防火墻具有很好的保護作用。入侵者必須首先穿越防火墻的安全防線，才能接觸目標計算機。下面是小編整理的防火墻的作用主要有哪些，歡迎大家閱讀分享借鑒，希望對大家有所幫助。

防火墻的作用

防火墻是系統(tǒng)的第一道防線，其主要作用是防止非法用戶的進入，具有很好的保護作用。

防火墻的具體功能主要包括“網絡安全”與“數(shù)據(jù)庫安全”，包含內容如下：

強化內部網絡的安全性

防火墻可以限制非法用戶，比如防止黑客、網絡破壞者等進入內部網絡，禁止存在安全脆弱性的服務和未授權的通信進出網絡，并抗擊來自各種路線的攻擊。對網絡存取和訪問進行記錄、監(jiān)控作為單一的網絡接入點，所有進出信息都必須通過防火墻，所以防火墻非常適用收集關于系統(tǒng)和網絡使用和誤用的信息并做出日志記錄

限定內部用戶訪問特殊站點

防火墻通過用戶身份認證來確定合法用戶。防火墻通過事先確定的完全檢查策略，來決定內部用戶可以使用哪些服務，可以訪問哪些網站

限制暴露用戶點，防止內部攻擊

利用防火墻對內部網絡的劃分，可實現(xiàn)網絡中網段的隔離，防止影響一個網段的問題通過整個網絡傳播，從而限制了局部重點或敏感網絡安全問題對全局網絡造成的影響，同時，保護一個網段不受來自網絡內部其它網段的攻擊

網絡地址轉換(NAT，Network Address Translation)

防火墻可以作為部署NAT的邏輯地址，因此防火墻可以用來緩解地址空間短缺的問題，并消除機構在變換ISP時帶來的重新編址的麻煩

虛擬專用網(，Virtual Private Network)

防火墻還支持具有Internet服務特性的企業(yè)內部網絡技術體系。通過將企事業(yè)單位在地域上分布在全世界各地的LAN或專用子網，有機地聯(lián)成一個整體。不僅省去了專用通信線路，而且為信息共享提供了技術保障。

防火墻的用途和作用

Internet的發(fā)展給企業(yè)帶來了革命性的改革和開放，企業(yè)正努力通過利用它來提高市場反應速度和辦事效率，以便更具競爭力。企業(yè)通過Internet，可以從異地取回重要數(shù)據(jù)，同時又要面對Internet開放帶來的數(shù)據(jù)安全的新挑戰(zhàn)和新危險：即客戶、銷售商、移動用戶、異地員工和內部員工的安全訪問;以及保護企業(yè)的機密信息不受黑客和工業(yè)間諜的入侵。因此企業(yè)必須加注安全的“戰(zhàn)壕”，而這些“戰(zhàn)壕”又要在哪里修建呢?

基于Internet體系應用有兩大部分：Intranet和Extranet。Intranet是借助Internet的技術和設備在Internet上面構造出企業(yè)3W網，可放入企業(yè)全部信息;而Extranet是在電子商務、互相合作的需求下，用Intranet間的通道，可獲得其它體系中部分信息。因此按照一個企業(yè)的安全體系可知防火墻戰(zhàn)壕須在以下位置上位置：

①保證對主機和應用安全訪問;

②保證多種客戶機和服務器的安全性;

③保護關鍵部門不受到來自內部的攻擊、外部的攻擊、為通過Internet與遠程訪問的雇員、客戶、供應商提供安全通道。同時防火墻的安全性還要來自其良好的技術性能。

防火墻無法干什么

(1)防火墻管不到內部惡人

如果惡人已經在防火墻內可以無須接近防火墻，就可以偷竊資料、損壞硬體和軟體，并巧妙的修改程式。內部威脅需要內部安全措施，例如機房安全管理措施及人員訓練

(2)防火墻管不到不經過它的連線

對於不經過防火墻的傳輸，防火墻就無法發(fā)揮作用。例如某些站臺允許直接通到內部主機的撥入存取或是技術及系統(tǒng)管理者會為他們自己設置進入網路等。

(3)防火墻無法防范全新的威脅

防火墻的設計是為了防范已知的威脅，一個設計完善的防火墻或許可以防范一些新威脅，如：除了少數(shù)可靠的服務外，拒絕一切其他的服務就可以防止使用者設置新的極不安全的服務。

(4)防火墻無法防范病毒

防火墻無法防范PC和Macintosh病毒進入網路，雖然防火墻會就來源位址、目的位址及port號碼作掃描，但不是細部資料，且使用最精巧的封包過濾或代理軟體對於防火墻而言也不太實際。

防火墻的主要性能指標

防火墻在性能方面的指標主要包括如下幾個方面：

最大吞吐量：檢查防火墻在只有一條默認允許規(guī)則和不丟包的情況下達到的最大吞吐速率，如網絡層吞吐量、HTTP 吞吐暈、SQL 吞吐量;

最大連接速率： TCP 新建連接速率、HTTP 請求速率、SQL 請求速率;

最大規(guī)則數(shù)：檢查在添加大數(shù)量訪問規(guī)則的情況下，防火墻性能變化狀況;

并發(fā)連接數(shù)：防火墻在單位時間內所能

防火墻的使用技巧

1、所有的防火墻文件規(guī)則必須更改

防火墻管理產品的中央控制臺能全面可視所有的防火墻規(guī)則基礎，因此團隊的所有成員都必須達成共識，觀察誰進行了何種更改。這樣就能及時發(fā)現(xiàn)并修理故障，讓整個協(xié)議管理更加簡單和高效。

2、以最小的權限安裝所有的訪問規(guī)則

另一個常見的安全問題是權限過度的規(guī)則設置。防火墻規(guī)則是由三個域構成的：即源(IP地址)，目的地(網絡/子網絡)和服務(應用軟件或者其他目的地)。為了確保每個用戶都有足夠的端口來訪問他們所需的系統(tǒng)，常用方法是在一個或者更多域內指定打來那個的目標對象。

3、根據(jù)法規(guī)協(xié)議和更改需求來校驗每項防火墻的更改

在防火墻操作中，日常工作都是以尋找問題，修正問題和安裝新系統(tǒng)為中心的。在安裝最新防火墻規(guī)則來解決問題，應用新產品和業(yè)務部門的過程中，我們經常會遺忘防火墻也是企業(yè)安全協(xié)議的物理執(zhí)行者。每項規(guī)則都應該重新審核來確保它能符合安全協(xié)議和任何法規(guī)協(xié)議的內容和精神，而不僅是一篇法律條文。

4、當服務過期后從防火墻規(guī)則中刪除無用的規(guī)則

規(guī)則膨脹是防火墻經常會出現(xiàn)的安全問題，因為多數(shù)運作團隊都沒有刪除規(guī)則的流程。業(yè)務部門擅長讓你知道他們了解這些新規(guī)則，卻從來不會讓防火墻團隊知道他們不再使用某些服務了。

5、每年至少對防火墻完整的審核兩次

如果你是名信用卡活動頻繁的商人，那么除非必須的話這項不是向你推薦的最佳實踐方法，因為支付卡行業(yè)標準1.1.6規(guī)定至少每隔半年要對防火墻進行一次審核。