在局域网和广域网之间设置网络防火墙可以控制内部网络与Internet之间的访问。如果没有防火墙,内部网络上的每台计算机节点都将暴露在Internet之上,极易受到攻击。通过设置网络防火墙,可以达到以下目的。
(1)集中控制网络安全,提高局域网的整体安全性。通过配置网络防火墙,在局域网的入口建立一个“关卡”来防止菲法用户,如黑客、网络破坏者等进入内部网络。禁止存在安全隐患的服务进出网络,并通过合理配置规则防御来自Internet的各种攻击。防火墙能够简化安全管理,网络安全性是在防火墙系统上得到加固,而不仅仅是依靠分布在内部网络的主机上。
(2)监控广域网的使用情况,提供Internet的使用信息。防火墙是审查和记录Internet使用流量的一个最佳地点。网络管理员可以在此设置相应的网络流量记录点,并向网络管理部门提供不同用户访问Internet连接所产生的费用情况。此外还可以通过日志分析掌握 Internet资源的分类利用率,为以后提高网络管理能力和使用效率打下基础。
(3)配置地址转换Nat(Network Address Translator),节约网络地址资源。随着计算机 Internet的飞速发展,Internet已经产生了地址空间的危机,合法的IP地址越来越少。这意味着想要接入Internet的单位可能申请不到足够的IP地址来满足其内部网络上用户的需要,即使可以得到较多的合法地址时也需要较多的费用。防火墙可以作为部署NAT的逻辑地址,通过使用较少的合法地址满足内部的大量用户来缓解地址空间短缺的问题。
(4)提供安全报警信息,为网络安全提供保障。在防火墙上可以很容易地监视网络的安全性,并在受到攻击时产生报警信息。此外,还可以通过配置网络入侵检测系统与防火墙进行联动,对一些黑客攻击进行自动防御。应该注意的是,对一个己接入Internet的局域网来说,重要的问题并不是网络是否会受到攻击,而是何时会受到攻击。网络管理员必须审计并记录所有通过防火墙的重要信息,如果不能及时响应报警并审查常规记录,防火墙就形同虚设,很难发挥应有的作用。
(5)通过设立“非军事区”,为Internet用户提供网络服务。防火墙也可以成为向Internet用户发布信息的地点。可以通过对防火墙进行配置建立所谓“非军事区”,在其中部署WWW服务器和FTP服务器等对Internet用户提供网络服务的服务器系统。防火墙允许Internet上的用户访问“非军事区”中的上述服务器,但禁止外部对受保护的内部网络上其他系统的访问。
