防火墙能防什么？不能防什么？

防火墙能防什么

通常防火墙系统具有以下功能：

● 访问控制，可以执行基于地址（源和目标）、用户和时间的访问控制策略，从而可以杜绝非授权的访问，同时保护内部用户的合法访问不受影响。

● 审计，对通过它的网络访问进行记录，建立完备的日志、审计和追踪网络访问，并可以根据需要产生报表。

● 抗攻击，防火墙系统直接暴露于非信任网络下，对外而言受到防火墙保护的内部网络如同一个点，所有的攻击都是直接针对它的，该点称为堡垒机，因此要求堡垒机具有高度的安全性和抵御各种攻击能力。

● 其他附属功能，如与审计相关的报警和入侵检测，与访问控制相关的身份验证、加密和认证，甚至vpn等。

■ 四种分类

本质上来讲，防火墙被认为是两个网络间的隔断，只允许选定的某种形式的通信通过。防火墙另外一个重要特征是它自身抵抗攻击的能力，防火墙自身应当不易被攻入，因为一旦防火墙被攻入就给攻击者进入内部网提供了一个立足点。

最简单和最流行的防火墙形式是屏蔽路由器，多数商业路由器具有内置的限制目的地间通信的能力。屏蔽路由器只在网络层工作，它的允许/禁止功能取决于tcp/ip数据包的头信息。其速度快、适应性强、价格便宜，但缺乏对其通信提供详细审计的能力。屏蔽路由器往往比较脆弱，因为它还要依赖其背后主机上软件的正确配置，因此许多专家不会以它作为中心防范措施。

另一种形式的防火墙是应用网关防火墙（也称为基于代理的防火墙），通常被配置为“双宿主网关”，具有两个网络接口卡，同时接入内部和外部网。由于网关可以同时与两个网络通信，它是安装传递数据软件的理想位置，这种软件称为“代理”，通常是为其所提供的服务定制的。代理能够对通过它的数据进行详细的追踪。许多专家认为它更加安全，因为代理软件可以根据防火墙后面主机的脆弱性来定制，以专门防范已知的攻击。代理防火墙的最大缺点在于它往往是非透明的，而且不支持那些尚未开发代理的协议，因为功能完善的代理需要很好地支持应用协议，不存在真正意义上的通用代理。

第三种类型的防火墙基于“动态包过滤”。动态包过滤防火墙就像代理防火墙和包过滤路由器的交叉，