防火墻的作用主要有哪些

防火墻具有很好的保護作用。入侵者必須首先穿越防火墻的安全防線，才能接觸目標計算機。下面是小編整理的防火墻的作用主要有哪些，歡迎大家閱讀分享借鑒，希望對大家有所幫助。

防火墻的作用

防火墻是系統的第一道防線，其主要作用是防止非法用戶的進入，具有很好的保護作用。

防火墻的具體功能主要包括“網絡安全”與“數據庫安全”，包含內容如下：

強化內部網絡的安全性

防火墻可以限制非法用戶，比如防止黑客、網絡破壞者等進入內部網絡，禁止存在安全脆弱性的服務和未授權的通信進出網絡，并抗擊來自各種路線的攻擊。對網絡存取和訪問進行記錄、監控作為單一的網絡接入點，所有進出信息都必須通過防火墻，所以防火墻非常適用收集關于系統和網絡使用和誤用的信息并做出日志記錄

限定內部用戶訪問特殊站點

防火墻通過用戶身份認證來確定合法用戶。防火墻通過事先確定的完全檢查策略，來決定內部用戶可以使用哪些服務，可以訪問哪些網站

限制暴露用戶點，防止內部攻擊

利用防火墻對內部網絡的劃分，可實現網絡中網段的隔離，防止影響一個網段的問題通過整個網絡傳播，從而限制了局部重點或敏感網絡安全問題對全局網絡造成的影響，同時，保護一個網段不受來自網絡內部其它網段的攻擊

網絡地址轉換(NAT，Network Address Translation)

防火墻可以作為部署NAT的邏輯地址，因此防火墻可以用來緩解地址空間短缺的問題，并消除機構在變換ISP時帶來的重新編址的麻煩

虛擬專用網(，Virtual Private Network)

防火墻還支持具有Internet服務特性的企業內部網絡技術體系。通過將企事業單位在地域上分布在全世界各地的LAN或專用子網，有機地聯成一個整體。不僅省去了專用通信線路，而且為信息共享提供了技術保障。

防火墻的用途和作用

Internet的發展給企業帶來了革命性的改革和開放，企業正努力通過利用它來提高市場反應速度和辦事效率，以便更具競爭力。企業通過Internet，可以從異地取回重要數據，同時又要面對Internet開放帶來的數據安全的新挑戰和新危險：即客戶、銷售商、移動用戶、異地員工和內部員工的安全訪問;以及保護企業的機密信息不受黑客和工業間諜的入侵。因此企業必須加注安全的“戰壕”，而這些“戰壕”又要在哪里修建呢?

基于Internet體系應用有兩大部分：Intranet和Extranet。Intranet是借助Internet的技術和設備在Internet上面構造出企業3W網，可放入企業全部信息;而Extranet是在電子商務、互相合作的需求下，用Intranet間的通道，可獲得其它體系中部分信息。因此按照一個企業的安全體系可知防火墻戰壕須在以下位置上位置：

①保證對主機和應用安全訪問;

②保證多種客戶機和服務器的安全性;

③保護關鍵部門不受到來自內部的攻擊、外部的攻擊、為通過Internet與遠程訪問的雇員、客戶、供應商提供安全通道。同時防火墻的安全性還要來自其良好的技術性能。

防火墻無法干什么

(1)防火墻管不到內部惡人

如果惡人已經在防火墻內可以無須接近防火墻，就可以偷竊資料、損壞硬體和軟體，并巧妙的修改程式。內部威脅需要內部安全措施，例如機房安全管理措施及人員訓練

(2)防火墻管不到不經過它的連線

對於不經過防火墻的傳輸，防火墻就無法發揮作用。例如某些站臺允許直接通到內部主機的撥入存取或是技術及系統管理者會為他們自己設置進入網路等。

(3)防火墻無法防范全新的威脅

防火墻的設計是為了防范已知的威脅，一個設計完善的防火墻或許可以防范一些新威脅，如：除了少數可靠的服務外，拒絕一切其他的服務就可以防止使用者設置新的極不安全的服務。

(4)防火墻無法防范病毒

防火墻無法防范PC和Macintosh病毒進入網路，雖然防火墻會就來源位址、目的位址及port號碼作掃描，但不是細部資料，且使用最精巧的封包過濾或代理軟體對於防火墻而言也不太實際。

防火墻的主要性能指標

防火墻在性能方面的指標主要包括如下幾個方面：

最大吞吐量：檢查防火墻在只有一條默認允許規則和不丟包的情況下達到的最大吞吐速率，如網絡層吞吐量、HTTP 吞吐暈、SQL 吞吐量;

最大連接速率： TCP 新建連接速率、HTTP 請求速率、SQL 請求速率;

最大規則數：檢查在添加大數量訪問規則的情況下，防火墻性能變化狀況;

并發連接數：防火墻在單位時間內所能

防火墻的使用技巧

1、所有的防火墻文件規則必須更改

防火墻管理產品的中央控制臺能全面可視所有的防火墻規則基礎，因此團隊的所有成員都必須達成共識，觀察誰進行了何種更改。這樣就能及時發現并修理故障，讓整個協議管理更加簡單和高效。

2、以最小的權限安裝所有的訪問規則

另一個常見的安全問題是權限過度的規則設置。防火墻規則是由三個域構成的：即源(IP地址)，目的地(網絡/子網絡)和服務(應用軟件或者其他目的地)。為了確保每個用戶都有足夠的端口來訪問他們所需的系統，常用方法是在一個或者更多域內指定打來那個的目標對象。

3、根據法規協議和更改需求來校驗每項防火墻的更改

在防火墻操作中，日常工作都是以尋找問題，修正問題和安裝新系統為中心的。在安裝最新防火墻規則來解決問題，應用新產品和業務部門的過程中，我們經常會遺忘防火墻也是企業安全協議的物理執行者。每項規則都應該重新審核來確保它能符合安全協議和任何法規協議的內容和精神，而不僅是一篇法律條文。

4、當服務過期后從防火墻規則中刪除無用的規則

規則膨脹是防火墻經常會出現的安全問題，因為多數運作團隊都沒有刪除規則的流程。業務部門擅長讓你知道他們了解這些新規則，卻從來不會讓防火墻團隊知道他們不再使用某些服務了。

5、每年至少對防火墻完整的審核兩次

如果你是名信用卡活動頻繁的商人，那么除非必須的話這項不是向你推薦的最佳實踐方法，因為支付卡行業標準1.1.6規定至少每隔半年要對防火墻進行一次審核。