在局域網(wǎng)和廣域網(wǎng)之間設(shè)置網(wǎng)絡(luò)防火墻可以控制內(nèi)部網(wǎng)絡(luò)與Internet之間的訪問。如果沒有防火墻,內(nèi)部網(wǎng)絡(luò)上的每臺(tái)計(jì)算機(jī)節(jié)點(diǎn)都將暴露在Internet之上,極易受到攻擊。通過設(shè)置網(wǎng)絡(luò)防火墻,可以達(dá)到以下目的。
(1)集中控制網(wǎng)絡(luò)安全,提高局域網(wǎng)的整體安全性。通過配置網(wǎng)絡(luò)防火墻,在局域網(wǎng)的入口建立一個(gè)“關(guān)卡”來防止菲法用戶,如黑客、網(wǎng)絡(luò)破壞者等進(jìn)入內(nèi)部網(wǎng)絡(luò)。禁止存在安全隱患的服務(wù)進(jìn)出網(wǎng)絡(luò),并通過合理配置規(guī)則防御來自Internet的各種攻擊。防火墻能夠簡化安全管理,網(wǎng)絡(luò)安全性是在防火墻系統(tǒng)上得到加固,而不僅僅是依靠分布在內(nèi)部網(wǎng)絡(luò)的主機(jī)上。
(2)監(jiān)控廣域網(wǎng)的使用情況,提供Internet的使用信息。防火墻是審查和記錄Internet使用流量的一個(gè)最佳地點(diǎn)。網(wǎng)絡(luò)管理員可以在此設(shè)置相應(yīng)的網(wǎng)絡(luò)流量記錄點(diǎn),并向網(wǎng)絡(luò)管理部門提供不同用戶訪問Internet連接所產(chǎn)生的費(fèi)用情況。此外還可以通過日志分析掌握 Internet資源的分類利用率,為以后提高網(wǎng)絡(luò)管理能力和使用效率打下基礎(chǔ)。
(3)配置地址轉(zhuǎn)換Nat(Network Address Translator),節(jié)約網(wǎng)絡(luò)地址資源。隨著計(jì)算機(jī) Internet的飛速發(fā)展,Internet已經(jīng)產(chǎn)生了地址空間的危機(jī),合法的IP地址越來越少。這意味著想要接入Internet的單位可能申請不到足夠的IP地址來滿足其內(nèi)部網(wǎng)絡(luò)上用戶的需要,即使可以得到較多的合法地址時(shí)也需要較多的費(fèi)用。防火墻可以作為部署NAT的邏輯地址,通過使用較少的合法地址滿足內(nèi)部的大量用戶來緩解地址空間短缺的問題。
(4)提供安全報(bào)警信息,為網(wǎng)絡(luò)安全提供保障。在防火墻上可以很容易地監(jiān)視網(wǎng)絡(luò)的安全性,并在受到攻擊時(shí)產(chǎn)生報(bào)警信息。此外,還可以通過配置網(wǎng)絡(luò)入侵檢測系統(tǒng)與防火墻進(jìn)行聯(lián)動(dòng),對(duì)一些黑客攻擊進(jìn)行自動(dòng)防御。應(yīng)該注意的是,對(duì)一個(gè)己接入Internet的局域網(wǎng)來說,重要的問題并不是網(wǎng)絡(luò)是否會(huì)受到攻擊,而是何時(shí)會(huì)受到攻擊。網(wǎng)絡(luò)管理員必須審計(jì)并記錄所有通過防火墻的重要信息,如果不能及時(shí)響應(yīng)報(bào)警并審查常規(guī)記錄,防火墻就形同虛設(shè),很難發(fā)揮應(yīng)有的作用。
(5)通過設(shè)立“非軍事區(qū)”,為Internet用戶提供網(wǎng)絡(luò)服務(wù)。防火墻也可以成為向Internet用戶發(fā)布信息的地點(diǎn)。可以通過對(duì)防火墻進(jìn)行配置建立所謂“非軍事區(qū)”,在其中部署WWW服務(wù)器和FTP服務(wù)器等對(duì)Internet用戶提供網(wǎng)絡(luò)服務(wù)的服務(wù)器系統(tǒng)。防火墻允許Internet上的用戶訪問“非軍事區(qū)”中的上述服務(wù)器,但禁止外部對(duì)受保護(hù)的內(nèi)部網(wǎng)絡(luò)上其他系統(tǒng)的訪問。
