4.5.2防火墙的功能

从内部网络安全的角度，防火墙应具有以下功能:

(1)防火墙应该由多个部件组成，形成一个充分冗余的安全系统，避免成为网络中的“单失效点”(即这一点被突破，则无安全可言)。

(2)防火墙的失效模式应该是“失效—安全”型，即一旦防火墙失效、崩溃或重启，则必须立即阻断内部网络与外部网络的联系，保护内部网络安全。

(3)由于防火墙是网络的安全屏障，所以就成为网络攻击者的主要攻击对象，这就要求防火墙的主机操作系统十分安全可靠。作为网关服务器的主机应该选用增强型安全核心的堡垒主机，以增加其抗攻击性。同时，在网关服务器中应禁止运行应用程序，杜绝非法访问。

(4)防火墙应提供认证服务，外部用户对内部网络的访问应经过防火墙的认证检查。

(5)防火墙对外部网络屏蔽或隐藏内部网络的网络地址、拓扑结构等信息。

(6)防火墙应支持通常的因特网应用(电子邮件、FTP、WWW等)，以及一些需要的特殊应用，为这些网络应用分别提供适当的安全控制措施，使得网络既有必要的开放性，又有严密的安全性。