防火墻的功能和局限性有哪些

防火墻的功能：

• 包過濾：包過濾是防火墻所要實現的最基本功能，它可將不符合要求的包過濾掉。包過濾技術已經由原來的靜態包過濾發展到了動態包過濾，靜態包過濾只是在網絡層上對包的地址、端口等信息進行判定控制，而動態包過濾是在所有通信層上對包的狀態進行檢測分析，判斷包是否符合安全要求。動態包過濾技術支持多種協議和應用程序，易擴展、易實現。

• 審計和報警機制：審計是一種重要的安全措施，用以監控通信行為和完善安全策略，檢查安全漏洞和錯誤配置，并對入侵者起到一定的威懾作用。報警機制是在通信違反相關策略以后，以多種方式如聲音、郵件、電話、手機短信息及時報告給管理人員。防火墻的審計和報警機制在防火墻體系中是很重要的，只有有了審計和報警，管理人員才可能知道網絡是否受到了攻擊。

• 遠程管理：遠程管理是防火墻管理功能的擴展之一，也是非常實用的功能，防火墻是否具有這種遠程管理功能已成為選擇防火墻產品的重要參考指標之一。使用防火墻的遠程管理功能可以在辦公室直接管理托管在網絡運營部門的防火墻，甚至坐在家中就可以重新調整防火墻的安全規則和策略。

• NAT：絕大多數防火墻都具有網絡地址轉換（NAT）功能。目前防火墻一般采用雙向 NAT，即 SNAT 和 DNAT。SNAT 用于對內部網絡地址進行轉換，對外部網絡隱藏內部網絡的結構，使得對內部的攻擊更加困難；并可以節省 IP 資源，有利于降低成本。DNAT 主要用于實現外網主機對內網和 DMZ 區主機的訪問。

• 代理：目前代理主要有如下兩種實現方式。分別是透明代理（Transparent proxy）和傳統代理。

• MAC 地址與 IP 地址的綁定：把 MAC 地址與 IP 地址綁定在一起，主要用于防止那些受到控制（不允許訪問外網）的內部用戶通過更換 IP 地址來訪問外網。

• 流量控制（帶寬管理）和統計分析、流量計費：流量控制可以分為基于 IP 地址的控制和基于用戶的控制。基于 IP 地址的控制是對通過防火墻各個網絡接口的流量進行控制，基于用戶的控制是通過用戶登錄來控制每個用戶的流量，從而防止某些應用或用戶占用過多的資源。并且通過流量控制可以保證重要用戶和重要接口的連接。統計分析是建立在流量控制基礎之上的。一般防火墻通過對基于 IP、服務、時間、協議等進行統計，并與管理界面實現掛接，實時或者以統計報表的形式輸出結果。流量計費因此也是非常容易實現的。

• VPN：在以往的網絡安全產品中，VPN 是一個單獨產品，現在大多數廠商把 VPN 與防火墻捆綁在一起，進一步增強和擴展了防火墻的功能，這也是一種產品整合的趨勢。

防火墻的局限性：

• 不能防范不經過防火墻的攻擊；

• 不能解決來自內部網絡的攻擊和安全問題；

• 不能防止策略配置不當或錯誤配置引起的安全威脅；

• 不能防止可接觸的人為或自然的破壞；

• 不能防止利用標準網絡協議中的缺陷進行的攻擊；

• 不能防止利用服務器系統漏洞所進行的攻擊；

• 不能防止受病毒感染的文件的傳輸；

• 不能防止數據驅動式的攻擊；

• 不能防止內部的泄密行為；

• 不能防止本身的安全漏洞的威脅。

回答所涉及的環境：聯想天逸510S、Windows 10。