防火墙是否可以对用户数据加密

A. 防火墙的主要功能是什么

1、强化网络安全策略

通过以防火墙为中心的安全方案配置，能将所有安全软件（如口令、加密、身份认证、审计等）配置在防火墙上。与将网络安全问题分散到各个主机上相比，防火墙的集中安全管理更经济。

例如在网络访问时，一次一密口令系统和其它的身份认证系统完可以不必分散在各个主机上，而集中在防火墙一身上。

2、监控网络存取和访问

如果所有的访问都经过防火墙，那么，防火墙就能记录下这些访问并作出日志记录，同时也能提供网络使用情况的统计数据。当发生可疑动作时，防火墙能进行适当的报警，并提供网络是否受到监测和攻击的详细信息。

另外，收集一个网络的使用和误用情况也是非常重要的。首先的理由是可以清楚防火墙是否能够抵挡攻击者的探测和攻击，并且清楚防火墙的控制是否充足。而网络使用统计对网络需求分析和威胁分析等而言也是非常重要的。

3、防止内部信息的外泄

通过利用防火墙对内部网络的划分，可实现内部网重点网段的隔离，从而限制了局部重点或敏感网络安全问题对全局网络造成的影响。

再者，隐私是内部网络非常关心的问题，一个内部网络中不引人注意的细节可能包含了有关安全的线索而引起外部攻击者的兴趣，甚至因此而暴漏了内部网络的某些安全漏洞。使用防火墙就可以隐蔽那些透漏内部细节如Finger，DNS等服务。

Finger显示了主机的所有用户的注册名、真名，最后登录时间和使用shell类型等。但是Finger显示的信息非常容易被攻击者所获悉。

攻击者可以知道一个系统使用的频繁程度，这个系统是否有用户正在连线上网，这个系统是否在被攻击时引起注意等等。防火墙可以同样阻塞有关内部网络中的DNS信息，这样一台主机的域名和IP地址就不会被外界所了解。

4、实现数据库安全的实时防护

数据库防火墙通过SQL 协议分析，根据预定义的禁止和许可策略让合法的SQL 操作通过，阻断非法违规操作，形成数据库的外围防御圈,实现SQL 危险操作的主动预防、实时审计。数据库防火墙面对来自于外部的入侵行为，提供SQL 注入禁止和数据库虚拟补丁包功能。

5、其他功能

除了安全作用，防火墙还支持具有Internet服务特性的企业内部网络技术体系VPN（虚拟专用网）。防火墙的英文名为“FireWall”，它是目前一种最重要的网络防护设备。从专业角度讲，防火墙是位于两个（或多个）网络间，实施网络之间访问控制的一组组件集合。

B. 防火墙有哪些功能和局限性

防火墙主要优点:
（1）防火墙能强化安全策略。
（2）防火墙能有效地记录Internet上的活动。
（3）防火墙限制暴露用户点。防火墙能够用来隔开网络中一个网段与另一个网段。这样，能够防止影响一个网段的问题通过整个网络传播。
（4）防火墙是一个安全策略的检查站。所有进出的信息都必须通过防火墙，防火墙便成为安全问题的检查点，使可疑的访问被拒绝于门外。
防火墙有十大局限性：
一、防火墙不能防范不经过防火墙的攻击。没有经过防火墙的数据，防火墙无法检查。
二、防火墙不能解决来自内部网络的攻击和安全问题。防火墙可以设计为既防外也防内，谁都不可信，但绝大多数单位因为不方便，不要求防火墙防内。
三、防火墙不能防止策略配置不当或错误配置引起的安全威胁。防火墙是一个被动的安全策略执行设备，就像门卫一样，要根据政策规定来执行安全，而不能自作主张。
四、防火墙不能防止可接触的人为或自然的破坏。防火墙是一个安全设备，但防火墙本身必须存在于一个安全的地方。
五、防火墙不能防止利用标准网络协议中的缺陷进行的攻击。一旦防火墙准许某些标准网络协议，防火墙不能防止利用该协议中的缺陷进行的攻击。
六、防火墙不能防止利用服务器系统漏洞所进行的攻击。黑客通过防火墙准许的访问端口对该服务器的漏洞进行攻击，防火墙不能防止。
七、防火墙不能防止受病毒感染的文件的传输。防火墙本身并不具备查杀病毒的功能，即使集成了第三方的防病毒的软件，也没有一种软件可以查杀所有的病毒。
八、防火墙不能防止数据驱动式的攻击。当有些表面看来无害的数据邮寄或拷贝到内部网的主机上并被执行时，可能会发生数据驱动式的攻击。
九、防火墙不能防止内部的泄密行为。防火墙内部的一个合法用户主动泄密，防火墙是无能为力的。
十、防火墙不能防止本身的安全漏洞的威胁。防火墙保护别人有时却无法保护自己，目前还没有厂商绝对保证防火墙不会存在安全漏洞。因此对防火墙也必须提供某种安全保护。

C. 网络防火墙的作用是什么

防火墙（Firewall）是指一个由软件或硬件设备组合而成，处于企业或网络群体电脑与外界通道之间，用来加强因特网与内部网之间安全防范的一个或一组系统。它控制网络内外的信息交流，提供接入控制和审查跟踪，是一种访问控制机制。
一般防火墙具备以下特点：
广泛的服务支持。通过将动态的、应用层的过滤能力和认证相结合，可实现WWW浏览、HTIP服务、FIP服务等；通过对专用数据的加密支持，保证通过Internet进行的虚拟专用网商务活动不受破坏；客户端认证只允许指定的用户访问内部网络或选择服务，是企业本地网与分支机构、商业伙伴和移动用户间安全通信的附加部分；反欺骗。欺骗是从外部获取网络访问权的常用手段，它使数据包好象来自网络内部。防火墙能监视这样的数据包并能扔掉它们。
防火墙的设置有两条原则：一是“凡是未被准许的就是禁止的”。另一条策略与此正好相反，它坚持“凡是未被禁止的就是允许的”。防火墙先是转发所有的信息，起初这堵墙几乎不起作用，如同虚设；然后再逐项剔除有害的内容，被禁止的内容越多，防火墙的作用就越大。在此策略下，网络的灵活性得到完整地保留。但是就怕漏过的信息太多，使安全风险加大，并且网络管理者往往疲于奔命，工作量增大。
正因为安全领域中有许多变动的因素，所以安全策略的制定不应建立在静态的基础上。在制定防火墙安全规则时，应符合“可适应性的安全管理”模型的原则，即：
安全=风险分析＋执行策略＋系统实施＋漏洞监测＋实时响应从而满足综合性与整体性相结合的要求。
现有的防火墙技术主要有两大类：数据包过滤技术和代理服务技术。第一类是数据包过滤技术（PacketFilter）。它是在网络层对数据包实施有选择的放行。第二类是代理服务技术（ProXyService）。这是一种基于代理服务器的防火墙技术，通常由两部分构成--客户与代理服务器连接，代理服务器再与外部服务器连接，而内部网络与外部网络之间没有直接的连接关系。
防火墙是有其局限性的：
防火墙不能防止绕过防火墙的攻击。比如，一个企业内联网设置了防火墙，但是该网络的一个用户基于某种理由另外直接与网络的服务提供商连接，绕过了企业内联网的保护，为该网留下了一个供人攻击的后门，成了一个潜在的安全隐患。
防火墙经不起人为因素的攻击。由于防火墙对网络安全实施单点挖掘，因此可能受到黑客们的攻击。像企业内联网由于管理原因造成的人为破坏，防火墙是无能为力的。
防火墙不能保证数据的秘密性，不能对数据进行鉴别，也不能保证网络不受病毒的攻击。任何防火墙不可能对通过的数据流中每一个文件进行扫描检查病毒。
目前市场上很多流行的安全设备都属于静态安全技术范畴，如防火墙和系统外壳等外围保护设备。外围保护设备针对的是来自系统外部的攻击，一旦外部侵入者进入了系统，他们便不受任何阻挡。认证手段也与此类似，一旦侵入者骗过了认证系统，那么侵入者便成为系统的内部人员。传统防火墙的缺点在于无法做到安全与速度同步提高，一旦考虑到安全因素而对网络数据流量进行深入检测和分析，那么网络传输速度势必受到影响。
静态安全技术的缺点是需要人工来实施和维护，不能主动跟踪侵入者。传统的防火墙产品就是典型的这类产品。其高昂的维护费用和对网络性能的影响，任何人都无法回避。系统管理员需要专门的安全分析软件和技术来确定防火墙是否受到攻击。
针对静态安全技术的不足，许多世界网络安全和管理专家都提出了各自的解决方案，如NAI为传统的防火墙技术做出了重要的补充和强化，其最新的防火墙系统GauntletFirewa113.0forwindowsNT包含了NAI技术专家多年来的研究成果“自适应代理技术”等。

D. 试简述防火墙的基本特性，急！

一、数据必经之地

内部网络和外部网络之间的所有网络数据流都必须经过防火墙。这是防火墙所处网络位置特性，同时也是一个前提。因为只有当防火墙是内、外部网络之间通信的通道，才可以全面、有效地保护企业网部网络不受侵害。

根据美国国家安全局制定的《信息保障技术框架》，防火墙适用于用户网络系统的边界，属于用户网络边界的安全保护设备。所谓网络边界即是采用不同安全策略的两个网络连接处，比如用户网络和互联网之间连接、和其它业务往来单位的网络连接、用户内部网络不同部门之间的连接等。

防火墙的目的就是在网络连接之间建立一个安全控制点，通过允许、拒绝或重新定向经过防火墙的数据流，实现对进、出内部网络的服务和访问的审计和控制。

典型的防火墙体系网络结构一端连接企事业单位内部的局域网，而另一端则连接着互联网。所有的内、外部网络之间的通信都要经过防火墙，只有符合安全策略的数据流才能通过防火墙。

二、网络流量的合法性

防火墙最基本的功能是确保网络流量的合法性，并在此前提下将网络的流量快速的从一条链路转发到另外的链路上去。从最早的防火墙模型开始谈起，原始的防火墙是一台“双穴主机”，即具备两个网络接口，同时拥有两个网络层地址。

防火墙将网络上的流量通过相应的网络接口接收上来，按照OSI协议栈的七层结构顺序上传，在适当的协议层进行访问规则和安全审查，然后将符合通过条件的报文从相应的网络接口送出，而对于那些不符合通过条件的报文则予以阻断。

因此，从这个角度上来说，防火墙是一个类似于桥接或路由器的、多端口的（网络接口>=2）转发设备，它跨接于多个分离的物理网段之间，并在报文转发过程之中完成对报文的审查工作。

三、抗攻击免疫力

防火墙自身应具有非常强的抗攻击免疫力：这是防火墙之所以能担当企业内部网络安全防护重任的先决条件。防火墙处于网络边缘，它就像一个边界卫士一样，每时每刻都要面对黑客的入侵，这样就要求防火墙自身要具有非常强的抗击入侵本领。

它之所以具有这么强的本领防火墙操作系统本身是关键，只有自身具有完整信任关系的操作系统才可以谈论系统的安全性。其次就是防火墙自身具有非常低的服务功能，除了专门的防火墙嵌入系统外，再没有其它应用程序在防火墙上运行。

当然这些安全性也只能说是相对的。国内的防火墙几乎被国外的品牌占据了一半的市场，国外品牌的优势主要是在技术和知名度上比国内产品高。

而国内防火墙厂商对国内用户了解更加透彻，价格上也更具有优势。防火墙产品中，国外主流厂商为思科（Cisco）、CheckPoint、NetScreen等，国内主流厂商为东软、天融信、联想、方正等，它们都提供不同级别的防火墙产品。

防火墙的硬件体系结构曾经历过通用CPU架构、ASIC架构和网络处理器架构。

通用CPU架构：通用CPU架构最常见的是基于Intel X86架构的防火墙，在百兆防火墙中Intel X86架构的硬件以其高灵活性和扩展性一直受到防火墙厂商的喜爱。

由于采用了PCI总线接口，Intel X86架构的硬件虽然理论上能达到2Gbps的吞吐量甚至更高，但是在实际应用中，尤其是在小包情况下，远远达不到标称性能，通用CPU的处理能力也很有限。

国内安全设备主要采用的就是基于X86的通用CPU架构。ASIC架构：ASIC（Application Specific Integrated Circuit，专用集成电路）技术是国外高端网络设备几年前广泛采用的技术。

由于采用了硬件转发模式、多总线技术、数据层面与控制层面分离等技术， ASIC架构防火墙解决了带宽容量和性能不足的问题，稳定性也得到了很好的保证。

ASIC技术的性能优势主要体现网络层转发上，而对于需要强大计算能力的应用层数据的处理则不占优势，而且面对频繁变异的应用安全问题，其灵活性和扩展性也难以满足要求。

由于该技术有较高的技术和资金门槛，主要是国内外知名厂商在采用，国外主要代表厂商是Netscreen，国内主要代表厂商为天融信。网络处理器架构：由于网络处理器所使用的微码编写有一定技术难度，难以实现产品的最优性能，因此网络处理器架构的防火墙产品难以占有大量的市场份额。

随着网络处理器的主要供应商Intel、Broadcom、IBM等相继出售其网络处理器业务，该技术在网络安全产品中的应用已经走到了尽头。

(4)防火墙是否可以对用户数据加密扩展阅读：

防火墙架构：

一、主机型防火墙

此防火墙需有两张网卡，一张与互联网连接，另一张与内部网连接，如此互联网与内部网的通道无法直接接通，所有数据包都需要透过主机发送。

二、双闸型防火墙

此防火墙除了主机型防火墙的两张网卡外，另安装应用服务转送器的软件，所有网络数据包都须经过此软件检查，此软件将过滤掉不被系统所允许的数据包。

三、屏障单机型防火墙

此防火墙的硬件设备除需要主机外，还需要一个路由器，路由器需具有数据包过滤的功能，主机则负责过滤及处理网络服务要求的数据包，当互联网的数据包进入屏障单机型防火墙时，路由器会先检查此数据包是否满足过滤规则，再将过滤成功的数据包，转送到主机进行网络服务层的检查与发送。

四、屏障双闸型防火墙

将屏障单机型防火墙的主机换成双闸型防火墙。

五、屏障子网域型防火墙

此防火墙借由多台主机与两个路由器组成，电脑分成两个区块，屏障子网域与内部网，数据包经由以下路径，第一个路由器->屏障子网域->第二路由器->内部网，此设计因有阶段式的过滤功能，因此两个路由器可以有不同的过滤规则，让网络数据包更有效率。

若一数据包通过第一过滤器数据包，会先在屏障子网域进行服务处理，若要进行更深入内部网的服务，则要通过第二路由器过滤。

E. 防火墙的功能是什么 防火墙不具备哪些功能！

摘要 您好，防火墙对流经它的网络通信进行扫描，这样能够过滤掉一些攻击，以免其在目标计算机上被执行。防火墙还可以关闭不使用的端口。而且它还能禁止特定端口的流出通信，封锁特洛伊木马。最后，它可以禁止来自特殊站点的访问，从而防止来自不明入侵者的所有通信。

F. 防火墙的作用是什么

关于防火墙其实在技术专题中，我们有专门的介绍，只是内容比较散，因此我们在这里从比较简单的讲起，由浅入深的来了解一下防火墙。

防火墙的概念
当然，既然打算由浅入深的来了解，就要先看看防火墙的概念了。防火墙是汽车中一个部件的名称。在汽车中，利用防火墙把乘客和引擎隔开，以便汽车引擎一旦着火，防火墙不但能保护乘客安全，而同时还能让司机继续控制引擎。再电脑术语中，当然就不是这个意思了，我们可以类比来理解，在网络中，所谓“防火墙”，是指一种将内部网和公众访问网(如Internet)分开的方法，它实际上是一种隔离技术。防火墙是在两个网络通讯时执行的一种访问控制尺度，它能允许你“同意”的人和数据进入你的网络，同时将你“不同意”的人和数据拒之门外，最大限度地阻止网络中的黑客来访问你的网络。换句话说，如果不通过防火墙，公司内部的人就无法访问Internet，Internet上的人也无法和公司内部的人进行通信。

防火墙的功能

防火墙是网络安全的屏障：

一个防火墙（作为阻塞点、控制点）能极大地提高一个内部网络的安全性，并通过过滤不安全的服务而降低风险。由于只有经过精心选择的应用协议才能通过防火墙，所以网络环境变得更安全。如防火墙可以禁止诸如众所周知的不安全的NFS协议进出受保护网络，这样外部的攻击者就不可能利用这些脆弱的协议来攻击内部网络。防火墙同时可以保护网络免受基于路由的攻击，如IP选项中的源路由攻击和ICMP重定向中的重定向路径。防火墙应该可以拒绝所有以上类型攻击的报文并通知防火墙管理员。

防火墙可以强化网络安全策略：

通过以防火墙为中心的安全方案配置，能将所有安全软件（如口令、加密、身份认证、审计等）配置在防火墙上。与将网络安全问题分散到各个主机上相比，防火墙的集中安全管理更经济。例如在网络访问时，一次一密口令系统和其它的身份认证系统完全可以不必分散在各个主机上，而集中在防火墙一身上。

对网络存取和访问进行监控审计：

如果所有的访问都经过防火墙，那么，防火墙就能记录下这些访问并作出日志记录，同时也能提供网络使用情况的统计数据。当发生可疑动作时，防火墙能进行适当的报警，并提供网络是否受到监测和攻击的详细信息。另外，收集一个网络的使用和误用情况也是非常重要的。首先的理由是可以清楚防火墙是否能够抵挡攻击者的探测和攻击，并且清楚防火墙的控制是否充足。而网络使用统计对网络需求分析和威胁分析等而言也是非常重要的。

防止内部信息的外泄：

通过利用防火墙对内部网络的划分，可实现内部网重点网段的隔离，从而限制了局部重点或敏感网络安全问题对全局网络造成的影响。再者，隐私是内部网络非常关心的问题，一个内部网络中不引人注意的细节可能包含了有关安全的线索而引起外部攻击者的兴趣，甚至因此而暴漏了内部网络的某些安全漏洞。使用防火墙就可以隐蔽那些透漏内部细节如Finger，DNS等服务。Finger显示了主机的所有用户的注册名、真名，最后登录时间和使用shell类型等。但是Finger显示的信息非常容易被攻击者所获悉。攻击者可以知道一个系统使用的频繁程度，这个系统是否有用户正在连线上网，这个系统是否在被攻击时引起注意等等。防火墙可以同样阻塞有关内部网络中的DNS信息，这样一台主机的域名和IP地址就不会被外界所了解。
除了安全作用，防火墙还支持具有Internet服务特性的企业内部网络技术体系VPN（虚拟专用网）。

防火墙的分类
根据防火墙的分类标准不同，防火墙可以分为N多种类型，这里我们遵循的，当然是根据网络体系结构来进行的分类了，按这样的标准，可以有以下几种类型的防火墙：

1.网络级防火墙

一般是基于源地址和目的地址、应用或协议以及每个IP包的端口来作出通过与否的判断。一个路由器便是一个“传统”的网络级防火墙，大多数的路由器都能通过检查这些信息来决定是否将所收到的包转发，但它不能判断出一个IP包来自何方，去向何处。

先进的网络级防火墙可以判断这一点，它可以提供内部信息以说明所通过的连接状态和一些数据流的内容，把判断的信息同规则表进行比较，在规则表中定义了各种规则来表明是否同意或拒绝包的通过。包过滤防火墙检查每一条规则直至发现包中的信息与某规则相符。如果没有一条规则能符合，防火墙就会使用默认规则，一般情况下，默认规则就是要求防火墙丢弃该包。其次，通过定义基于TCP或UDP数据包的端口号，防火墙能够判断是否允许建立特定的连接，如Telnet、FTP连接。
下面是某一网络级防火墙的访问控制规则：
(1)允许网络123.1.0使用FTP(21口)访问主机150.0.0.1；
(2) 允许IP地址为202.103.1.18和202.103.1.14的用户Telnet(23口)到主机150.0.0.2上；
(3)允许任何地址的E-mail(25口)进入主机150.0.0.3；
(4)允许任何WWW数据（80口）通过；
(5)不允许其他数据包进入。
网络级防火墙简洁、速度快、费用低，并且对用户透明，但是对网络的保护很有限，因为它只检查地址和端口，对网络更高协议层的信息无理解能力。

2.应用级网关

应用级网关就是我们常常说的“代理服务器”，它能够检查进出的数据包，通过网关复制传递数据，防止在受信任服务器和客户机与不受信任的主机间直接建立联系。应用级网关能够理解应用层上的协议，能够做复杂一些的访问控制，并做精细的注册和稽核。但每一种协议需要相应的代理软件，使用时工作量大，效率不如网络级防火墙。

常用的应用级防火墙已有了相应的代理服务器， 例如： HTTP、 NNTP、 FTP、Telnet、rlogin、X-Windows等，但是，对于新开发的应用，尚没有相应的代理服务，它们将通过网络级防火墙和一般的代理服务。

应用级网关有较好的访问控制，是目前最安全的防火墙技术，但实现困难，而且有的应用级网关缺乏"透明度"。在实际使用中，用户在受信任的网络上通过防火墙访问Internet时， 经常会发现存在延迟并且必须进行多次登录（Login） 才能访问Internet或Intranet。

3.电路级网关

电路级网关用来监控受信任的客户或服务器与不受信任的主机间的TCP握手信息,这样来决定该会话(Session) 是否合法,电路级网关是在OSI模型中会话层上来过滤数据包,这样比包过滤防火墙要高二层。

实际上电路级网关并非作为一个独立的产品存在，它与其他的应用级网关结合在一起， 如TrustInformationSystems公司的GauntletInternetFirewall；DEC公司的AltaVistaFirewall等产品。 另外，电路级网关还提供一个重要的安全功能：代理服务器（ProxyServer） ，代理服务器是个防火墙，在其上运行一个叫做"地址转移"的进程，来将所有你公司内部的IP地址映射到一个"安全"的IP地址，这个地址是由防火墙使用的。但是，作为电路级网关也存在着一些缺陷，因为该网关是在会话层工作的，它就无法检查应用层级的数据包。

4.规则检查防火墙

该防火墙结合了包过滤防火墙、电路级网关和应用级网关的特点。它同包过滤防火墙一样， 规则检查防火墙能够在OSI网络层上通过IP地址和端口号，过滤进出的数据包。它也象电路级网关一样，能够检查SYN和ACK标记和序列数字是否逻辑有序。当然它也象应用级网关一样， 可以在OSI应用层上检查数据包的内容，查看这些内容是否能符合公司网络的安全规则。

规则检查防火墙虽然集成前三者的特点，但是不同于一个应用级网关的是，它并不打破客户机/服务机模式来分析应用层的数据， 它允许受信任的客户机和不受信任的主机建立直接连接。规则检查防火墙不依靠与应用层有关的代理，而是依靠某种算法来识别进出的应用层数据，这些算法通过已知合法数据包的模式来比较进出数据包，这样从理论上就能比应用级代理在过滤数据包上更有效。
目前在市场上流行的防火墙大多属于规则检查防火墙，因为该防火墙对于用户透明，在OSI最高层上加密数据，不需要你去修改客户端的程序，也不需对每个需要在防火墙上运行的服务额外增加一个代理。如现在最流行的防火墙之一OnTechnology软件公司生产的OnGuard和CheckPoint软件公司生产的FireWall-1防火墙都是一种规则 检查防火墙。

从趋势上看，未来的防火墙将位于网络级防火墙和应用级防火墙之间，也就是说，网络级防火墙将变得更加能够识别通过的信息，而应用级防火墙在目前的功能上则向“透明”、“低级”方面发展。最终防火墙将成为一个快速注册稽查系统，可保护数据以加密方式通过，使所有组织可以放心地在节点间传送数据。

G. 什么是防火墙 防火墙的主要功能有哪些

(1)网络安全的屏障

防火墙可通过过滤不安全的服务而减低风险，极大地提高内部网络的安全性。由于只有经过选择并授权允许的应用协议才能通过防火墙，所以网络环境变得更安全。防火墙可以禁止诸如不安全的NFS协议进出受保护的网络，使攻击者不可能利用这些脆弱的协议来攻击内部网络。防火墙同时可以保护网络免受基于路由的攻击，如IP选项中的源路由攻击和ICMP重定向路径。防火墙能够拒绝所有以上类型攻击的报文，并将情况及时通知防火墙管理员。

(2)强化网络安全策略

通过以防火墙为中心的安全方案配置。能将所有安全软件(如口令、加密、身份认证等)配置在防火墙上。与将网络安全问题分散到各个主机上相比，防火墙的集中安全管理更经济。例如，在网络访问时，一次一密口令系统和其他的身份认证系统完全可以不必分散在各个主机上而集中在防火墙。

(3)对网络存取和访问进行监控审计由于所有的访问都必须经过防火墙，所以防火墙就不仅能够制作完整的日志记录，而且还能够提供网络使用的情况的统计数据。当发生可疑动作时，防火墙能进行适当的报警，并提供网络是否受到监测和攻击的详细信息。另外，收集一个网络的使用和误用情况也是一项非常重要的工作。这不仅有助于了解防火墙的控制是否能够抵挡攻击者的探测和攻击，了解防火墙的控制是否充分有效，而且有助于作出网络需求分析和威胁分析。

(4)防止内部信息的外泄

通过利用防火墙对内部网络的划分，可实现内部网中重点网段的隔离，限制内部网络中不同部门之间互相访问，从而保障了网络内部敏感数据的安全。另外，隐私是内部网络非常关心的问题，一个内部网络中不引人注意的细节，可能包含了有关安全的线索而引起外部攻击者的兴趣，甚至由此而暴露了内部网络的某些安全漏洞。使用防火墙就可以隐藏那些透露内部细节的服务，如Finger、DNS等。Finger显示了主机的所有用户的用户名、真名、最后登录时间和使用Shell类型等。但是Finger显示的信息非常容易被攻击者所获悉。攻击者可以知道一个系统使用的频繁程度，这个系统是否有用户在连线上网，这个系统是否在被攻击时引起注意等等。防火墙可以同样阻塞有关内部网络的DNS信息，这样一台主机的域名和IP地址就不会被外界所了解。