防火墙的8个实际功能有哪些
大多数防火墙主要实现的功能有包过滤、审计和报警机制、远程管理、网络地址转换(Network Address Translation,NAT)、代理、MAC 地址与 IP 地址绑定、流量控制(带宽管理)、统计分析和流量计费等。
包过滤:包过滤是防火墙所要实现的最基本功能,它可将不符合要求的包过滤掉。包过滤技术已经由原来的静态包过滤发展到了动态包过滤,静态包过滤只是在网络层上对包的地址、端口等信息进行判定控制,而动态包过滤是在所有通信层上对包的状态进行检测分析,判断包是否符合安全要求。动态包过滤技术支持多种协议和应用程序,易扩展、易实现。
审计和报警机制:审计是一种重要的安全措施,用以监控通信行为和完善安全策略,检查安全漏洞和错误配置,并对入侵者起到一定的威慑作用。报警机制是在通信违反相关策略以后,以多种方式如声音、邮件、电话、手机短信息及时报告给管理人员。防火墙的审计和报警机制在防火墙体系中是很重要的,只有有了审计和报警,管理人员才可能知道网络是否受到了攻击。
远程管理:远程管理是防火墙管理功能的扩展之一,也是非常实用的功能,防火墙是否具有这种远程管理功能已成为选择防火墙产品的重要参考指标之一。使用防火墙的远程管理功能可以在办公室直接管理托管在网络运营部门的防火墙,甚至坐在家中就可以重新调整防火墙的安全规则和策略。
NAT:绝大多数防火墙都具有网络地址转换(NAT)功能。目前防火墙一般采用双向 NAT,即 SNAT 和 DNAT。SNAT 用于对内部网络地址进行转换,对外部网络隐藏内部网络的结构,使得对内部的攻击更加困难;并可以节省 IP 资源,有利于降低成本。DNAT 主要用于实现外网主机对内网和 DMZ 区主机的访问。
代理:目前代理主要有如下两种实现方式。分别是透明代理(Transparent proxy)和传统代理。
MAC 地址与 IP 地址的绑定:把 MAC 地址与 IP 地址绑定在一起,主要用于防止那些受到控制(不允许访问外网)的内部用户通过更换 IP 地址来访问外网。
流量控制(带宽管理)和统计分析、流量计费:流量控制可以分为基于 IP 地址的控制和基于用户的控制。基于 IP 地址的控制是对通过防火墙各个网络接口的流量进行控制,基于用户的控制是通过用户登录来控制每个用户的流量,从而防止某些应用或用户占用过多的资源。并且通过流量控制可以保证重要用户和重要接口的连接。:统计分析是建立在流量控制基础之上的。一般防火墙通过对基于 IP、服务、时间、协议等进行统计,并与管理界面实现挂接,实时或者以统计报表的形式输出结果。流量计费因此也是非常容易实现的。
VPN:在以往的网络安全产品中,VPN 是一个单独产品,现在大多数厂商把 VPN 与防火墙捆绑在一起,进一步增强和扩展了防火墙的功能,这也是一种产品整合的趋势。