一、防火墙进行网络监控审计

防火墙有着很好的日志记录功能，它会记录所有经过防火墙访问过的记录，更能够把网络使用情况的数据进行汇总分析，从而得出网络访问的统计性数据。

如果访问的数据里面含有可疑性的动作，防火墙会进行报警，显示网络可能受到的相关的检测和攻击方面的数据信息。另外，它还可以通过访问数据的统计提供某个网络的使用情况和误用情况，为网络使用需求分析和网络威胁分析提供有价值的参考数据。

二、防止内部信息的外泄

防火墙可以把内部网络隔离成若干个段，对局部重点网络或敏感网络加强监控，全局网络的安全问题就不会因为局部网络的一段问题而受到牵连。

另外，防火墙对 Finger、DNS等服务显示的内部细节数据进行隐蔽，这样由于 Finger 显示的所有用户的注册名、真名，最后登录时间和使用 shell 类型等信息就受到保护了，也就降低了外部的攻击侵入。

同样，防火墙对内部网络中 DNS 信息的阻塞，也避免了主机域名和IP地址的外泄，有效了保护内部信息的安全。

三、网络安全屏障

防火墙对内部网络环境安全性起着极大的提高意义，它作为阻塞点和控制点过滤那些潜在危险的服务从而降低了网络内部环境的风险。因为所有进入网络内容的信息都是经过防火墙精心过滤过的，所以网络内部环境就非常的安全可靠。

例如，NFS 是一个不安全协议，防火墙可以过滤点该信息，不允许该协议进入受保护的网络，这样外部的攻击者就无法进入内部网络进行攻击侵害。防火墙同时可以保护网络免受基于路由的攻击，如 IP 选项中的源路由攻击和 ICMP 重定向中的重定向路径。防火墙应该可以拒绝所有以上类型攻击的报文并通知防火墙管理员。

四、防火墙基本技术分类

防火墙所用的主要技术有数据包过滤、应用网关和代理服务等。下面进行简单介绍。

1．包过滤（Paket Filter）技术

在适当位置对数据包进行过滤，实施有选择地通过策略，其工作原理示意图如图3-1所示。

判断依据为防火墙系统内设置的过滤逻辑（通常称为访问控制列表ACL：Access Control List）。通过检查数据流中的每个数据包，根据数据包的源IP地址、目的IP地址、TCP/UDP源端口、TCP/UDP目的端口、TCP链路状态等因素或它们的组合来确定是否允许数据包通过。

只有满足过滤逻辑的数据包才被转发至相应的目的地出口端。其余数据包则被从数据流中删除。包过滤技术的实现方式相当简单，但包过滤防火墙是在网络层上工作的一种技术，因而对位于网络更高协议层的信息无理解能力，使得它对通过网络应用层协议实现的安全威胁无防范能力。

2．应用网关（Application Gateway）

是建立在网络应用层上的协议过滤、转发功能，如图3-2所示。应用网关针对特别的网络应用服务协议指定数据过滤逻辑，并可根据在按应用协议指定的数据过滤逻辑进行过滤的同时对数据包分析的结果及采取的措施进行登录和统计，形成报告。

数据包过滤技术与应用网关技术的一个共同特点是：它们都仅依特定的逻辑来检查是否允许特定的数据包通过。一旦特定的网络数据流满足逻辑，则防火墙内外的计算机系统建立直接联系，因而保留了防火墙外部网络系统直接了解防火墙内网络结构和运行状态的可能。

3．代理服务（Proxy Service）

代理服务也称链路级网关或TCP通道，也有人将它归于应用级网关。它是针对数据包过滤和应用网关技术存在的缺点而引入的防火墙技术。 特点是将所有跨越防火墙的网络通信链路分为两段，防火墙内外计算机系统间的应用层联系由两个终止于代理服务器上链接来实现。

外部计算机的网络链路只能到达代理服务器，由此实现了防火墙内外计算机系统的隔离，代理服务器在此等效于一个网络传输层上的数据转发器的功能。它可以将被保护网络的内部结构屏蔽起来，显著增强了网络安全性能，同时代理服务器也对过往的数据包进行分析、记录，并可形成报告。当发现被攻击迹象时会向网络管理员发出警报，并保留攻击痕迹。