公网防火墙主要有以下功能:
基于源IP地址和目的IP地址进行过滤。可以允许或阻止特定IP地址或IP地址范围的访问。例如,企业可以设置防火墙规则,只允许内部特定部门的IP地址访问公网中的某些业务服务器,同时阻止来自外部可疑IP地址的访问。
针对源端口和目的端口进行操作。不同的网络服务使用不同的端口,如HTTP服务通常使用80端口,HTTPS使用443端口。防火墙能够允许或禁止特定端口的流量进出网络。比如,阻止外部对内部网络中非必要的端口(如数据库端口3306等)的访问,以防止潜在的攻击。
抵御多种网络攻击,如DDoS(分布式拒绝服务)攻击。当遭受DDoS攻击时,防火墙可以识别异常的流量模式,如大量来自不同源IP地址的SYN包(在TCP连接建立阶段),并采取措施,如限制来自特定源IP的连接速率或者直接阻断恶意流量,以保护内部网络免受攻击而瘫痪。
防止黑客入侵。通过检测和阻止未经授权的外部连接尝试,如黑客试图通过暴力破解密码等方式进入内部网络的特定服务(如SSH、RDP等远程管理服务),防火墙可以在网络边界就阻止这些恶意行为。
部分公网防火墙具备一定的恶意软件检测能力。它们可以识别并阻止包含恶意软件(如病毒、木马等)的数据包进入内部网络。例如,当外部网络试图向内部网络发送带有恶意软件附件的邮件或者恶意链接时,防火墙可以通过分析数据包内容或者与威胁情报库比对,阻止这些恶意内容进入。
对进出网络的流量进行限制。可以根据不同的应用、用户或IP地址设置流量配额。例如,在企业网络中,限制员工在非工作时间的大量下载行为,以避免占用过多带宽影响其他正常业务的网络使用。
优化网络流量,提高网络性能。防火墙可以对数据包进行排队、优先级排序等操作。例如,优先处理视频会议等实时性要求高的应用的流量,确保其流畅性,同时对一些非紧急的批量数据传输(如软件更新下载等)进行适当的延迟处理。
记录所有通过防火墙的网络活动,包括数据包的源IP地址、目的IP地址、端口号、协议类型、访问时间等信息。这些日志对于网络安全监控、故障排查以及合规性检查都非常重要。
基于日志进行审计。可以分析网络活动是否符合企业的安全策略、法律法规等要求。例如,检查是否存在内部员工违规访问外部禁止的网站或者外部网络对内部敏感资源的异常访问等情况。