防火墻具有很好的保護(hù)作用。入侵者必須首先穿越防火墻的安全防線，才能接觸目標(biāo)計(jì)算機(jī)。下面是小編整理的防火墻的作用主要有哪些，歡迎大家閱讀分享借鑒，希望對(duì)大家有所幫助。

防火墻的作用

防火墻是系統(tǒng)的第一道防線，其主要作用是防止非法用戶(hù)的進(jìn)入，具有很好的保護(hù)作用。

防火墻的具體功能主要包括“網(wǎng)絡(luò)安全”與“數(shù)據(jù)庫(kù)安全”，包含內(nèi)容如下：

強(qiáng)化內(nèi)部網(wǎng)絡(luò)的安全性

防火墻可以限制非法用戶(hù)，比如防止黑客、網(wǎng)絡(luò)破壞者等進(jìn)入內(nèi)部網(wǎng)絡(luò)，禁止存在安全脆弱性的服務(wù)和未授權(quán)的通信進(jìn)出網(wǎng)絡(luò)，并抗擊來(lái)自各種路線的攻擊。對(duì)網(wǎng)絡(luò)存取和訪問(wèn)進(jìn)行記錄、監(jiān)控作為單一的網(wǎng)絡(luò)接入點(diǎn)，所有進(jìn)出信息都必須通過(guò)防火墻，所以防火墻非常適用收集關(guān)于系統(tǒng)和網(wǎng)絡(luò)使用和誤用的信息并做出日志記錄

限定內(nèi)部用戶(hù)訪問(wèn)特殊站點(diǎn)

防火墻通過(guò)用戶(hù)身份認(rèn)證來(lái)確定合法用戶(hù)。防火墻通過(guò)事先確定的完全檢查策略，來(lái)決定內(nèi)部用戶(hù)可以使用哪些服務(wù)，可以訪問(wèn)哪些網(wǎng)站

限制暴露用戶(hù)點(diǎn)，防止內(nèi)部攻擊

利用防火墻對(duì)內(nèi)部網(wǎng)絡(luò)的劃分，可實(shí)現(xiàn)網(wǎng)絡(luò)中網(wǎng)段的隔離，防止影響一個(gè)網(wǎng)段的問(wèn)題通過(guò)整個(gè)網(wǎng)絡(luò)傳播，從而限制了局部重點(diǎn)或敏感網(wǎng)絡(luò)安全問(wèn)題對(duì)全局網(wǎng)絡(luò)造成的影響，同時(shí)，保護(hù)一個(gè)網(wǎng)段不受來(lái)自網(wǎng)絡(luò)內(nèi)部其它網(wǎng)段的攻擊

網(wǎng)絡(luò)地址轉(zhuǎn)換(NAT，Network Address Translation)

防火墻可以作為部署NAT的邏輯地址，因此防火墻可以用來(lái)緩解地址空間短缺的問(wèn)題，并消除機(jī)構(gòu)在變換ISP時(shí)帶來(lái)的重新編址的麻煩

虛擬專(zhuān)用網(wǎng)(，Virtual Private Network)

防火墻還支持具有Internet服務(wù)特性的企業(yè)內(nèi)部網(wǎng)絡(luò)技術(shù)體系。通過(guò)將企事業(yè)單位在地域上分布在全世界各地的LAN或?qū)Ｓ米泳W(wǎng)，有機(jī)地聯(lián)成一個(gè)整體。不僅省去了專(zhuān)用通信線路，而且為信息共享提供了技術(shù)保障。

防火墻的用途和作用

Internet的發(fā)展給企業(yè)帶來(lái)了革命性的改革和開(kāi)放，企業(yè)正努力通過(guò)利用它來(lái)提高市場(chǎng)反應(yīng)速度和辦事效率，以便更具競(jìng)爭(zhēng)力。企業(yè)通過(guò)Internet，可以從異地取回重要數(shù)據(jù)，同時(shí)又要面對(duì)Internet開(kāi)放帶來(lái)的數(shù)據(jù)安全的新挑戰(zhàn)和新危險(xiǎn)：即客戶(hù)、銷(xiāo)售商、移動(dòng)用戶(hù)、異地員工和內(nèi)部員工的安全訪問(wèn);以及保護(hù)企業(yè)的機(jī)密信息不受黑客和工業(yè)間諜的入侵。因此企業(yè)必須加注安全的“戰(zhàn)壕”，而這些“戰(zhàn)壕”又要在哪里修建呢?

基于Internet體系應(yīng)用有兩大部分：Intranet和Extranet。Intranet是借助Internet的技術(shù)和設(shè)備在Internet上面構(gòu)造出企業(yè)3W網(wǎng)，可放入企業(yè)全部信息;而Extranet是在電子商務(wù)、互相合作的需求下，用Intranet間的通道，可獲得其它體系中部分信息。因此按照一個(gè)企業(yè)的安全體系可知防火墻戰(zhàn)壕須在以下位置上位置：

①保證對(duì)主機(jī)和應(yīng)用安全訪問(wèn);

②保證多種客戶(hù)機(jī)和服務(wù)器的安全性;

③保護(hù)關(guān)鍵部門(mén)不受到來(lái)自?xún)?nèi)部的攻擊、外部的攻擊、為通過(guò)Internet與遠(yuǎn)程訪問(wèn)的雇員、客戶(hù)、供應(yīng)商提供安全通道。同時(shí)防火墻的安全性還要來(lái)自其良好的技術(shù)性能。

防火墻無(wú)法干什么

(1)防火墻管不到內(nèi)部惡人

如果惡人已經(jīng)在防火墻內(nèi)可以無(wú)須接近防火墻，就可以偷竊資料、損壞硬體和軟體，并巧妙的修改程式。內(nèi)部威脅需要內(nèi)部安全措施，例如機(jī)房安全管理措施及人員訓(xùn)練

(2)防火墻管不到不經(jīng)過(guò)它的連線

對(duì)於不經(jīng)過(guò)防火墻的傳輸，防火墻就無(wú)法發(fā)揮作用。例如某些站臺(tái)允許直接通到內(nèi)部主機(jī)的撥入存取或是技術(shù)及系統(tǒng)管理者會(huì)為他們自己設(shè)置進(jìn)入網(wǎng)路等。

(3)防火墻無(wú)法防范全新的威脅

防火墻的設(shè)計(jì)是為了防范已知的威脅，一個(gè)設(shè)計(jì)完善的防火墻或許可以防范一些新威脅，如：除了少數(shù)可靠的服務(wù)外，拒絕一切其他的服務(wù)就可以防止使用者設(shè)置新的極不安全的服務(wù)。

(4)防火墻無(wú)法防范病毒

防火墻無(wú)法防范PC和Macintosh病毒進(jìn)入網(wǎng)路，雖然防火墻會(huì)就來(lái)源位址、目的位址及port號(hào)碼作掃描，但不是細(xì)部資料，且使用最精巧的封包過(guò)濾或代理軟體對(duì)於防火墻而言也不太實(shí)際。

防火墻的主要性能指標(biāo)

防火墻在性能方面的指標(biāo)主要包括如下幾個(gè)方面：

最大吞吐量：檢查防火墻在只有一條默認(rèn)允許規(guī)則和不丟包的情況下達(dá)到的最大吞吐速率，如網(wǎng)絡(luò)層吞吐量、HTTP 吞吐暈、SQL 吞吐量;

最大連接速率： TCP 新建連接速率、HTTP 請(qǐng)求速率、SQL 請(qǐng)求速率;

最大規(guī)則數(shù)：檢查在添加大數(shù)量訪問(wèn)規(guī)則的情況下，防火墻性能變化狀況;

并發(fā)連接數(shù)：防火墻在單位時(shí)間內(nèi)所能

防火墻的使用技巧

1、所有的防火墻文件規(guī)則必須更改

防火墻管理產(chǎn)品的中央控制臺(tái)能全面可視所有的防火墻規(guī)則基礎(chǔ)，因此團(tuán)隊(duì)的所有成員都必須達(dá)成共識(shí)，觀察誰(shuí)進(jìn)行了何種更改。這樣就能及時(shí)發(fā)現(xiàn)并修理故障，讓整個(gè)協(xié)議管理更加簡(jiǎn)單和高效。

2、以最小的權(quán)限安裝所有的訪問(wèn)規(guī)則

另一個(gè)常見(jiàn)的安全問(wèn)題是權(quán)限過(guò)度的規(guī)則設(shè)置。防火墻規(guī)則是由三個(gè)域構(gòu)成的：即源(IP地址)，目的地(網(wǎng)絡(luò)/子網(wǎng)絡(luò))和服務(wù)(應(yīng)用軟件或者其他目的地)。為了確保每個(gè)用戶(hù)都有足夠的端口來(lái)訪問(wèn)他們所需的系統(tǒng)，常用方法是在一個(gè)或者更多域內(nèi)指定打來(lái)那個(gè)的目標(biāo)對(duì)象。

3、根據(jù)法規(guī)協(xié)議和更改需求來(lái)校驗(yàn)每項(xiàng)防火墻的更改

在防火墻操作中，日常工作都是以尋找問(wèn)題，修正問(wèn)題和安裝新系統(tǒng)為中心的。在安裝最新防火墻規(guī)則來(lái)解決問(wèn)題，應(yīng)用新產(chǎn)品和業(yè)務(wù)部門(mén)的過(guò)程中，我們經(jīng)常會(huì)遺忘防火墻也是企業(yè)安全協(xié)議的物理執(zhí)行者。每項(xiàng)規(guī)則都應(yīng)該重新審核來(lái)確保它能符合安全協(xié)議和任何法規(guī)協(xié)議的內(nèi)容和精神，而不僅是一篇法律條文。

4、當(dāng)服務(wù)過(guò)期后從防火墻規(guī)則中刪除無(wú)用的規(guī)則

規(guī)則膨脹是防火墻經(jīng)常會(huì)出現(xiàn)的安全問(wèn)題，因?yàn)槎鄶?shù)運(yùn)作團(tuán)隊(duì)都沒(méi)有刪除規(guī)則的流程。業(yè)務(wù)部門(mén)擅長(zhǎng)讓你知道他們了解這些新規(guī)則，卻從來(lái)不會(huì)讓防火墻團(tuán)隊(duì)知道他們不再使用某些服務(wù)了。

5、每年至少對(duì)防火墻完整的審核兩次

如果你是名信用卡活動(dòng)頻繁的商人，那么除非必須的話這項(xiàng)不是向你推薦的最佳實(shí)踐方法，因?yàn)橹Ц犊ㄐ袠I(yè)標(biāo)準(zhǔn)1.1.6規(guī)定至少每隔半年要對(duì)防火墻進(jìn)行一次審核。