、Tcp欺骗（会话重放和劫持）存在上述隐患的原因是，路由器不能监测Tcp的状态。如果在内网的client和路由器之间放上防火墙，由于防火墙能够检测Tcp的状态，并且可以重新随机生成Tcp的序列号，则可以彻底消除这样的脆弱性。同时，防火墙的一次性口令认证客户端功能，能够实现在对应用完全透明的情况下，实现对用户的访问控制，其认证支持标

12、准的Radius协议和本地认证数据库，可以完全与第三方的认证服务器进行互操作，并能够实现角色的划分。虽然，路由器的Lock-and-Key功能能够通过动态访问控制列表的方式，实现对用户的认证，但该特性需要路由器提供Telnet服务，用户在使用使也需要先Telnet到路由器上，使用起来不很方便，同时也不够安全（开放的端口为黑客创造了机会）。三、安全策略制定的复杂程度不同路由器的默认配置对安全性的考虑不够，需要一些高级配置才能达到一些防范攻击的作用，安全策略的制定绝大多数都是基于命令行的，其针对安全性的规则的制定相对比较复杂，配置出错的概率较高。防火墙的默认配置既可以防止各种攻击，达到既用既安全，

13、安全策略的制定是基于全中文的guI的管理工具，其安全策略的制定人性化，配置简单、出错率低。四、对性能的影响不同路由器是被设计用来转发数据包的，而不是专门设计作为全特性防火墙的，所以用于进行包过滤时，需要进行的运算非常大，对路由器的cpu和内存的需要都非常大，而路由器由于其硬件成本比较高，其高性能配置时硬件的成本都比较大。防火墙的硬件配置非常高（采用通用的InTeL芯片，性能高且成本低），其软件也为数据包的过滤进行了专门的优化，其主要模块运行在操作系统的内核模式下，设计之时特别考虑了安全问题，其进行数据包过滤的性能非常高。由于路由器是简单的包过滤，包过滤的规则条数的增加，nAT规则的条数的增加，

14、对路由器性能的影响都相应的增加，而防火墙采用的是状态包过滤，规则条数，nAT的规则数对性能的影响接近于零。五、审计功能的强弱差异巨大路由器本身没有日志、事件的存储介质，只能通过采用外部的日志服务器（如syslog，trap）等来完成对日志、事件的存储;路由器本身没有审计分析工具，对日志、事件的描述采用的是不太容易理解的语言;路由器对攻击等安全事件的相应不完整，对于很多的攻击、扫描等操作不能够产生准确及时的事件。审计功能的弱化，使管理员不能够对安全事件进行及时、准确的响应。六、防范攻击的能力不同对于像cisco这样的路由器，其普通版本不具有应用层的防范功能，不具有入侵实时检测等功能，如果需要具有这样的功能，就需要生级升级Ios为防火墙特性集，此时不单要承担软件的升级费用，同时由于这些功能都需要进行大量的运算，还需要进行硬件配置的升级，进一步增加了成本，而且很多厂家的路由器不具有这样的高级安全功能。可以得出:具有防火墙特性的路由器成本防火墙+路由器具有防火墙特性的路由器功能具有防火墙特性的路由器可扩展性综上所述，可以得出结论:用户的网络拓扑结构的简单与复杂、用户应用程序的难易程度不是决定是否应该使用防火墙的标准，决定用户是否使用防火墙的一个根