边界防范的根本作用是,简述防火墙的作用。

1、简述防火墙的作用。防火墙的作用
1.包过滤
具备包过滤的就是防火墙？对，没错！根据对防火墙的定义，凡是能有效阻止网络非法连接的方式，都算防火墙。早期的防火墙一般就是利用设置的条件，监测通过的包的特征来决定放行或者阻止的，包过滤是很重要的一种特性。虽然防火墙技术发展到现在有了很多新的理念提出，但是包过滤依然是非常重要的一环，如同四层交换机首要的仍是要具备包的快速转发这样一个交换机的基本功能一样。通过包过滤，防火墙可以实现阻挡攻击，禁止外部/内部访问某些站点，限制每个ip的流量和连接数。
2.包的透明转发
事实上，由于防火墙一般架设在提供某些服务的服务器前。如果用示意图来表示就是 Server—FireWall—Guest。用户对服务器的访问的请求与服务器反馈给用户的信息，都需要经过防火墙的转发,因此，很多防火墙具备网关的能力。
3.阻挡外部攻击
如果用户发送的信息是防火墙设置所不允许的，防火墙会立即将其阻断，避免其进入防火墙之后的服务器中。
4.记录攻击
如果有必要，其实防火墙是完全可以将攻击行为都记录下来的，但是由于出于效率上的考虑，目前一般记录攻击的事情都交给IDS来完成了，我们在后面会提到。
以上是所有防火墙都具备的基本特性，虽然很简单，但防火墙技术就是在此基础上逐步发展起来的。
二、防火墙有哪些缺点和不足？
1.防火墙可以阻断攻击，但不能消灭攻击源。
“各扫自家门前雪，不管他人瓦上霜”，就是目前网络安全的现状。互联网上病毒、木马、恶意试探等等造成的攻击行为络绎不绝。设置得当的防火墙能够阻挡他们，但是无法清除攻击源。即使防火墙进行了良好的设置，使得攻击无法穿透防火墙，但各种攻击仍然会源源不断地向防火墙发出尝试。例如接主干网10M网络带宽的某站点，其日常流量中平均有512K左右是攻击行为。那么，即使成功设置了防火墙后，这512K的攻击流量依然不会有丝毫减少。
2.防火墙不能抵抗最新的未设置策略的攻击漏洞
就如杀毒软件与病毒一样，总是先出现病毒，杀毒软件经过分析出特征码后加入到病毒库内才能查杀。防火墙的各种策略，也是在该攻击方式经过专家分析后给出其特征进而设置的。如果世界上新发现某个主机漏洞的cracker的把第一个攻击对象选中了您的网络，那么防火墙也没有办法帮到您的。
3.防火墙的并发连接数限制容易导致拥塞或者溢出
由于要判断、处理流经防火墙的每一个包，因此防火墙在某些流量大、并发请求多的情况下，很容易导致拥塞，成为整个网络的瓶颈影响性能。而当防火墙溢出的时候，整个防线就如同虚设，原本被禁止的连接也能从容通过了。
4.防火墙对服务器合法开放的端口的攻击大多无法阻止
某些情况下，攻击者利用服务器提供的服务进行缺陷攻击。例如利用开放了3389端口取得没打过sp补丁的win2k的超级权限、利用asp程序进行脚本攻击等。由于其行为在防火墙一级看来是“合理”和“合法”的，因此就被简单地放行了。
5.防火墙对待内部主动发起连接的攻击一般无法阻止
“外紧内松”是一般局域网络的特点。或许一道严密防守的防火墙内部的网络是一片混乱也有可能。通过社会工程学发送带木马的邮件、带木马的URL等方式，然后由中木马的机器主动对攻击者连接，将铁壁一样的防火墙瞬间破坏掉。另外，防火墙内部各主机间的攻击行为，防火墙也只有如旁观者一样冷视而爱莫能助。
6．防火墙本身也会出现问题和受到攻击
防火墙也是一个os，也有着其硬件系统和软件，因此依然有着漏洞和bug 。所以其本身也可能受到攻击和出现软/硬件方面的故障。
7．防火墙不处理病毒
不管是funlove病毒也好，还是CIH也好。在内部网络用户下载外网的带毒文件的时候，防火墙是不为所动的（这里的防火墙不是指单机/企业级的杀毒软件中的实时监控功能，虽然它们不少都叫“病毒防火墙”）。
看到这里，或许您原本心目中的防火墙已经被我拉下了神台。是的，防火墙是网络安全的重要一环，但不代表设置了防火墙就能一定保证网络的安全。“真正的安全是一种意识，而非技术!”请牢记这句话。
不管怎么样，防火墙仍然有其积极的一面。在构建任何一个网络的防御工事时，除了物理上的隔离和目前新近提出的网闸概念外，首要的选择绝对是防火墙。那么，怎么选择需要的防火墙呢？
防火墙的分类
首先大概说一下防火墙的分类。就防火墙（本文的防火墙都指商业用途的网络版防火墙，非个人使用的那种）的组成结构而言，可分为以下三种：
第一种：软件防火墙
软件防火墙运行于特定的计算机上，它需要客户预先安装好的计算机操作系统的支持，一般来说这台计算机就是整个网络的网关。软件防火墙就象其它的软件产品一样需要先在计算机上安装并做好配置才可以使用。防火墙厂商中做网络版软件防火墙最出名的莫过于Checkpoint 。使用这类防火墙，需要网管对所工作的操作系统平台比较熟悉。
第二种：硬件防火墙
这里说的硬件防火墙是指所谓的硬件防火墙。之所以加上"所谓"二字是针对芯片级防火墙说的了。它们最大的差别在于是否基于专用的硬件平台。目前市场上大多数防火墙都是这种所谓的硬件防火墙，他们都基于PC架构，就是说，它们和普通的家庭用的PC没有太大区别。在这些PC架构计算机上运行一些经过裁剪和简化的操作系统，最常用的有老版本的Unix、Linux和FreeBSD系统。值得注意的是，由于此类防火墙采用的依然是别人的内核，因此依然会受到os本身的安全性影响。国内的许多防火墙产品就属于此类，因为采用的是经过裁减内核和定制组件的平台，因此国内防火墙的某些销售人员常常吹嘘其产品是“专用的os”等等，其实是一个概念误导，下面我们提到的第三种防火墙才是真正的os专用。
第三种：芯片级防火墙
它们基于专门的硬件平台，没有操作系统。专有的ASIC芯片促使它们比其他种类的防火墙速度更快，处理能力更强，性能更高。做这类防火墙最出名的厂商莫过于NetScreen.其他的品牌还有FortiNet,算是后起之秀了。这类防火墙由于是专用OS,因此防火墙本身的漏洞比较少，不过价格相对比较高昂，所以一般只有在“确实需要”的情况下才考虑。
在这里，特别纠正几个不正确的观念：
1.在性能上，芯片级防火墙>硬件防火墙>软件防火墙。
在价格上看来，的确倒是如此的关系。但是性能上却未必。防火墙的“好”，是看其支持的并发数、最大流量等等性能，而不是用软件硬件来区分的。事实上除了芯片级防火墙外，软件防火墙与硬件防火墙在硬件上基本是完全一样的。目前国内的防火墙厂商由于大多采用硬件防火墙而不是软件防火墙，原因1是考虑到用户网络管理员的素质等原因，还有就是基于我国大多数民众对“看得见的硬件值钱，看不到的软件不值钱”这样一种错误观点的迎合。不少硬件防火墙厂商大肆诋毁软件防火墙性能，不外是为了让自己那加上了外壳的普通pc＋一个被修改后的内核＋一套防火墙软件能够卖出一个好价钱来而已。而为什么不作芯片级防火墙呢？坦白说，国内没有公司有技术实力。而且在中国市场上来看，某些国内的所谓硬件防火墙的硬件质量连diy的兼容机都比不上。看看国内XX的硬件防火墙那拙劣的硬盘和网卡，使用过的人都能猜到是哪家，我就不点名了。真正看防火墙，应该看其稳定性和性能，而不是用软、硬来区分的。至少，如果笔者自己选购，我会选择购买CheckPoint而非某些所谓的硬件防火墙的。
2.在效果上，芯片防火墙比其他两种防火墙好
这同样也是一种有失公允的观点。事实上芯片防火墙由于硬件的独立，的确在OS本身出漏洞的机会上比较少，但是由于其固化，导致在面对新兴的一些攻击方式时，无法及时应对；而另外两种防火墙，则可以简单地通过升级os的内核来获取系统新特性，通过灵活地策略设置来满足不断变化的要求，不过其OS出现漏洞的概率相对高一些。
3.唯技术指标论
请以“防火墙买来是使用的”为第一前提进行购买。防火墙本身的质量如何是一回事，是否习惯使用又是另一回事。如果对一款产品的界面不熟悉，策略设置方式不理解，那么即使用世界最顶级的防火墙也没有多大作用。就如小说中武林中人无不向往的“倚天剑”、“屠龙刀”被我拿到，肯定也敌不过乔峰赤手的少林长拳是一般道理。防火墙技术发展至今，市场已经很成熟了，各类产品的存在，自然有其生存于市场的理由。如何把产品用好，远比盲目地比较各类产品好。
IDS
什么是IDS呢？早期的IDS仅仅是一个监听系统，在这里，你可以把监听理解成窃听的意思。基于目前局网的工作方式，IDS可以将用户对位于与IDS同一交换机/HuB的服务器的访问、操作全部记录下来以供分析使用，跟我们常用的widnows操作系统的事件查看器类似。再后来，由于IDS的记录太多了，所以新一代的IDS提供了将记录的数据进行分析，仅仅列出有危险的一部分记录，这一点上跟目前windows所用的策略审核上很象；目前新一代的IDS，更是增加了分析应用层数据的功能，使得其能力大大增加；而更新一代的IDS ，就颇有“路见不平，拔刀相助”的味道了，配合上防火墙进行联动，将IDS分析出有敌意的地址阻止其访问。
就如理论与实际的区别一样，IDS虽然具有上面所说的众多特性，但在实际的使用中，目前大多数的入侵检测的接入方式都是采用pass-by方式来侦听网络上的数据流，所以这就限制了IDS本身的阻断功能，IDS只有*发阻断数据包来阻断当前行为，并且IDS的阻断范围也很小，只能阻断建立在TCP基础之上的一些行为，如Telnet、FTP、HTTP等，而对于一些建立在UDP基础之上就无能为力了。因为防火墙的策略都是事先设置好的，无法动态设置策略，缺少针对攻击的必要的灵活性，不能更好的保护网络的安全，所以IDS与防火墙联动的目的就是更有效地阻断所发生的攻击事件，从而使网络隐患降至较低限度。
1.什么是防火墙
防火墙是指设置在不同网络（如可信任的企业内部网和不可信的公共网）或网络安全域之间的一系列部件的组合。它可通过监测、限制、更改跨越防火墙的数据流，尽可能地对外部屏蔽网络内部的信息、结构和运行状况，以此来实现网络的安全保护。
在逻辑上，防火墙是一个分离器，一个限制器，也是一个分析器，有效地监控了内部网和Internet之间的任何活动，保证了内部网络的安全。
2.使用Firewall的益处
保护脆弱的服务
通过过滤不安全的服务，Firewall可以极大地提高网络安全和减少子网中主机的风险。例如，Firewall可以禁止NIS、NFS服务通过，Firewall同时可以拒绝源路由和ICMP重定向封包。
控制对系统的访问
Firewall可以提供对系统的访问控制。如允许从外部访问某些主机，同时禁止访问另外的主机。例如， Firewall允许外部访问特定的Mail Server和Web Server 。
集中的安全管理
Firewall对企业内部网实现集中的安全管理，在Firewall定义的安全规则可以运行于整个内部网络系统，而无须在内部网每台机器上分别设立安全策略。Firewall可以定义不同的认证方法，而不需要在每台机器上分别安装特定的认证软件。外部用户也只需要经过一次认证即可访问内部网。
增强的保密性
使用Firewall可以阻止攻击者获取攻击网络系统的有用信息，如Figer和DNS 。
记录和统计网络利用数据以及非法使用数据
Firewall可以记录和统计通过Firewall的网络通讯，提供关于网络使用的统计数据，并且，Firewall可以提供统计数据，来判断可能的攻击和探测。
策略执行
Firewall提供了制定和执行网络安全策略的手段。未设置Firewall时，网络安全取决于每台主机的用户。
3.防火墙的种类
防火墙总体上分为包过滤、应用级网关和代理服务器等几大类型。
数据包过滤
数据包过滤(Packet Filtering)技术是在网络层对数据包进行选择，选择的依据是系统内设置的过滤逻辑，被称为访问控制表(Access Control Table) 。通过检查数据流中每个数据包的源地址、目的地址、所用的端口号、协议状态等因素，或它们的组合来确定是否允许该数据包通过。数据包过滤防火墙逻辑简单，价格便宜，易于安装和使用，网络性能和透明性好，它通常安装在路由器上。路由器是内部网络与Internet连接必不可少的设备，因此在原有网络上增加这样的防火墙几乎不需要任何额外的费用。
数据包过滤防火墙的缺点有二：一是非法访问一旦突破防火墙，即可对主机上的软件和配置漏洞进行攻击；二是数据包的源地址、目的地址以及IP的端口号都在数据包的头部，很有可能被窃听或假冒。
应用级网关
应用级网关(Application Level Gateways)是在网络应用层上建立协议过滤和转发功能。它针对特定的网络应用服务协议使用指定的数据过滤逻辑，并在过滤的同时，对数据包进行必要的分析、登记和统计，形成报告。实际中的应用网关通常安装在专用工作站系统上。
数据包过滤和应用网关防火墙有一个共同的特点，就是它们仅仅依靠特定的逻辑判定是否允许数据包通过。一旦满足逻辑，则防火墙内外的计算机系统建立直接联系，防火墙外部的用户便有可能直接了解防火墙内部的网络结构和运行状态，这有利于实施非法访问和攻击。
代理服务
代理服务(Proxy Service)也称链路级网关或TCP通道(Circuit Level Gateways or TCP Tunnels)，也有人将它归于应用级网关一类。它是针对数据包过滤和应用网关技术存在的缺点而引入的防火墙技术，其特点是将所有跨越防火墙的网络通信链路分为两段。防火墙内外计算机系统间应用层的" 链接"，由两个终止代理服务器上的" 链接"来实现，外部计算机的网络链路只能到达代理服务器，从而起到了隔离防火墙内外计算机系统的作用。此外，代理服务也对过往的数据包进行分析、注册登记，形成报告，同时当发现被攻击迹象时会向网络管理员发出警报，并保留攻击痕迹。
4.设置防火墙的要素
网络策略
影响Firewall系统设计、安装和使用的网络策略可分为两级，高级的网络策略定义允许和禁止的服务以及如何使用服务，低级的网络策略描述Firewall如何限制和过滤在高级策略中定义的服务。
服务访问策略
服务访问策略集中在Internet访问服务以及外部网络访问（如拨入策略、SLIP/PPP连接等）。服务访问策略必须是可行的和合理的。可行的策略必须在阻止已知的网络风险和提供用户服务之间获得平衡。典型的服务访问策略是：允许通过增强认证的用户在必要的情况下从Internet访问某些内部主机和服务；允许内部用户访问指定的Internet主机和服务。
防火墙设计策略
防火墙设计策略基于特定的Firewall，定义完成服务访问策略的规则。通常有两种基本的设计策略：允许任何服务除非被明确禁止；禁止任何服务除非被明确允许。第一种的特点是安全但不好用，第二种是好用但不安全，通常采用第二种类型的设计策略。而多数防火墙都在两种之间采取折衷。
增强的认证
许多在Internet上发生的入侵事件源于脆弱的传统用户/口令机制。多年来，用户被告知使用难于猜测和破译口令，虽然如此，攻击者仍然在Internet上监视传输的口令明文，使传统的口令机制形同虚设。增强的认证机制包含智能卡，认证令牌，生理特征（指纹）以及基于软件（RSA）等技术，来克服传统口令的弱点。虽然存在多种认证技术，它们均使用增强的认证机制产生难被攻击者重用的口令和密钥。目前许多流行的增强机制使用一次有效的口令和密钥（如SmartCard和认证令牌）。
5.防火墙在大型网络系统中的部署
根据网络系统的安全需要，可以在如下位置部署防火墙：
局域网内的VLAN之间控制信息流向时。
Intranet与Internet之间连接时(企业单位与外网连接时的应用网关) 。
在广域网系统中，由于安全的需要，总部的局域网可以将各分支机构的局域网看成不安全的系统，（通过公网ChinaPac，ChinaDDN，Frame Relay等连接）在总部的局域网和各分支机构连接时采用防火墙隔离，并利用VPN构成虚拟专网。
总部的局域网和分支机构的局域网是通过Internet连接，需要各自安装防火墙，并利用NetScreen的VPN组成虚拟专网。
在远程用户拨号访问时，加入虚拟专网。
ISP可利用NetScreen的负载平衡功能在公共访问服务器和客户端间加入防火墙进行负载分担、存取控制、用户认证、流量控制、日志纪录等功能。
两网对接时，可利用NetScreen硬件防火墙作为网关设备实现地址转换(NAT)，地址映射（MAP），网络隔离（DMZ）, 存取安全控制，消除传统软件防火墙的瓶颈问题。
6.防火墙在网络系统中的作用
防火墙能有效地防止外来的入侵，它在网络系统中的作用是：
控制进出网络的信息流向和信息包；
提供使用和流量的日志和审计；
隐藏内部IP地址及网络结构的细节；
1.什么是防火墙
防火墙是指设置在不同网络（如可信任的企业内部网和不可信的公共网）或网络安全域之间的一系列部件的组合。它可通过监测、限制、更改跨越防火墙的数据流，尽可能地对外部屏蔽网络内部的信息、结构和运行状况，以此来实现网络的安全保护。
在逻辑上，防火墙是一个分离器，一个限制器，也是一个分析器，有效地监控了内部网和Internet之间的任何活动，保证了内部网络的安全。
2.使用Firewall的益处
保护脆弱的服务
通过过滤不安全的服务， Firewall可以极大地提高网络安全和减少子网中主机的风险。例如， Firewall可以禁止NIS、NFS服务通过，Firewall同时可以拒绝源路由和ICMP重定向封包。
控制对系统的访问
Firewall可以提供对系统的访问控制。如允许从外部访问某些主机，同时禁止访问另外的主机。例如，Firewall允许外部访问特定的Mail Server和Web Server 。
集中的安全管理
Firewall对企业内部网实现集中的安全管理，在Firewall定义的安全规则可以运行于整个内部网络系统，而无须在内部网每台机器上分别设立安全策略。Firewall可以定义不同的认证方法，而不需要在每台机器上分别安装特定的认证软件。外部用户也只需要经过一次认证即可访问内部网。
增强的保密性
使用Firewall可以阻止攻击者获取攻击网络系统的有用信息，如Figer和DNS 。
记录和统计网络利用数据以及非法使用数据
Firewall可以记录和统计通过Firewall的网络通讯，提供关于网络使用的统计数据，并且，Firewall可以提供统计数据，来判断可能的攻击和探测。
策略执行
Firewall提供了制定和执行网络安全策略的手段。未设置Firewall时，网络安全取决于每台主机的用户。
3.防火墙的种类
防火墙总体上分为包过滤、应用级网关和代理服务器等几大类型。
数据包过滤
数据包过滤(Packet Filtering)技术是在网络层对数据包进行选择，选择的依据是系统内设置的过滤逻辑，被称为访问控制表(Access Control Table) 。通过检查数据流中每个数据包的源地址、目的地址、所用的端口号、协议状态等因素，或它们的组合来确定是否允许该数据包通过。数据包过滤防火墙逻辑简单，价格便宜，易于安装和使用，网络性能和透明性好，它通常安装在路由器上。路由器是内部网络与Internet连接必不可少的设备，因此在原有网络上增加这样的防火墙几乎不需要任何额外的费用。
数据包过滤防火墙的缺点有二：一是非法访问一旦突破防火墙，即可对主机上的软件和配置漏洞进行攻击；二是数据包的源地址、目的地址以及IP的端口号都在数据包的头部，很有可能被窃听或假冒。
应用级网关
应用级网关(Application Level Gateways)是在网络应用层上建立协议过滤和转发功能。它针对特定的网络应用服务协议使用指定的数据过滤逻辑，并在过滤的同时，对数据包进行必要的分析、登记和统计，形成报告。实际中的应用网关通常安装在专用工作站系统上。
数据包过滤和应用网关防火墙有一个共同的特点，就是它们仅仅依靠特定的逻辑判定是否允许数据包通过。一旦满足逻辑，则防火墙内外的计算机系统建立直接联系，防火墙外部的用户便有可能直接了解防火墙内部的网络结构和运行状态，这有利于实施非法访问和攻击。
代理服务
代理服务(Proxy Service)也称链路级网关或TCP通道(Circuit Level Gateways or TCP Tunnels)，也有人将它归于应用级网关一类。它是针对数据包过滤和应用网关技术存在的缺点而引入的防火墙技术，其特点是将所有跨越防火墙的网络通信链路分为两段。防火墙内外计算机系统间应用层的" 链接"，由两个终止代理服务器上的" 链接"来实现，外部计算机的网络链路只能到达代理服务器，从而起到了隔离防火墙内外计算机系统的作用。此外，代理服务也对过往的数据包进行分析、注册登记，形成报告，同时当发现被攻击迹象时会向网络管理员发出警报，并保留攻击痕迹。
4.设置防火墙的要素
网络策略
影响Firewall系统设计、安装和使用的网络策略可分为两级，高级的网络策略定义允许和禁止的服务以及如何使用服务，低级的网络策略描述Firewall如何限制和过滤在高级策略中定义的服务。
服务访问策略
服务访问策略集中在Internet访问服务以及外部网络访问（如拨入策略、SLIP/PPP连接等）。服务访问策略必须是可行的和合理的。可行的策略必须在阻止已知的网络风险和提供用户服务之间获得平衡。典型的服务访问策略是：允许通过增强认证的用户在必要的情况下从Internet访问某些内部主机和服务；允许内部用户访问指定的Internet主机和服务。
防火墙设计策略
防火墙设计策略基于特定的Firewall，定义完成服务访问策略的规则。通常有两种基本的设计策略：允许任何服务除非被明确禁止；禁止任何服务除非被明确允许。第一种的特点是安全但不好用，第二种是好用但不安全，通常采用第二种类型的设计策略。而多数防火墙都在两种之间采取折衷。
增强的认证
许多在Internet上发生的入侵事件源于脆弱的传统用户/口令机制。多年来，用户被告知使用难于猜测和破译口令，虽然如此，攻击者仍然在Internet上监视传输的口令明文，使传统的口令机制形同虚设。增强的认证机制包含智能卡，认证令牌，生理特征（指纹）以及基于软件（RSA）等技术，来克服传统口令的弱点。虽然存在多种认证技术，它们均使用增强的认证机制产生难被攻击者重用的口令和密钥。目前许多流行的增强机制使用一次有效的口令和密钥（如SmartCard和认证令牌）。
5.防火墙在大型网络系统中的部署
根据网络系统的安全需要，可以在如下位置部署防火墙：
局域网内的VLAN之间控制信息流向时。
Intranet与Internet之间连接时(企业单位与外网连接时的应用网关) 。
在广域网系统中，由于安全的需要，总部的局域网可以将各分支机构的局域网看成不安全的系统，（通过公网ChinaPac，ChinaDDN ， Frame Relay等连接）在总部的局域网和各分支机构连接时采用防火墙隔离，并利用VPN构成虚拟专网。
总部的局域网和分支机构的局域网是通过Internet连接，需要各自安装防火墙，并利用NetScreen的VPN组成虚拟专网。
在远程用户拨号访问时，加入虚拟专网。
ISP可利用NetScreen的负载平衡功能在公共访问服务器和客户端间加入防火墙进行负载分担、存取控制、用户认证、流量控制、日志纪录等功能。
两网对接时，可利用NetScreen硬件防火墙作为网关设备实现地址转换(NAT) ，地址映射（MAP），网络隔离（DMZ）, 存取安全控制，消除传统软件防火墙的瓶颈问题。
6.防火墙在网络系统中的作用
防火墙能有效地防止外来的入侵，它在网络系统中的作用是：
控制进出网络的信息流向和信息包；
提供使用和流量的日志和审计；
隐藏内部IP地址及网络结构的细节；
【边界防范的根本作用是,简述防火墙的作用。】1、极大地提高一个内部网络的安全性，并通过过滤不安全的服务而降低风险。
由于只有经过精心选择的应用协议才能通过防火墙，所以网络环境变得更安全。防火墙同时可以保护网络免受基于路由的攻击，如IP选项中的源路由攻击和ICMP重定向中的重定向路径。防火墙可以拒绝所有以上类型攻击的报文并通知防火墙管理员。
2、对网络存取和访问进行监控审计。
当发生可疑动作时，防火墙能进行适当的报警，并提供网络是否受到监测和攻击的详细信息。另外，收集一个网络的使用和误用情况也是非常重要的。
可以清楚知道防火墙能够抵挡攻击者的探测和攻击，并且清楚防火墙的控制是否充足，网络使用统计对网络需求分析和威胁分析等而言也是非常重要的。
3、防止内部信息的外泄。
通过利用防火墙对内部网络的划分，可实现内部网重点网段的隔离，从而限制了局部重点或敏感网络安全问题对全局网络造成的影响。
使用防火墙就可以隐蔽那些透漏内部细节如Finger ， DNS等服务。防火墙可以同样阻塞有关内部网络中的DNS信息，这样一台主机的域名和IP地址就不会被外界所了解。
扩展资料：
主要类型
1、网络层防火墙：可视为一种 IP 封包过滤器，运作在底层的TCP/IP协议堆栈上。我们可以以枚举的方式，只允许符合特定规则的封包通过，其余的一概禁止穿越防火墙。这些规则通常可以经由管理员定义或修改，不过某些防火墙设备可能只能套用内置的规则。
2、应用层防火墙：是在 TCP/IP 堆栈的“应用层”上运作，您使用浏览器时所产生的数据流或是使用 FTP 时的数据流都是属于这一层。应用层防火墙可以拦截进出某应用程序的所有封包，并且封锁其他的封包。
3、数据库防火墙：是一款基于数据库协议分析与控制技术的数据库安全防护系统。基于主动防御机制，实现数据库的访问行为控制、危险操作阻断、可疑行为审计。
参考资料来源：百度百科-防火墙
防火墙的作用是：
防火墙是指设置在不同网络（如可信任的企业内部网和不可信的公共网）或网络安全域之间的一系列部件的组合。它可通过监测、限制、更改跨越防火墙的数据流，尽可能地对外部屏蔽网络内部的信息、结构和运行状况，以此来实现网络的安全保护。
在逻辑上，防火墙是一个分离器，一个限制器，也是一个分析器，有效地监控了内部网和Internet之间的任何活动，保证了内部网络的安全。

文章插图
2、边界链路的作用是什么起到防御职能、政治、法律职能、经济职能的作用。
边界是一国领土范围的界线，也是一国实行其主权的界线，边界是保证一国政治独立、领土完整的最基本的条件。
边界的政治职能是指，边界是一国主权管辖范围的界线，在边界内，国家或政府可根据本国的实际情况采取独特的政治体制，接受特定的意识形态，而不受其他国家的影响。

文章插图
3、特朗普视察加州边界边境墙工程,边界边境墙到底有何作用?边界边境墙是为了更好防御跨境的人，也是为了防御偷渡，运送毒品枪支的一道墙，他不仅保卫了国家领土不被侵犯，还守护着我们的安全。
其实美国所建立的边境墙，已经不是世界上第一个边境墙了，世界上还有两个国家早已建立了这样的边境墙。第一个就是俄罗斯，俄罗斯在在克里米亚与乌克兰的几十公里边界都修建了铁丝隔离墙，有效的保护了领土。
但是，美国的边境墙和以上情况都不一样，而是为了防止他国公民从墨西哥潜入美国进行非法移民。自从911事件之后，美国对于移民的审核程度就非常的高，导致了很多想要去美国定居的人难以达成所愿。所以他们就从墨西哥非法潜入美国，美国和墨西哥的边境总共长达一千多公里，想要从这一千多公里的任意一个角落闯进美国，其实也非常的简单。
修墙的目的也非常明确，就是把非法移民挡在美国之外。由于美国的强大与富裕，一次墨西哥民众，还有一些来自中美洲各国的民众，经常跨越美墨边界，非法进入美国。
这些人到美国之后不但抢占了美国人的工作岗位，分占了美国人的福利，而且还把毒品与枪支等带入美国，从而引发了美国的动荡。特朗普的支持者以下层白人居多，他们对上述事情特别敏感。所以，特朗普修墙是为了讨好这批选民。
除了杜绝非法移民之外，那就是要杜绝毒品、武器等各种非法出入境的物品。另外还有一方面作用，自从特朗普上台后，就遣送了一批阿拉伯国家以及其他国家的非法入侵者。为了避免这些有地区特征的人对美国构成威胁，特朗普才出此下策。
边界边境墙是为了更好防御跨境的人，也是为了防御偷渡，运送毒品枪支的一道墙，他不仅保卫了国家领土不被侵犯，还守护着我们的安全。
这道围墙具有吸热功能，“在墙上能煎蛋”，而且围墙根基深入地底，可以防止偷渡客在地面下挖隧道。
肯定有一定的作用，而毕竟这些东西为了设计肯定也是为了防御一些东西的，所以肯定有作用
为了抵御外来的偷渡人口，最重要的保护边境不受侵犯，其实每个国家都设的有边界边境墙。

文章插图
4、路由设置是边界防范的(路由设置是边界防范的基本手段之一。
边界防护就是在边界处采取技术措施或部署防护设备，如代理、网关、路由器、防火墙、加密隧道等，进行边界的监测、管理和控制，检查往来信息和协议，将恶意和非授权的通信排除在外，达到御敌于国门之外的目的。
这里的边界，既指信息系统的外部边界，比如内部网络与互联网的连接处，也指信息系统的内部边界，比如不同网络域之间的连接处。
防火墙
边界防护产品以防火墙（firewall）最为典型。防火墙名字起得非常直观形象，就是用技术手段，一般包括检测、隔离和保护等，在内、外网之间或者网络不同区域之间砌一道墙——构建一道相对隔绝的保护屏障，把风险挡在防火墙之外，以保护边界内的用户资产与信息的安全性。
作为一道隔离墙，防火墙都是串接在网络路径上，是不能被旁路的。

文章插图
5、在中国4000年的边防史上,边防的任务和性质主要发生过什么的变化?古代的边、海防概念与当代的边、海防概念，在内涵上既有联.系，又有区别。古代的边、海防除了元、明两朝曾抵御倭寇从海上的入侵，清朝主要用以抵御外国侵略者对中.国的入侵之外，其他历朝的主要防御对象是居住在中原之外的各少数民.族和地方政.权的叛乱和骚扰。当代的边、海防无论在其概念、含义，还是在功能、任务或对象等方面，都有了新的发展。
我.国古代对边防的功能和任务的解释是：“边陲之戍，用保封疆” ，即边防的功能是保卫国.家疆界安全。当代世界各国对“边防”的功能表述各异，但基本含义大体相同，即：边防的基本功能是维护边界的秩序和安全，保卫国.家疆界不受侵犯。也有的国.家站在一个新的角度上看待边防问题，其对于边防功能的认识已不局限于对边界的军事防卫，而是指在陆、海、空边境为保卫国.家“政.治和经济利益”所采取的“一整套措施” ，这对我们是个很大的启发。
与历.史上的边防相比较，我.国新时期边防在功能与任务方面已经有了崭新的发展。所谓新时期边防，主要具有以下几个特点：
（一）新时期边防的概念具有新的内涵和外延
新时期边防的目的，不仅是保卫边界安全，而且要谋求边境地区社.会的全面发展。新时期边防不仅有武.装警卫边界的军事功能，还有维护边境地区社.会治安秩序的行政管理功能、维护睦邻友好的外交功能、增进民.族团结的社.会功能、促进边境地区生产力发展的经济功能和振奋民.族精神的教育功能等。因此，新时期的边防应该是：为保卫国.家主.权、领土完整和海洋权益，维护陆地边境地区和沿海地区的安全与稳定，发展和平安定的睦邻友好关系，在陆地边境地区、沿海地区及其上空和底土所实施的建设、防卫和管理措施。“建设、防卫和管理”反映了新时期边防的内涵，“陆地边境地区、沿海地区及其上空和底土”规定了现代边防的范围，“保卫”、“维护”和“发展”阐明了新时期边防的基本功能和任务。这样确定边防的定义，不仅将其与历代边防的含义区别开来，体现现代国.家对边防工作的实际需求，也展示了世界多数国.家边防的时代特点和未来走向。
（二）新时期边防是有序开放的边防
当今世界，和平与发展成为时代的主题，全球经济一体化和各国间政.治、文化、人员的相互交流日趋频繁，边防的交流功能已经越来越明显地体现出来，有序开放的边防是我.国经济、政.治、文化、社.会全面科学协调发展的必然要求。应该指出，边防的有序开放重在“有序”，即沿边沿海地区的对外开放，决不是简单的放开边界，任人往来，而是在维护国.家根本利益和边境地区社.会秩序的前提下所进行的符合相关法.律法规规定的经济、政.治、文化、人员等方面的交流活动。这是新时期边防的重要特点。
（三）新时期的边防是一种“大边防”
所谓“大边防”，主要表现在四个方面：其一，在地域范围上是大纵深的边境地带。如果说在历.史上，边关将士守住了“边防线”而不使敌人越界，守住了“海岸线”而不使敌人登陆，就意味着守卫了边防，那么在今天，仅靠这种“线式”防御，是绝不能够完成保卫边防的任务的。新时期边防所担负的防御外敌侵略、保.障边境地区社.会安定、促进边境地区经济发展和发展睦邻友好关系等多项任务，都要求我们必须更新传统的边防思想，扩大边防的防卫纵深和管理区域，以适应国.家安全利益的需要。其二，在空间范围上是陆、海、空全方位防管。维护国.家主.权和领土完整，保卫本民.族生存发展的资源和空间，是边防工作的基本任务，因此，边防是一项经常性的军事、行政管理工作。它不管有无外来威胁，不管平时还是战时，不管是已划定的边界还是未划定的边界，也不管是陆地边界、海上边界还是空中边界、底土边界，每时每刻都必须进行严密的防卫和管理。其三，在边防力量上是军.警民.联防。边境地区一般都地广人?。?情况复杂，为了切实有效地管理和控.制边境地区，必须建立以解.放军边防部.队和公.安边防部.队为骨.干，有广大人.民群众参加的军.警民.联防制.度，这是新时期大边防理论的重要特征。
拓展阅读
中.国反映边防的文.字最早可追溯到春秋战国时期，在秦汉时期已经大量出现。如表示边防地域的概念有：“边疆”、“边陲”、“边圉”、“边鄙”、“边裔”等；表示边防任务和设施的概念有：“戍边”、“屯边”、“边塞”、“边寄”、“边尘”、“边遽”、“边警”等；表示边防部.队和官.员的概念有：“边骑”、“边吏”、“边将”等。第一次提出“边防”概念的是《新唐书·兵志》：“唐初，兵之戍边者，大曰军，小曰守捉、城、镇……此自武德至天宝以前边防之制。”唐朝确立的边防制.度系统严密，其精要之处为以后历代所承袭，“边防”的概念也一直沿用至今。到了清代，则把陆地边防称为“塞防” ，把边防哨所谓之为“卡伦”，把边防巡逻称为“巡边”、“察边”，称界碑为“鄂博”、“界牌” 。
中.国海防的实践开始于唐朝，唐朝在山东莱州（今山东掖县）设立东莱守捉，在登州（今山东蓬莱）设立平海军，以加强对山东沿海的控.制。北宋时期，在山东建立澄海水军弩手两指挥和平海水军两指挥，执行戍守海防的任务。明朝倭寇猖獗，故明太祖朱元璋在东南沿海地区设立卫、所、巡检司等海防机.构，派驻几十万军.队戍守，形成完整的海防体.系。胡宗宪等一大批明朝官.员和将领，在致力海防斗.争的同时，还组.织编纂了《筹海图编》、《海防纂要》等许多海防专著，于是“海防”一词应运而生。《筹海图编》对“海防”的解释是：“防海之制谓之海防，则必宜防之于海” 。