防火墙的作用

一、防火墙
　　由于Internet的迅速发展,提供了发布信息和检索信息的场所,但它也带来了信息污染和信息破坏的危险,人们为了保护其数据和资源的安全,出现了防火墙。防火墙从本质上说是一种保护装置。它保护的是数据、资源和用户的声誉。

1.Internet防火墙

　　防火墙原是建筑物大厦设计来防止火灾从大厦的一部分传播到另一部分的设施。从理论上讲Internet防火墙服务也属于类似目的。它防止Internet上的危险（病毒、资源盗用等）传播到你的网络内部。而事实上Internet防火墙不象一座现代化大厦中的防火墙，更象北京故宫的护城河。它服务于多个目的：

　　（1）限制人们从一个特别的控制点进入；

　　（2）防止侵入者接近你的其它设施；

　　（3）限定人们从一个特别的点离开；

　　（4）有效的阻止破坏者对你的计算机系统进行破坏。

　　因特网防火墙常常被安装在受保护的内部网络连接到因特网的点上。

　　2.防火墙的优点

　　（1）防火墙能强化安全策略

　　因为Internet上每天都有上百万人在那里收集信息、交换信息，不可避免地会出现个别品德不良的人，或违反规则的人，防火墙是为了防止不良现象发生的"交通警察"，它执行站点的安全策略，仅仅容许"认可的"和符合规则的请求通过。

　　（2）防火墙能有效地记录Internet上的活动

　　因为所有进出信息都必须通过防火墙，所以防火墙非常适用收集关于系统和网络使用和误用的信息。作为访问的唯一点，防火墙能在被保护的网络和外部网络之间进行记录。

　　（3）防火墙限制暴露用户点

　　防火墙能够用来隔开网络中一个网段与另一个网段。这样，能够防止影响一个网段的问题通过整个网络传播。

　　（4）防火墙是一个安全策略的检查站

　　所有进出的信息都必须通过防火墙，防火墙便成为安全问题的检查点，使可疑的访问被拒绝于门外。

　　3.防火墙的不足之处

　　上面我们叙述了防火墙的优点，但它还是有缺点的，主要表现在：

　　（1）不能防范恶意的知情者

　　防火墙可以禁止系统用户经过网络连接发送专有的信息，但用户可以将数据复制到磁盘、磁带上，放在公文包中带出去。如果入侵者已经在防火墙内部，防火墙是无能为力的。内部用户偷窃数据，破坏硬件和软件，并且巧妙地修改程序而不接近防火墙。对于来自知情者的威胁只能要求加强内部管理，如主机安全和用户教育等。

　　（2）不能防范不通过它的连接

　　防火墙能够有效地防止通过它进行传输信息，然而不能防止不通过它而传输的信息。例如，如果站点允许对防火墙后面的内部系统进行拨号访问，那么防火墙绝对没有办法阻止入侵者进行拨号入侵。

　　（3）不能防备全部的威胁

　　防火墙被用来防备已知的威胁，如果是一个很好的防火墙设计方案，可以防备新的威胁，但没有一个防火墙能自动防御所有的新的威胁。

　　（4）防火墙不能防范病毒

　　防火墙不能消除网络上的PC机的病毒。
内部防火墙
在本文的大部分讨论中,都假定建立防火墙的目的在于保护内部网免受外部网的侵扰。但有时为了某些原因，我们还需要对内部网的部分站点再加以保护以免受内部的其它站点的侵袭。因此，有时我们需要在同一结构的两个部分之间，或者在同一内部网的两个不同组织结构之间再建立防火墙（也被称为内部防火墙）。

　　因为网络中每一个用户所需要的服务和信息经常是不一样的，它们对安全保障的要求也不一样，所以我们可以将网络组织结构的一部分与其余站点隔离。例如，财务部分与其它部分分开，人事档案部分与办公管理分开等。许多用于建立外部防火墙的工具与技术也可用于建立内部防火墙。