4.1 防火墙简介4.1防火墙简介4.1 防火墙简介 防火墙是指设置在不同网络 或网络安全域之间的一系列部件 的组合。它是提供信息安全服务，实 现网络和信息安全的基础设施。在逻辑上，防火墙是一个分 离器，一个限制器，也是一个分 析器，有效地监控了内部网和 Internet 之间的任何活动，保证 了内部网络的安全。 4-1通过使用防火墙，可以实现以下功能：1. 隐藏内部网络。 2. 控制内部网络对外部网络的访问。3. 控制外部网络用户对内部网络的访问。4. 监视网络安全，提供安全日志并预警。5. 缓解IP地址空间短缺问题。6. 对内部用户的Internet使用进行审计和记录。7. 引出DMZ(Demilitarized Zoner，非军事区)区域，可设置各种服务器 。4.1 防火墙简介 1.隐藏内部网络。防火墙为用户的网络创建了一个可保护的边界，并且隐藏了内部网络的一些信息以增加保密性能。当入侵者从外部测试本地网络时，入侵者只能看到防火墙，内部网络的拓扑、布局等信息都将被屏蔽。 防火墙通过提高认证功能和对网络加密来限制网络信息在外部传输过 程中的暴露，并可限制从外部发动的攻击。4.1 防火墙简介 2. 控制内部网络对外部网络的访问。(1) 可以控制内部网络用户对外部一些非法或者受限网络的访问；通过对外部IP或者网址的控制来实现的(2) 控制内部网络用户是否可以连接到外部网络。通过对内部用户的IP控制来实现的。4.1 防火墙简介 3. 控制外部网络用户对内部网络的访问。(1) 只允许外部用户访问本地网络中的某些主机；通过控制本地IP来实现的(2) 只允许外部用户中指定的用户访问本地网络。通过控制外部IP来实现的。 4.1 防火墙简介 4.1 防火墙简介 4. 监视网络安全，提供安全日志并预警。根据防火墙提供的日志，可以判断是否有异常的连接请求，对于可 疑的问题，如多次连续的失败记录等，须要注意是否是入侵者开始的试探攻击。4.1 防火墙简介 5. 缓解IP地址空间短缺问题。内部网络在连接到Internet时，可能会获得比较少的几个外部网络IP地址，可以通过防火墙的NAT功能，将有限的IP地址动态或静态地与内部的IP地址对应起来，这种办法可以缓解地址空间的短缺问题。 4.1 防火墙简介 6. 对内部用户的Internet使用进行审计和记录。防火墙是审计和记录Internet使用情况的一个最佳地点。防火墙就能记录下这些访问并作出日志记录，同时也能提供网络使用 情况的统计数据。当发生可疑动作时，防火墙能进行适当的报警，并提供网络是否受到监测和攻击的详细信息。4.1 防火墙简介 7. 引出DMZ(Demilitarized Zoner，非军事区)区域，可设置各种服务器。从防火墙可以连接到一个单独的网段上，即非军事化区域，并 在此部署www服务器和FTP服务器，将其作为向外部发布内部信息的地点。