网络安全检测|网络安全服务|网络安全扫描-香港墨客投资移动版

2．3．4．1．支持透明连接

透明性是指对客户的透明和对网络设备的透明。无论安装防火墙还是卸载防火墙，第一不必改变网络的拓扑结构，不需要修改网络设备的参数与设置。第二在用户端亦不必作任何修改和设置就可以实现基于IP协议的各种信息的传输。

2．3．4．2．带有DMZ区的连接

DMZ原意为停火区，在防火墙的应用中是指防火墙将逻辑上同一网段分成物理上的两个网段，其中一个物理网段为正常的受保护网段，另一个物理网段为DMZ，用来连接要对外开放的主机，防火墙对DMZ区只作少量的保护或不做保护。

2．3．4．3．包过滤功能

包过滤功能防火墙最主要的功能之一，是防火墙必备的功能模块。

包过滤指的是对IP数据包的过滤。对防火墙需要转发的数据包，先获取包头信息，包括IP层所承载的上层协议的协议号，数据包的源地址、目的地址、源端口、目的端口等，然后和设定规则进行比较，根据比较的结果对数据包进行转发或者丢弃。大多数数据包过滤系统在数据本身上不作任何事，不作关于内容的决定。有了数据过滤包，可以不让任何人从外界使用Telent 登录，或者让每个人经SMTP向我们发送电子邮件，或者是某个机器经由NNTP把新闻发给我，而其他机器不能这样做。但是你不能控制这个用户能从外部远程登录而他用户不能这样做，因为“用户”不是数据过滤包系统所能辨认的。同时你也不能做到发送这些文件而不是那些文件，因为“文件”也不是数据包过滤系统所能辨认的。

防火墙包过滤功能应具有的特点：支持对进入报文、转发报文和出去的报文的分别过滤。支持非操作符；支持端口范围的控制；支持ICMP报文类型的控制。

使用包过滤模块会对网络传输速率有影响，但速率的降低不能超过25%

2．3．4．4．应用层过滤

应用层的过滤是一种细粒度的过滤，实际上是对报文数据内容的过滤。在应用层可以实现对URL的过滤以及其它网络应用层协议（如FTP）的协议命令的过滤和报文内容的过滤。通过应用层过滤，可以禁止非法站点的连接（这些站点通常是含有反动、黄色信息）达到对非法信息的过滤。

2．3．4．5．透明代理与控制功能

代理的功能是对来自局域网内的用户的会话请求进行会话规划请求转发。从安全角度讲，这样做有以下几个用处：

●完全阻断了网络的传输通道。

●可以进行访问控制。

●隐藏内部网络结构，因为最终请求是由防火墙发出的，外面的主机并不知道与哪个用户通信。

●解决IP地址紧缺的问题。使用代理服务器只需防火墙有一个公网的IP地址。

代理服务器优点在于：支持多种TCP上层协议，完全的透明性，对防火墙以外任何设备以及主机无需作任何修改。代理服务器不仅仅是为了接通网络，更重要的一点是为了保证网络的安全。代理层访问控制模块使代理服务器模块具有完整的安全手段。

2．3．4．6防止IP 地址欺骗。

黑客的一种惯用手段是修改报文，使报文的源地址成为他要攻击的主机的同网段的地址。利用这种办法欺骗目标主机并取得目标主机的信任，达到为所欲为的目的。防火墙应能智能地判断数据报文的真正来源，对假冒报文予以，使黑客无法进入内部网络，做到防止外部用户盗用内部网段空闲的IP 地址。

2．3．4．6．地址绑定功能

地址绑定即固定主机IP地址和网络适配器的MAC地址的一一对应关系。地址绑定的主要作用是防止非法用户盗用合法用户的IP地址，由于每块网卡的MAC地址都是固定的，经过地址绑定后，地址就与计算机或用户（若每台计算机的用户固定）的对应关系就固定了。也就是说，只有特定的主机才能使特定的IP地址，这就可以保证IP地址不盗用。

地址绑定加快了网络的速度，因为绑定之后，防火墙就不用定时地动态查询局域网内部主机的MAC地址，这就减少了网络资源的浪费，加快了网络的速度。

2．3．4．7．地址转换功能

防火墙通过地址转换技术，将所有从内部发出的通过防火墙报文的源地址修改成为防火墙本身的IP地址，使得外部网络无法了解内部网络的结构使用地址转换技术，要求所有的网络连接只能从内部发起，这样更是极大的提高了网络安全性。另外除了安全性，地址转换,还有一个好处，解决IP地址缺乏的问题，如果一个园区只有少数的公网地址，利用地址转换技术，可以使所有连接到防火墙上的主机都可以与Ｉｎｔｅｒｎｅｔ相连。局域网的用户认为在与Ｉｎｔｅｒｎｅｔ之间通信，而Ｉｎｔｅｒｎｅｔ上的主机以为是与防火墙通信。这样就因隐藏了网段的网络结构，因为只能见到防火墙的一个地址。

2．3．4．8．VPN功能