内部威胁防火墙：保护企业网络安全

　　防火墙对于大家来说应该是不会感到陌生的，今天我们就来讲讲防火墙可以阻止来自内部的威胁和攻击吗？防火墙技术是通过有机结合各类用于安全管理与筛选的软件和硬件设备，帮助计算机网络于其内、外网之间构建一道相对隔绝的保护屏障，以保护用户资料与信息安全性的一种技术。

　　防火墙可以阻止来自内部的威胁和攻击吗？

　　防火墙不能阻止来自内部的威胁，因为防火墙的原理就是针对外部攻击进行防御的一种设备，在内部网和外部网之间、专用网与公共网之间的界面上构造的保护屏障，他无法针对内部的网络问题进行扫描或者作出反应，但是他可以防止内部的攻击无法进入，当在配合以下IPS、IDS等设备时几乎可以做到万无一失。

　　防火墙的功能包括：

　　包过滤

　　包过滤是防火墙所要实现的最基本功能，它可将不符合要求的包过滤掉。包过滤技术已经由原来的静态包过滤发展到了动态包过滤，静态包过滤只是在网络层上对包的地址、端口等信息进行判定控制，而动态包过滤是在所有通信层上对包的状态进行检测分析，判断包是否符合安全要求。动态包过滤技术支持多种协议和应用程序，易扩展、易实现。

　　审计和报警机制

　　审计是一种重要的安全措施，用以监控通信行为和完善安全策略，检查安全漏洞和错误配置，并对入侵者起到一定的威慑作用。报警机制是在通信违反相关策略以后，以多种方式如声音、邮件、电话、手机短信息及时报告给管理人员。防火墙的审计和报警机制在防火墙体系中是很重要的，只有有了审计和报警，管理人员才可能知道网络是否受到了攻击。

　　远程管理

　　远程管理是防火墙管理功能的扩展之一，也是非常实用的功能，防火墙是否具有这种远程管理功能已成为选择防火墙产品的重要参考指标之一。使用防火墙的远程管理功能可以在办公室直接管理托管在网络运营部门的防火墙，甚至坐在家中就可以重新调整防火墙的安全规则和策略。

　　NAT

　　绝大多数防火墙都具有网络地址转换（NAT）功能。目前防火墙一般采用双向NAT，即SNAT和DNAT。SNAT用于对内部网络地址进行转换，对外部网络隐藏内部网络的结构，使得对内部的攻击更加困难；并可以节省IP资源，有利于降低成本。DNAT主要用于实现外网主机对内网和DMZ区主机的访问。

　　代理

　　目前代理主要有如下两种实现方式。分别是透明代理（Transparent proxy）和传统代理。

　　MAC地址与IP地址的绑定

　　把MAC地址与IP地址绑定在一起，主要用于防止那些受到控制（不允许访问外网）的内部用户通过更换IP地址来访问外网。

　　流量控制（带宽管理）和统计分析、流量计费

　　流量控制可以分为基于IP地址的控制和基于用户的控制。基于IP地址的控制是对通过防火墙各个网络接口的流量进行控制，基于用户的控制是通过用户登录来控制每个用户的流量，从而防止某些应用或用户占用过多的资源。并且通过流量控制可以保证重要用户和重要接口的连接。

　　统计分析是建立在流量控制基础之上的。一般防火墙通过对基于IP、服务、时间、协议等进行统计，并与管理界面实现挂接，实时或者以统计报表的形式输出结果。流量计费因此也是非常容易实现的。

　　VPN

　　在以往的网络安全产品中，VPN是一个单独产品，现在大多数厂商把VPN与防火墙捆绑在一起，进一步增强和扩展了防火墙的功能，这也是一种产品整合的趋势。

　　防火墙是不能阻止来自内部的威胁和攻击的，防火墙的主要功能是网络安全的屏障，能极大地提高一个内部网络的安全性并通过过滤不安全的服务而降低风险。阻塞点和控制点过滤那些潜在危险的服务来降低网络攻击的伤害。