防火墙的功能.doc

防火墙的功能
互联网技术的迅猛发展使政府机构、企事业单位能通过因特网来提高办事效率和市场反应速度,以便有竞争力。技术,机关企事业单位以方便的进行数据资料的传输和存取,但同时又要面对因 的开放而带来的有关数据资料安全的新挑战和新危险:即保证国家机关企事业单位的安全访问;又保护机密信息不受黑客和商业间谍的入侵。防火墙是设置在被保护网络和外部网络之间的一道屏障,以防发生不可预测的、具有潜在破坏性的侵入。通过制定安全策略,它可以通过监测、限制、更改跨越防火墙的数据流,尽可能对外屏蔽网络的信息、结构和运行状况,以便实现网络的安全保护。防火墙是一个分离器,一个限制器,一个分析器,之间的活动,保证内部网的安全。
防火墙的功能主要有以下几点:

访问控制
通过防火墙的包内容设置:包过滤防火墙的过滤规则集由若干条规则组成,它应涵盖对所有出入防火墙的数据包的处理方法,对于没有明确定义的数据包,应该有一个缺省处理方法;过滤规则应易于理解,易于编辑修改;同时应具备一致性检测机制,防止冲突。IP包过滤的依据主要是根据IP包头部信息如源地址和目的地址进行过滤,如果IP头中的协议字段表明封装协议为ICMP、TCP或UDP,那么再根据ICMP头信息(类型和代码值)、TCP头信息(源端口和目的端口)或UDP头信息(源端口和目的端口)执行过滤,其他的还有MAC地址过滤。应用层协议过滤要求主要包括FTP过滤、基于RPC的应用服务过滤、基于UDP的应用服务过滤要求以及动态包过滤技术等。
在应用层提供代理支持:指防火墙是否支持应用层代理,如HTTP、FTP、、SNMP等。代理服务在确认客户端连接请求有效后接管连接,代为向服务器发出连接请求,代理服务器应根据服务器的应答,决定如何响应客户端请求,代理服务进程应当连接两个连接(客户端与代理服务进程间的连接、代理服务进程与服务器端的连接)。为确认连接的唯一性与时效性,代理进程应当维护代理连接表或相关数据库(最小字段集合),为提供认证和授权,代理进程应当维护一个扩展字段集合。
在传输层提供代理支持:指防火墙是否支持传输层代理服务。
允许FTP命令防止某些类型文件通过防火墙:指是否支持FTP文件类型过滤。
用户操作的代理类型:应用层高级代理功能,如HTTP、POP3 。
支持网络地址转换(NAT):NAT指将一个IP地址域映射到另一个IP地址域,从而为终端主机提供透明路由的方法。NAT常用于私有地址域与公有地址域的转换以解决IP地址匮乏问题。在防火墙上实现NAT后,可以隐藏受保护网络的内部结构,在一定程度上提高了网络的安全性。
支持硬件口令、智能卡: 是否支持硬件口令、智能卡等,这是一种比较安全的身份认证技术。

防御功能
支持病毒扫描: 是否支持防病毒功能,如扫描电子邮件附件中的DOC和ZIP文件,FTP中的下载或上载文件内容,以发现其中包含的危险信息。
提供内容过滤: 是否支持内容过滤,信息内容过滤指防火墙在HTTP、FTP、SMTP等协议层,根据过滤条件,对信息流进行控制,防火墙控制的结果是:允许通过、修改后允许通过、禁止通过、记录日志、报警等。过滤内容主要指URL、HTTP携带的信息:Java Applet、 JavaScript、ActiveX和电子邮件中的Subject、To、From