电子公文检索利用安全（3）

（二）防火墙技术

1．防火墙技术的定义

防火墙是一种访问控制技术，是在某个机构的网络和外界风格之间设置障碍，阻止对本机构信息资源的非法访问，也可以阻止机要信息、专利信息从该机构的网络上非法输出。简单地说，防火墙是在一个被认为是安全和可信的内部网络和一个被认为是不太安全和可信的外部网络之间提供一个封锁工具。防火墙的安全作用是双向的，一方面防止来自不可信网络的非授权访问；另一方面能限制被保护网络对公共网络的访问。通过网络通信监控系统监测所有通过防火墙的数据流，凡符合事先制定的网络安全规定的信息允许通过，不符合的就拒之墙外，使被保护网络的信息和结构不受侵犯。

归结起来，防火墙主要有以下功能：

（1）过滤。对进出网络的数据包进行过滤，根据过滤规则决定哪些数据包可以进入，那些数据包可以外出，封堵某些禁止的访问行为。

（2）管理。网络服务都是以主机IP地址和端口号来标识，所有客户可以向这些端口发起连接请求，要求主机提供服务。防火墙可以对进出网络的访问行为进行管理，决定哪些服务端口需要关闭，哪些服务端口可以开放。

（3）日志。记录通过防火墙的信息内容和活动，系统管理员可以查看分析日志内容。防火墙能够记录通过它进行的各种网络资源访问行为。大部分访问行为是合法的，但也存在一些可能是进行入侵的尝试行为。防火墙可以隐藏敏感信息，阻止攻击者信息搜集。

（4）告警。对网络攻击行为进行检测并告警，提供监视互联网安全和预警的方便端点。

2.防火墙技术的优缺点

基于上述对防火墙功能的介绍，可以归纳出防火墙的以下优点：

（1）允许网络管理员定义一个中心“扼制点”来防止非法用户进入内部网络。禁止使用安全性弱的服务，并抗击来自各种线路的攻击。防火墙能够简化安全管理，网络安全性是在防火墙系统上得到加固，而不是分布在内部网络的所有主机上。

（2）保护网络中脆弱的服务。防火墙通过过滤存在安全缺陷的网络服务来降低内部网遭受攻击的威胁，因为只有经过选择的网络服务才能通过防火墙。

（3）用户可以通过防火墙方便地监视网络的安全性，并产生警报信息。网络管理员必须审计并记录所有通过防火墙的重要信息。如果网络管理员不能及时响应报警并审查常规记录，防火墙就形同虚设。

（4）集中安全性。如果一个内部网络的所有或大部分需要改动的程序以及附加的安全程序都能集中地放在防火墙系统中，而不是分散到每个主机中，这样防火墙的保护范围就相对集中，安全成本也相对便宜了。

（5）增强隐私性。对一些内部网络节点而言，隐私性是很重要的，某些看似不甚重要的信息往往会成为攻击者的开始。一旦攻击者了解到这些信息，就可以锁定攻击目标，并进行下一步入侵准备。

（6）防火墙是审计和记录网络流量的一个最佳地方。网络管理员可以在此向管理部门提供网络连接的费用情况，查出潜在的带宽瓶颈的位置，并能够根据机构的核算模式提供部门级的计费。

【公文写作栏目文章版权归原作者所有，如有侵权请及时联系我们删除。】