简述防火墙的作用。

1.什么是防火墙
防火墙是指设置在不同网络（如可信任的企业内部网和不可信的公共网）或网络安全域之间的一系列部件的组合。 它可通过监测、限制、更改跨越防火墙的数据流，尽可能地对外部屏蔽网络内部的信息、结构和运行状况， 以此来实现网络的安全保护。
在逻辑上，防火墙是一个分离器，一个限制器，也是一个分析器，有效地监控了内部网和Internet之间的任何活动， 保证了内部网络的安全。
2.使用Firewall的益处
保护脆弱的服务
通过过滤不安全的服务，Firewall可以极大地提高网络安全和减少子网中主机的风险。例如， Firewall可以禁止NIS、NFS服务通过，Firewall同时可以拒绝源路由和ICMP重定向封包。
控制对系统的访问
Firewall可以提供对系统的访问控制。如允许从外部访问某些主机，同时禁止访问另外的主机。例如， Firewall允许外部访问特定的Mail Server和Web Server。
集中的安全管理
Firewall对企业内部网实现集中的安全管理，在Firewall定义的安全规则可以运行于整个内部网络系统， 而无须在内部网每台机器上分别设立安全策略。Firewall可以定义不同的认证方法， 而不需要在每台机器上分别安装特定的认证软件。外部用户也只需要经过一次认证即可访问内部网。
增强的保密性
使用Firewall可以阻止攻击者获取攻击网络系统的有用信息，如Figer和DNS。
记录和统计网络利用数据以及非法使用数据
Firewall可以记录和统计通过Firewall的网络通讯，提供关于网络使用的统计数据，并且，Firewall可以提供统计数据， 来判断可能的攻击和探测。
策略执行
Firewall提供了制定和执行网络安全策略的手段。未设置Firewall时，网络安全取决于每台主机的用户。

3.防火墙的种类
防火墙总体上分为包过滤、应用级网关和代理服务器等几大类型。

数 据 包 过 滤
数据包过滤(Packet Filtering)技术是在网络层对数据包进行选择，选择的依据是系统内设置的过滤逻辑， 被称为访问控制表(Access Control Table)。通过检查数据流中每个数据包的源地址、目的地址、所用的端口号、 协议状态等因素，或它们的组合来确定是否允许该数据包通过。 数据包过滤防火墙逻辑简单，价格便宜，易于安装和使用， 网络性能和透明性好，它通常安装在路由器上。路由器是内部网络与Internet连接必不可少的设备， 因此在原有网络上增加这样的防火墙几乎不需要任何额外的费用。
数据包过滤防火墙的缺点有二：一是非法访问一旦突破防火墙，即可对主机上的软件和配置漏洞进行攻击； 二是数据包的源地址、目的地址以及IP的端口号都在数据包的头部，很有可能被窃听或假冒。

应 用 级 网 关
应用级网关(Application Level Gateways)是在网络应用层上建立协议过滤和转发功能。 它针对特定的网络应用服务协议使用指定的数据过滤逻辑，并在过滤的同时，对数据包进行必要的分析、 登记和统计，形成报告。实际中的应用网关通常安装在专用工作站系统上。
数据包过滤和应用网关防火墙有一个共同的特点，就是它们仅仅依靠特定的逻辑判定是否允许数据包通过。 一旦满足逻辑，则防火墙内外的计算机系统建立直接联系， 防火墙外部的用户便有可能直接了解防火墙内部的网络结构和运行状态，这有利于实施非法访问和攻击。

代 理 服 务
代理服务(Proxy Service)也称链路级网关或TCP通道(Circuit Level Gateways or TCP Tunnels)， 也有人将它归于应用级网关一类。它是针对数据包过滤和应用网关技术存在的缺点而引入的防火墙技术， 其特点是将所有跨越防火墙的网络通信链路分为两段。防火墙内外计算机系统间应用层的" 链接"， 由两个终止代理服务器上的" 链接"来实现，外部计算机的网络链路只能到达代理服务器， 从而起到了隔离防火墙内外计算机系统的作用。此外，代理服务也对过往的数据包进行分析、注册登记， 形成报告，同时当发现被攻击迹象时会向网络管理员发出警报，并保留攻击痕迹。

4.设置防火墙的要素

网络策略
影响Firewall系统设计、安装和使用的网络策略可分为两级，高级的网络策略定义允许和禁止的服务以及如何使用服务， 低级的网络策略描述Firewall如何限制和过滤在高级策略中定义的服务。

服务访问策略
服务访问策略集中在Internet访问服务以及外部网络访问（如拨入策略、SLIP/PPP连接等）。 服务访问策略必须是可行的和合理的。可行的策略必须在阻止已知的网络风险和提供用户服务之间获得平衡。 典型的服务访问策略是：允许通过增强认证的用户在必要的情况下从Internet访问某些内部主机和服务； 允许内部用户访问指定的Internet主机和服务。

防火墙设计策略
防火墙设计策略基于特定的Firewall，定义完成服务访问策略的规则。通常有两种基本的设计策略： 允许任何服务除非被明确禁止；禁止任何服务除非被明确允许。第一种的特点是安全但不好用， 第二种是好用但不安全，通常采用第二种类型的设计策略。 而多数防火墙都在两种之间采取折衷。

增强的认证
许多在Internet上发生的入侵事件源于脆弱的传统用户/口令机制。多年来，用户被告知使用难于猜测和破译口令， 虽然如此，攻击者仍然在Internet上监视传输的口令明文，使传统的口令机制形同虚设。增强的认证机制包含智能卡， 认证令牌，生理特征（指纹）以及基于软件（RSA）等技术，来克服传统口令的弱点。虽然存在多种认证技术， 它们均使用增强的认证机制产生难被攻击者重用的口令和密钥。 目前许多流行的增强机制使用一次有效的口令和密钥（如SmartCard和认证令牌）。

5.防火墙在大型网络系统中的部署
根据网络系统的安全需要，可以在如下位置部署防火墙：
局域网内的VLAN之间控制信息流向时。

Intranet与Internet之间连接时(企业单位与外网连接时的应用网关)。

在广域网系统中，由于安全的需要，总部的局域网可以将各分支机构的局域网看成不安全的系统， （通过公网ChinaPac，ChinaDDN，Frame Relay等连接）在总部的局域网和各分支机构连接时采用防火墙隔离， 并利用VPN构成虚拟专网。

总部的局域网和分支机构的局域网是通过Internet连接，需要各自安装防火墙，并利用NetScreen的VPN组成虚拟专网。

在远程用户拨号访问时，加入虚拟专网。

ISP可利用NetScreen的负载平衡功能在公共访问服务器和客户端间加入防火墙进行负载分担、 存取控制、用户认证、流量控制、日志纪录等功能。

两网对接时，可利用NetScreen硬件防火墙作为网关设备实现地址转换(NAT)，地址映射（MAP）， 网络隔离（DMZ）, 存取安全控制，消除传统软件防火墙的瓶颈问题。

6.防火墙在网络系统中的作用

防火墙能有效地防止外来的入侵，它在网络系统中的作用是：

控制进出网络的信息流向和信息包；
提供使用和流量的日志和审计；
隐藏内部IP地址及网络结构的细节；

关于防火墙其实在技术专题中，我们有专门的介绍，只是内容比较散，因此我们在这里从比较简单的讲起，由浅入深的来了解一下防火墙。

防火墙的概念
当然，既然打算由浅入深的来了解，就要先看看防火墙的概念了。防火墙是汽车中一个部件的名称。在汽车中，利用防火墙把乘客和引擎隔开，以便汽车引擎一旦著火，防火墙不但能保护乘客安全，而同时还能让司机继续控制引擎。再电脑术语中，当然就不是这个意思了，我们可以类比来理解，在网络中，所谓“防火墙”，是指一种将内部网和公众访问网(如Internet)分开的方法，它实际上是一种隔离技术。防火墙是在两个网络通讯时执行的一种访问控制尺度，它能允许你“同意”的人和数据进入你的网络，同时将你“不同意”的人和数据拒之门外，最大限度地阻止网络中的黑客来访问你的网络。换句话说，如果不通过防火墙，公司内部的人就无法访问Internet，Internet上的人也无法和公司内部的人进行通信。

防火墙的功能

防火墙是网络安全的屏障：

一个防火墙（作为阻塞点、控制点）能极大地提高一个内部网络的安全性，并通过过滤不安全的服务而降低风险。由于只有经过精心选择的应用协议才能通过防火墙，所以网络环境变得更安全。如防火墙可以禁止诸如众所周知的不安全的NFS协议进出受保护网络，这样外部的攻击者就不可能利用这些脆弱的协议来攻击内部网络。防火墙同时可以保护网络免受基于路由的攻击，如IP选项中的源路由攻击和ICMP重定向中的重定向路径。防火墙应该可以拒绝所有以上类型攻击的报文并通知防火墙管理员。

防火墙可以强化网络安全策略：

通过以防火墙为中心的安全方案配置，能将所有安全软件（如口令、加密、身份认证、审计等）配置在防火墙上。与将网络安全问题分散到各个主机上相比，防火墙的集中安全管理更经济。例如在网络访问时，一次一密口令系统和其它的身份认证系统完全可以不必分散在各个主机上，而集中在防火墙一身上。

对网络存取和访问进行监控审计：

如果所有的访问都经过防火墙，那么，防火墙就能记录下这些访问并作出日志记录，同时也能提供网络使用情况的统计数据。当发生可疑动作时，防火墙能进行适当的报警，并提供网络是否受到监测和攻击的详细信息。另外，收集一个网络的使用和误用情况也是非常重要的。首先的理由是可以清楚防火墙是否能够抵挡攻击者的探测和攻击，并且清楚防火墙的控制是否充足。而网络使用统计对网络需求分析和威胁分析等而言也是非常重要的。

防止内部信息的外泄：

通过利用防火墙对内部网络的划分，可实现内部网重点网段的隔离，从而限制了局部重点或敏感网络安全问题对全局网络造成的影响。再者，隐私是内部网络非常关心的问题，一个内部网络中不引人注意的细节可能包含了有关安全的线索而引起外部攻击者的兴趣，甚至因此而暴漏了内部网络的某些安全漏洞。使用防火墙就可以隐蔽那些透漏内部细节如Finger，DNS等服务。Finger显示了主机的所有用户的注册名、真名，最后登录时间和使用shell类型等。但是Finger显示的信息非常容易被攻击者所获悉。攻击者可以知道一个系统使用的频繁程度，这个系统是否有用户正在连线上网，这个系统是否在被攻击时引起注意等等。防火墙可以同样阻塞有关内部网络中的DNS信息，这样一台主机的域名和IP地址就不会被外界所了解。
除了安全作用，防火墙还支持具有Internet服务特性的企业内部网络技术体系VPN（虚拟专用网）。

防火墙的分类
根据防火墙的分类标准不同，防火墙可以分为N多种类型，这里我们遵循的，当然是根据网络体系结构来进行的分类了，按这样的标准，可以有以下几种类型的防火墙：

1.网络级防火墙

一般是基于源地址和目的地址、应用或协议以及每个IP包的端口来作出通过与否的判断。一个路由器便是一个“传统”的网络级防火墙，大多数的路由器都能通过检查这些信息来决定是否将所收到的包转发，但它不能判断出一个IP包来自何方，去向何处。

先进的网络级防火墙可以判断这一点，它可以提供内部信息以说明所通过的连接状态和一些数据流的内容，把判断的信息同规则表进行比较，在规则表中定义了各种规则来表明是否同意或拒绝包的通过。包过滤防火墙检查每一条规则直至发现包中的信息与某规则相符。如果没有一条规则能符合，防火墙就会使用默认规则，一般情况下，默认规则就是要求防火墙丢弃该包。其次，通过定义基于TCP或UDP数据包的端口号，防火墙能够判断是否允许建立特定的连接，如Telnet、FTP连接。
下面是某一网络级防火墙的访问控制规则：
(1)允许网络123.1.0使用FTP(21口)访问主机150.0.0.1；
(2) 允许IP地址为202.103.1.18和202.103.1.14的用户Telnet(23口)到主机150.0.0.2上；
(3)允许任何地址的E-mail(25口)进入主机150.0.0.3；
(4)允许任何WWW数据（80口）通过；
(5)不允许其他数据包进入。
网络级防火墙简洁、速度快、费用低，并且对用户透明，但是对网络的保护很有限，因为它只检查地址和端口，对网络更高协议层的信息无理解能力。

2.应用级网关

应用级网关就是我们常常说的“代理服务器”，它能够检查进出的数据包，通过网关复制传递数据，防止在受信任服务器和客户机与不受信任的主机间直接建立联系。应用级网关能够理解应用层上的协议，能够做复杂一些的访问控制，并做精细的注册和稽核。但每一种协议需要相应的代理软件，使用时工作量大，效率不如网络级防火墙。

常用的应用级防火墙已有了相应的代理服务器， 例如： HTTP、 NNTP、 FTP、Telnet、rlogin、X-Windows等，但是，对于新开发的应用，尚没有相应的代理服务，它们将通过网络级防火墙和一般的代理服务。

应用级网关有较好的访问控制，是目前最安全的防火墙技术，但实现困难，而且有的应用级网关缺乏"透明度"。在实际使用中，用户在受信任的网络上通过防火墙访问Internet时， 经常会发现存在延迟并且必须进行多次登录（Login） 才能访问Internet或Intranet。

3.电路级网关

电路级网关用来监控受信任的客户或服务器与不受信任的主机间的TCP握手信息,这样来决定该会话(Session) 是否合法,电路级网关是在OSI模型中会话层上来过滤数据包,这样比包过滤防火墙要高二层。

实际上电路级网关并非作为一个独立的产品存在，它与其他的应用级网关结合在一起， 如TrustInformationSystems公司的GauntletInternetFirewall；DEC公司的AltaVistaFirewall等产品。 另外，电路级网关还提供一个重要的安全功能：代理服务器（ProxyServer） ，代理服务器是个防火墙，在其上运行一个叫做"地址转移"的进程，来将所有你公司内部的IP地址映射到一个"安全"的IP地址，这个地址是由防火墙使用的。但是，作为电路级网关也存在着一些缺陷，因为该网关是在会话层工作的，它就无法检查应用层级的数据包。

4.规则检查防火墙

该防火墙结合了包过滤防火墙、电路级网关和应用级网关的特点。它同包过滤防火墙一样， 规则检查防火墙能够在OSI网络层上通过IP地址和端口号，过滤进出的数据包。它也象电路级网关一样，能够检查SYN和ACK标记和序列数字是否逻辑有序。当然它也象应用级网关一样， 可以在OSI应用层上检查数据包的内容，查看这些内容是否能符合公司网络的安全规则。

规则检查防火墙虽然集成前三者的特点，但是不同于一个应用级网关的是，它并不打破客户机/服务机模式来分析应用层的数据， 它允许受信任的客户机和不受信任的主机建立直接连接。规则检查防火墙不依靠与应用层有关的代理，而是依靠某种算法来识别进出的应用层数据，这些算法通过已知合法数据包的模式来比较进出数据包，这样从理论上就能比应用级代理在过滤数据包上更有效。
目前在市场上流行的防火墙大多属于规则检查防火墙，因为该防火墙对于用户透明，在OSI最高层上加密数据，不需要你去修改客户端的程序，也不需对每个需要在防火墙上运行的服务额外增加一个代理。如现在最流行的防火墙之一OnTechnology软件公司生产的OnGuard和CheckPoint软件公司生产的FireWall-1防火墙都是一种规则 检查防火墙。

从趋势上看，未来的防火墙将位于网络级防火墙和应用级防火墙之间，也就是说，网络级防火墙将变得更加能够识别通过的信息，而应用级防火墙在目前的功能上则向“透明”、“低级”方面发展。最终防火墙将成为一个快速注册稽查系统，可保护数据以加密方式通过，使所有组织可以放心地在节点间传送数据。

防火墙的英文名为“FireWall”，它是目前一种最重要的网络防护设备。从专业角度讲，防火墙是位于两个(或多个)网络间，实施网络之间访问控制的一组组件集合。

防火墙在网络中经常是以下图所示的两种图标出现的。左边那个图标非常形象，真正像一堵墙一样。而右边那个图标则是从防火墙的过滤机制来形象化的，在图标中有一个二极管图标。而二极管我们知道，它具有单向导电性，这样也就形象地说明了防火墙具有单向导通性。这看起来与现在防火墙过滤机制有些矛盾，不过它却完全体现了防火墙初期的设计思想，同时也在相当大程度上体现了当前防火墙的过滤机制。因为防火最初的设计思想是对内部网络总是信任的，而对外部网络却总是不信任的，所以最初的防火墙是只对外部进来的通信进行过滤，而对内部网络用户发出的通信不作限制。当然目前的防火墙在过滤机制上有所改变，不仅对外部网络发出的通信连接要进行过滤，对内部网络用户发出的部分连接请求和数据包同样需要过滤，但防火墙仍只对符合安全策略的通信通过，也可以说具有“单向导通”性。

防火墙的本义是指古代构筑和使用木制结构房屋的时候，为防止火灾的发生和蔓延，人们将坚固的石块堆砌在房屋周围作为屏障，这种防护构筑物就被称之为“防火墙”。其实与防火墙一起起作用的就是“门”。如果没有门，各房间的人如何沟通呢，这些房间的人又如何进去呢？当火灾发生时，这些人又如何逃离现场呢？这个门就相当于我们这里所讲的防火墙的“安全策略”，所以在此我们所说的防火墙实际并不是一堵实心墙，而是带有一些小孔的墙。这些小孔就是用来留给那些允许进行的通信，在这些小孔中安装了过滤机制，也就是上面所介绍的“单向导通性”。

防火墙的功能一般有五个功能。

《一》防火墙是网络安全的屏障：
一个防火墙（作为阻塞点、控制点）能极大地提高一个内部网络的安全性，并通过过滤不安全的服务而降低风险。由于只有经过精心选择的应用协议才能通过防火墙，所以网络环境变得更安全。如防火墙可以禁止诸如众所周知的不安全的NFS协议进出受保护网络，这样外部的攻击者就不可能利用这些脆弱的协议来攻击内部网络。防火墙同时可以保护网络免受基于路由的攻击，如IP选项中的源路由攻击和ICMP重定向中的重定向路径。防火墙应该可以拒绝所有以上类型攻击的报文并通知防火墙管理员。

《二》防火墙可以强化网络安全策略：

通过以防火墙为中心的安全方案配置，能将所有安全软件（如口令、加密、身份认证、审计等）配置在防火墙上。与将网络安全问题分散到各个主机上相比，防火墙的集中安全管理更经济。例如在网络访问时，一次一密口令系统和其它的身份认证系统完全可以不必分散在各个主机上，而集中在防火墙一身上。

《三》对网络存取和访问进行监控审计：

如果所有的访问都经过防火墙，那么，防火墙就能记录下这些访问并作出日志记录，同时也能提供网络使用情况的统计数据。当发生可疑动作时，防火墙能进行适当的报警，并提供网络是否受到监测和攻击的详细信息。另外，收集一个网络的使用和误用情况也是非常重要的。首先的理由是可以清楚防火墙是否能够抵挡攻击者的探测和攻击，并且清楚防火墙的控制是否充足。而网络使用统计对网络需求分析和威胁分析等而言也是非常重要的。

《四》防止内部信息的外泄：

通过利用防火墙对内部网络的划分，可实现内部网重点网段的隔离，从而限制了局部重点或敏感网络安全问题对全局网络造成的影响。再者，隐私是内部网络非常关心的问题，一个内部网络中不引人注意的细节可能包含了有关安全的线索而引起外部攻击者的兴趣，甚至因此而暴漏了内部网络的某些安全漏洞。使用防火墙就可以隐蔽那些透漏内部细节如Finger，DNS等服务。Finger显示了主机的所有用户的注册名、真名，最后登录时间和使用shell类型等。但是Finger显示的信息非常容易被攻击者所获悉。攻击者可以知道一个系统使用的频繁程度，这个系统是否有用户正在连线上网，这个系统是否在被攻击时引起注意等等。防火墙可以同样阻塞有关内部网络中的DNS信息，这样一台主机的域名和IP地址就不会被外界所了解。

《五》除了安全作用，防火墙还支持具有Internet服务特性的企业内部网络技术体系VPN（虚拟专用网）。

防火墙就是一个位于计算机和它所连接的网络之间的软件。该计算机流入流出的所有网络通信均要经过此防火墙。

防火墙的功能

防火墙对流经它的网络通信进行扫描，这样能够过滤掉一些攻击，以免其在目标计算机上被执行。防火墙还可以关闭不使用的端口。而且它还能禁止特定端口的流出通信，封锁特洛伊木马。最后，它可以禁止来自特殊站点的访问，从而防止来自不明入侵者的所有通信。

为什么使用防火墙

防火墙具有很好的保护作用。入侵者必须首先穿越防火墙的安全防线，才能接触目标计算机。你可以将防火墙配置成许多不同保护级别。高级别的保护可能会禁止一些服务，如视频流等，但至少这是你自己的保护选择。

防火墙的类型

防火墙有不同类型。一个防火墙可以是硬件自身的一部分，你可以将因特网连接和计算机都插入其中。防火墙也可以在一个独立的机器上运行，该机器作为它背后网络中所有计算机的代理和防火墙。最后，直接连在因特网的机器可以使用个人防火墙。

1.概念：在一个受保护的网络与Internet之间，或与其他的网络之间，用来限制其存取的一个或一组元件，此元件可以是装在一般PC或是Server上的软件或是经过特殊设计的硬件设备。
2.为什麼需要防火墙？

A：Internet防火墙主要是为了防范黑客三种蓄意破坏的方式：

（1）入侵：最常见的破坏方式，入侵后就可以正当使用电脑。入侵者希望自己能变成合法的使用者，任意使用电脑。
（2）拒绝服务：最容易且不直接破坏系统的方式，黑客只要发出如洪水般的垃圾封包就可以瘫痪某部电脑，使得系统无法正常提供服务。

（3）资讯窃盗：黑客窃取使用者的帐号及密码，就可以进入电脑窃取所需的资讯。

3.防火墙能作些什麼？

（1）防火墙是保全决策的重点
防火墙为一个咽喉点，所有进入和出去的传输都必须通过这个狭窄、唯一的检查点，在网路安全防护上，防火墙提供非常大的杠杆效益，因为它把安全措施集中在这个检查点上。

（2）防火墙可以执行保全政策
防火墙强制执行站台的保全政策，只让『核准的』服务通过，而这些服务设定在Policy中。

（3）防火墙能有效率的记录Internet的活动
由於所有的传输都经过防火墙，所以它成为收集系统和网路的使用或误用资讯的最佳地点。

（4）防火墙可以减少网路暴露的危机
防火墙可以使得在防火墙内部的伺服主机与外界网路隔绝，避免有问题的封包影响到内部主机的安全。
4.防火墙无法作些什麼？
（1）防火墙管不到内部恶人
如果恶人已经在防火墙内可以无须接近防火墙，就可以偷窃资料、损坏硬体和软体，并巧妙的修改程式。内部威胁需要内部安全措施，例如机房安全管理措施及人员训练

（2）防火墙管不到不经过它的连线
对於不经过防火墙的传输，防火墙就无法发挥作用。例如某些站台允许直接通到内部主机的拨入存取或是技术及系统管理者会为他们自己设置进入网路的『后门』等。

（3）防火墙无法防范全新的威胁
防火墙的设计是为了防范已知的威胁，一个设计完善的防火墙或许可以防范一些新威胁，如：除了少数可靠的服务外，拒绝一切其他的服务就可以防止使用者设置新的极不安全的服务。

（4）防火墙无法防范病毒
防火墙无法防范PC和Macintosh病毒进入网路，虽然防火墙会就来源位址、目的位址及port号码作扫描，但不是细部资料，且使用最精巧的封包过滤或代理软体对於防火墙而言也不太实际。

防火墙的用途和作用

Internet的发展给企业带来了革命性的改革和开放，企业正努力通过利用

它来提高市场反应速度和办事效率，以便更具竞争力。企业通过Internet，可

以从异地取回重要数据，同时又要面对Internet开放带来的数据安全的新挑战

和新危险：即客户、销售商、移动用户、异地员工和内部员工的安全访问；以

及保护企业的机密信息不受黑客和工业间谍的入侵。因此企业必须加注安全的

“战壕”，而这些“战壕”又要在哪里修建呢?

基于Internet体系应用有两大部分：Intranet和Extranet。Intranet是借

助Internet的技术和设备在Internet上面构造出企业3W网，可放入企业全部信

息；而Extranet是在电子商务、互相合作的需求下，用Intranet间的通道，可

获得其它体系中部分信息。因此按照一个企业的安全体系可知防火墙战壕须在

以下位置上位置：

①保证对主机和应用安全访问；

②保证多种客户机和服务器的安全性；

③保护关键部门不受到来自内部的攻击、外部的攻击、为通过Internet与

远程访问的雇员、客户、供应商提供安全通道。

同时防火墙的安全性还要来自其良好的技术性能。一般防火墙具备以下特

点：

①广泛的服务支持，通过将动态的、应用层的过滤能力和认证相结合，可

实现WWW浏览器、HTTP服务器、FTP等；

②对私有数据的加密支持，保证通过Internet进行虚拟私人网络和商务活

动不受损坏；

③客户端认证只允许指定的用户访问内部网络或选择服务，是企业本地网

与分支机构、商业伙伴和移动用户间安全通信的附加部分；

④反欺骗，欺骗是从外部获取网络访问权的常用手段，它使数据包好似来

自网络内部。Firewall-1能监视这样的数据包并能扔掉它们；C/S 模式

和跨平台支持，能使运行在一平台的管理模块控制运行在另一平台的监

视模块。

Solstice Firewall-1 特点还有取消了监视期间数据拷贝和正文转换操作

，仅产生可忽略的网络等待时间，因而获得极大的以太网速度；并能容易扩展

到几千个用户，而对网络性能影响极小。