计算机技术与网络安全研究
             Computer Technology and Cyber Security Research



            特别是受保护的网络范围增大时，很难提供可靠的安全防护。

                 二、防火墙的功能

                 （一）防火墙是网络安全的屏障
                 一道防火墙（作为阻塞点、控制点）能极大地提高一个内部网络的安全性，

            并通过过滤不安全的服务而降低风险。由于只有经过精心选择的应用协议才能通
            过防火墙，所以网络环境变得更安全。如防火墙可以禁止诸如众所周知的不安全
            的 NFS 协议进出受保护网络，这样外部的攻击者就不可能利用这些脆弱的协议

            来攻击内部网络。防火墙同时可以保护网络免受基于路由的攻击，如 IP 选项中
            源路由攻击和 ICMP 重定向中的重定向路径。防火墙应该可以拒绝所有以上类型
            攻击的报文并通知防火墙管理员。
                 （二）可以对网络存取和访问进行监控审计
                 如果所有的访问都经过防火墙，那么，防火墙就能记录下这些访问并作出

            日志记录，同时也能提供网络使用情况的统计数据。当发生可疑工作时，防火墙
            能进行适当的报警，并提供网络是否受到监测和攻击的详细信息。另外，收集一
            个网络的使用和误用情况也是非常重要的。首先的理由是可以清楚防火墙是否能

            够抵挡攻击者的探测和攻击，并且清楚防火墙的控制是否充足。而网络使用统计
            对网络需求分析和威胁分析等也是非常重要的。
                 （三）可以强化网络安全策略
                 通过以防火墙为中心的安全方案配置，能将所有安全软件（如口令、加密、
            身份认证、审计等）配置在防火墙上。与将网络安全问题分散到各个主机上相比，

            防火墙的集中安全管理更经济。例如在网络访问时，一次一密口令系统和其它的
            身份认证系统完全可以不必分散在各个主机上，而集中在防火墙一体上。
                 （四）可以防止内部信息的外泄

                 通过利用防火墙对内部网络的划分，可实现内部网重点网段的隔离，从而
            限制了局部或敏感网络安全问题对全局网络造成的影响。再者，隐私是内部网络
            非常关心的问题，一个内部网络中不引人注意的细节可能包含了有关安全的线索
            而引起外部攻击者的兴趣，甚至因此而暴露了内部网络的某些安全漏洞。使用防
            火墙就可以隐蔽那些透漏内部细节诸如 Finger，DNS 服务。Finger 显示了主机的

            所有用户的注册名、真名，最后登陆时间和使用 shell 类型等。但是 Finger 显示


             172
             172