防火墻具有很好的保護作用。入侵者必須首先穿越防火墻的安全防線，才能接觸目標計算機。下面是小編整理的防火墻的作用主要有哪些，歡迎大家閱讀分享借鑒，希望對大家有所幫助。

防火墻的作用

防火墻是系統(tǒng)的第一道防線，其主要作用是防止非法用戶的進入，具有很好的保護作用。

防火墻的具體功能主要包括“網(wǎng)絡(luò)安全”與“數(shù)據(jù)庫安全”，包含內(nèi)容如下：

強化內(nèi)部網(wǎng)絡(luò)的安全性

防火墻可以限制非法用戶，比如防止黑客、網(wǎng)絡(luò)破壞者等進入內(nèi)部網(wǎng)絡(luò)，禁止存在安全脆弱性的服務(wù)和未授權(quán)的通信進出網(wǎng)絡(luò)，并抗擊來自各種路線的攻擊。對網(wǎng)絡(luò)存取和訪問進行記錄、監(jiān)控作為單一的網(wǎng)絡(luò)接入點，所有進出信息都必須通過防火墻，所以防火墻非常適用收集關(guān)于系統(tǒng)和網(wǎng)絡(luò)使用和誤用的信息并做出日志記錄

限定內(nèi)部用戶訪問特殊站點

防火墻通過用戶身份認證來確定合法用戶。防火墻通過事先確定的完全檢查策略，來決定內(nèi)部用戶可以使用哪些服務(wù)，可以訪問哪些網(wǎng)站

限制暴露用戶點，防止內(nèi)部攻擊

利用防火墻對內(nèi)部網(wǎng)絡(luò)的劃分，可實現(xiàn)網(wǎng)絡(luò)中網(wǎng)段的隔離，防止影響一個網(wǎng)段的問題通過整個網(wǎng)絡(luò)傳播，從而限制了局部重點或敏感網(wǎng)絡(luò)安全問題對全局網(wǎng)絡(luò)造成的影響，同時，保護一個網(wǎng)段不受來自網(wǎng)絡(luò)內(nèi)部其它網(wǎng)段的攻擊

網(wǎng)絡(luò)地址轉(zhuǎn)換(NAT，Network Address Translation)

防火墻可以作為部署NAT的邏輯地址，因此防火墻可以用來緩解地址空間短缺的問題，并消除機構(gòu)在變換ISP時帶來的重新編址的麻煩

虛擬專用網(wǎng)(，Virtual Private Network)

防火墻還支持具有Internet服務(wù)特性的企業(yè)內(nèi)部網(wǎng)絡(luò)技術(shù)體系。通過將企事業(yè)單位在地域上分布在全世界各地的LAN或?qū)Ｓ米泳W(wǎng)，有機地聯(lián)成一個整體。不僅省去了專用通信線路，而且為信息共享提供了技術(shù)保障。

防火墻的用途和作用

Internet的發(fā)展給企業(yè)帶來了革命性的改革和開放，企業(yè)正努力通過利用它來提高市場反應(yīng)速度和辦事效率，以便更具競爭力。企業(yè)通過Internet，可以從異地取回重要數(shù)據(jù)，同時又要面對Internet開放帶來的數(shù)據(jù)安全的新挑戰(zhàn)和新危險：即客戶、銷售商、移動用戶、異地員工和內(nèi)部員工的安全訪問;以及保護企業(yè)的機密信息不受黑客和工業(yè)間諜的入侵。因此企業(yè)必須加注安全的“戰(zhàn)壕”，而這些“戰(zhàn)壕”又要在哪里修建呢?

基于Internet體系應(yīng)用有兩大部分：Intranet和Extranet。Intranet是借助Internet的技術(shù)和設(shè)備在Internet上面構(gòu)造出企業(yè)3W網(wǎng)，可放入企業(yè)全部信息;而Extranet是在電子商務(wù)、互相合作的需求下，用Intranet間的通道，可獲得其它體系中部分信息。因此按照一個企業(yè)的安全體系可知防火墻戰(zhàn)壕須在以下位置上位置：

①保證對主機和應(yīng)用安全訪問;

②保證多種客戶機和服務(wù)器的安全性;

③保護關(guān)鍵部門不受到來自內(nèi)部的攻擊、外部的攻擊、為通過Internet與遠程訪問的雇員、客戶、供應(yīng)商提供安全通道。同時防火墻的安全性還要來自其良好的技術(shù)性能。

防火墻無法干什么

(1)防火墻管不到內(nèi)部惡人

如果惡人已經(jīng)在防火墻內(nèi)可以無須接近防火墻，就可以偷竊資料、損壞硬體和軟體，并巧妙的修改程式。內(nèi)部威脅需要內(nèi)部安全措施，例如機房安全管理措施及人員訓練

(2)防火墻管不到不經(jīng)過它的連線

對於不經(jīng)過防火墻的傳輸，防火墻就無法發(fā)揮作用。例如某些站臺允許直接通到內(nèi)部主機的撥入存取或是技術(shù)及系統(tǒng)管理者會為他們自己設(shè)置進入網(wǎng)路等。

(3)防火墻無法防范全新的威脅

防火墻的設(shè)計是為了防范已知的威脅，一個設(shè)計完善的防火墻或許可以防范一些新威脅，如：除了少數(shù)可靠的服務(wù)外，拒絕一切其他的服務(wù)就可以防止使用者設(shè)置新的極不安全的服務(wù)。

(4)防火墻無法防范病毒

防火墻無法防范PC和Macintosh病毒進入網(wǎng)路，雖然防火墻會就來源位址、目的位址及port號碼作掃描，但不是細部資料，且使用最精巧的封包過濾或代理軟體對於防火墻而言也不太實際。

防火墻的主要性能指標

防火墻在性能方面的指標主要包括如下幾個方面：

最大吞吐量：檢查防火墻在只有一條默認允許規(guī)則和不丟包的情況下達到的最大吞吐速率，如網(wǎng)絡(luò)層吞吐量、HTTP 吞吐暈、SQL 吞吐量;

最大連接速率： TCP 新建連接速率、HTTP 請求速率、SQL 請求速率;

最大規(guī)則數(shù)：檢查在添加大數(shù)量訪問規(guī)則的情況下，防火墻性能變化狀況;

并發(fā)連接數(shù)：防火墻在單位時間內(nèi)所能

防火墻的使用技巧

1、所有的防火墻文件規(guī)則必須更改

防火墻管理產(chǎn)品的中央控制臺能全面可視所有的防火墻規(guī)則基礎(chǔ)，因此團隊的所有成員都必須達成共識，觀察誰進行了何種更改。這樣就能及時發(fā)現(xiàn)并修理故障，讓整個協(xié)議管理更加簡單和高效。

2、以最小的權(quán)限安裝所有的訪問規(guī)則

另一個常見的安全問題是權(quán)限過度的規(guī)則設(shè)置。防火墻規(guī)則是由三個域構(gòu)成的：即源(IP地址)，目的地(網(wǎng)絡(luò)/子網(wǎng)絡(luò))和服務(wù)(應(yīng)用軟件或者其他目的地)。為了確保每個用戶都有足夠的端口來訪問他們所需的系統(tǒng)，常用方法是在一個或者更多域內(nèi)指定打來那個的目標對象。

3、根據(jù)法規(guī)協(xié)議和更改需求來校驗每項防火墻的更改

在防火墻操作中，日常工作都是以尋找問題，修正問題和安裝新系統(tǒng)為中心的。在安裝最新防火墻規(guī)則來解決問題，應(yīng)用新產(chǎn)品和業(yè)務(wù)部門的過程中，我們經(jīng)常會遺忘防火墻也是企業(yè)安全協(xié)議的物理執(zhí)行者。每項規(guī)則都應(yīng)該重新審核來確保它能符合安全協(xié)議和任何法規(guī)協(xié)議的內(nèi)容和精神，而不僅是一篇法律條文。

4、當服務(wù)過期后從防火墻規(guī)則中刪除無用的規(guī)則

規(guī)則膨脹是防火墻經(jīng)常會出現(xiàn)的安全問題，因為多數(shù)運作團隊都沒有刪除規(guī)則的流程。業(yè)務(wù)部門擅長讓你知道他們了解這些新規(guī)則，卻從來不會讓防火墻團隊知道他們不再使用某些服務(wù)了。

5、每年至少對防火墻完整的審核兩次

如果你是名信用卡活動頻繁的商人，那么除非必須的話這項不是向你推薦的最佳實踐方法，因為支付卡行業(yè)標準1.1.6規(guī)定至少每隔半年要對防火墻進行一次審核。