總局可控ftp維護部門
⑴ 運維安全審計系統的相關廠商產品介紹
目前, 已經有相關多的廠商開始涉足這個領域,如:江南科友、綠盟、齊治、金萬維、極地、北京普安思等,這些都是目前行業里做的專業且受到企業用戶好評的廠商,但每家廠商的產品所關注的側重又有所差別。
以金萬維運維安全審計系統SSA為例,其產品更側重於運維安全管理,它集單點登錄、賬號管理、身份認證、資源授權、訪問控制和操作審計為一體的新一代運維安全審計產品,它能夠對操作系統、網路設備、安全設備、資料庫等操作過程進行有效的運維操作審計,使運維審計由事件審計提升為操作內容審計,通過系統平台的事前預防、事中控制和事後溯源來全面解決企業的運維安全問題,進而提高企業的IT運維管理水平。 1、SSA是什麼——運維安全審計系統
SSA運維審計系統集單點登錄、賬號管理、身份認證、資源授權、訪問控制和操作審計為一體的新一代運維安全審計產品,它能夠對操作系統、網路設備、安全設備、資料庫等操作過程進行有效的運維操作審計,使運維審計由事件審計提升為操作內容審計,通過系統平台的事前預防、事中控制和事後溯源來全面解決企業的運維安全問題,進而提高企業的IT運維管理水平
2、SSA系統功能
健全的用戶管理機制和靈活的認證方式
為解決企業IT系統中普遍存在的因交叉運維而產生的無法定責的問題,SSA系統平台提出了「集中賬號管理「的解決辦法;集中帳號管理可以完成對帳號整個生命周期的監控和管理,而且還降低了企業管理大量用戶帳號的難度和工作量,同時,通過統一的管理還能夠發現帳號使用中存在的安全隱患,並且制定統一、標準的用戶帳號安全策略。針對平台中創建的運維用戶可以支持靜態口令、動態口令、數字證書等多種認證方式;支持密碼強度、密碼有效期、口令嘗試死鎖、用戶激活等安全管理功能;支持用戶分組管理;支持用戶信息導入導出,方便批量處理。
細粒度、靈活的授權
系統提供基於用戶、運維協議、目標主機、運維時間段(年、月、日、周、時間)等組合的授權功能,實現細粒度授權功能,滿足用戶實際授權的需求。授權可基於:用戶到資源、用戶組到資源、用戶到資源組、用戶組到資源組。
單點登錄功能是運維人員通過SSA系統認證和授權後,系統根據配置策略實現後台資源的自動登錄。保證運維人員到後台資源帳號的一種可控對應,同時實現了對後台資源帳號的口令統一保護與管理。系統提供運維用戶自動登錄後台資源的功能。SSA能夠自動獲取後台資源帳號信息並根據口令安全策略,定期自動修改後台資源帳號口令;根據管理員配置,實現運維用戶與後台資源帳號相對應,限制帳號的越權使用;運維用戶通過SSA認證和授權後,SSA根據分配的帳號實現自動登錄後台資源。
實時監控
監控正在運維的會話:信息包括運維用戶、運維客戶端地址、資源地址、協議、開始時間等;監控後台資源被訪問情況,提供在線運維操作的實時監控功能。針對命令交互性協議,可以實時監控正在運維的各種操作,其信息與運維客戶端所見完全一致。
違規操作實時告警與阻斷
針對運維過程中可能存在的潛在操作風險,SSA根據用戶配置的安全策略實施運維過程中的違規操作檢測,對違規操作提供實時告警和阻斷,從而達到降低操作風險及提高安全管理與控制的能力。對於非字元型協議的操作能夠實時阻斷。
字元型協議的操作可以通過用戶配置的命令行規則進行規則匹配,實現告警與阻斷。告警動作支持許可權提升、會話阻斷、郵件告警、簡訊告警等。對常見協議能夠記錄完整的會話過程
SSA系統平台能夠對常見的運維協議如SSH/FTP/Telnet/SFTP /Http/Https/RDP/X11/VNC等會話過程進行完整的記錄,以滿足日後審計的需求;審計結果可以錄像和日誌兩種方式呈現,錄像信息包括運維用戶名稱、目標資源名稱、客戶端IP、客戶端計算機名稱、協議名、運維開始時間、結束時間、運維時長等信息
詳盡的會話審計與回放
運維人員操作錄像以會話為單位,能夠對用戶名、日期和內容進行單項定位查詢和組合式定位查詢。組合式查詢可按照運維用戶、運維地址、後台資源地址、協議、起始時間、結束時間和操作內容中關鍵字等組合方式進行;針對命令字元串方式的協議,提供逐條命令及相關操作結果的顯示:提供圖像形式的回放,真實、直觀、可視地重現當時的操作過程;回放提供快放、慢放、拖拉等方式,針對檢索的鍵盤輸入的關鍵字能夠直接定位回放;針對RDP、X11、VNC協議,提供按時間進行定位回放的功能。
豐富的審計報表功能
SSA系統平台能夠對運維人員的日常操作、會話以及管理員對審計平台的操作配置、運維報警次數等進行報表統計分析。報表包括:日常報表、會話報表、自審計操作報表、告警報表、綜合統計報表,並可根據個性需求設計和展現自定義報表。以上報表可以EXCEL格式輸出,並且可以以折線、柱狀、圓餅圖等圖形方式展現出來。
應用發布
針對用戶的運維需求,SSA推出了業界首創的虛擬桌面主機安全操作系統設備(ESL,E-SoonLink),通過ESL配合SSA進行審計能夠完全達到審計、控制、授權的要求,配合TSA產品,可實現對資料庫維護工具、pcAnywhere、DameWare等不同工具的運維操作進行監控和審計。 科友運維安全審計系統(HAC)著眼於解決關鍵IT基礎設施運維安全問題。它能夠對Unix和Windows主機、伺服器以及網路、安全設備上的數據訪問進行安全、有效的操作審計,支持實時監控和事後回放。
HAC補了傳統審計系統的不足,將運維審計由事件審計提升為內容審計,集身份認證、授權、審計為一體,有效地實現了事前預防、事中控制和事後審計。
審計要求
針對安然、世通等財務欺詐事件,2002年出台的《公眾公司會計改革和投資者保護法案》(Sarbanes-Oxley Act)對組織治理、財務會計、監管審計制定了新的准則,並要求組織治理核心如董事會、高層管理、內外部審計在評估和報告組織內部控制的有效性和充分性中發揮關鍵作用。與此同時,國內相關職能部門亦在內部控制與風險管理方面制定了相應的指引和規范。由於信息系統的脆弱性、技術的復雜性、操作的人為因素,在設計以預防、減少或消除潛在風險為目標的安全架構時,引入運維管理與操作監控機制以預防、發現錯誤或違規事件,對IT風險進行事前防範、事中控制、事後監督和糾正的組合管理是十分必要的。
IT系統審計是控制內部風險的一個重要手段,但IT系統構成復雜,操作人員眾多,如何有效地對其進行審計,是長期困擾各組織的信息科技和風險稽核部門的一個重大課題。
解決之道
江南科友因市場對IT運維審計的需求,集其多年信息安全領域運維管理與安全服務的經驗,結合行業最佳實踐與合規性要求,率先推出基於硬體平台的「運維安全審計系統(HAC)」,針對核心資產的
運維管理,再現關鍵行為軌跡,探索操作意圖,集全局實時監控與敏感過程回放等功能特點,有效解決了信息化監管中的一個關鍵問題。
系統功能
完整的身份管理和認證
為了確保合法用戶才能訪問其擁有許可權的後台資源,解決IT系統中普遍存在的交叉運維而無法定位到具體人的問題,滿足審計系統「誰做的」要求,系統提供一套完整的身份管理和認證功能。支持靜態口令、動態口令、LDAP、AD域證書KEY等認證方式;
靈活、細粒度的授權
系統提供基於用戶、運維協議、目標主機、運維時間段(年、月、日、周、時間)、會話時長、運維客戶端IP等組合的授權功能,實現細粒度授權功能,滿足用戶實際授權的需求。
後台資源自動登陸
後台資源自動登陸功能是運維人員通過HAC認證和授權後,HAC根據配置策略實現後台資源的自動登錄。此功能提供了運維人員到後台資源帳戶的一種可控對應,同時實現了對後台資源帳戶的口令統一保護。
實時監控
提供在線運維的操作的實時監控功能。針對命令交互性協議可以圖像方式實時監控正在運維的各種操作,其信息與運維客戶端所見完全一致。
違規操作實時告警與阻斷
針對運維過程中可能存在潛在操作風險,HAC根據用戶配置的安全策略實施運維過程中的違規操作檢測,對違規操作提供實時告警和阻斷,從而達到降低操作風險及提高安全管理與控制的能力。
完整記錄網路會話過程
系統提供運維協議Telnet、FTP、SSH、SFTP、RDP(Windows Terminal)、Xwindows、VNC、AS400等網路會話的完整會話記錄,完全滿足內容審計中信息百分百不丟失的要求。
詳盡的會話審計與回放
HAC提供視頻回放的審計界面,以真實、直觀、可視的方式重現操作過程。
完備的審計報表功能
HAC提供運維人員操作,管理員操作以及違規事件等多種審計報表。
各類應用運維操作審計功能
HAC提供對各類應用的運維操作審計功能,能夠提供完整的運維安全審計解決方案。可依據用戶要求快速實現新應用的發布和審計。
結合ITSM(IT服務管理)
HAC可與ITSM相結合,可為其優化變更管理流程,加強對變更管理中的風險控制
系統特點
支持加密運維協議的審計
領先地解決了SSH、RDP等加密協議的審計,滿足用戶Unix和Windows環境的運維審計要求。
分權管理機制
系統提供設備管理員、運維管理員和審計員三種管理角色,從技術上保證系統管理安全。
更加嚴格的審計管理
系統將認證、授權和審計有機地集成為一體,有效地實現了事前預防、事中控制和事後審計。
部署靈活、操作方便
系統支持單臂、串聯部署模式;支持基於B/S方式的管理、配置和審計。
系統安全設計
精簡的內核和優化的TCP/IP協議棧
基於內核態的處理引擎
雙機熱備
嚴格的安全訪問控制
基於HTTPS的安全訪問管理、配置和審計
審計信息加密存儲
完善的審計信息備份與恢復機制
系統部署
鑒於企業網路及管理架構的復雜性,HAC系統提供了靈活的部署方式,既可以採取串連模式,也可以採用單臂模式接入到企業內部網路中。採用串連模式部署時,HAC具備一定程度上的網路控制的功能,可提高核心伺服器訪問的安全性;採用單臂模式部署時,不改變網路拓撲,安裝調試過程簡單,可按照企業網路架構的實際情況靈活接入。
無論串連模式還是在單臂模式,通過HAC訪問IT基礎服務資源的操作都將被詳細的記錄和存儲下來,作為審計的基礎數據。HAC的部署不會對業務系統、網路中的數據流向、帶寬等重要指標產生負面影響,無需在核心伺服器或操作客戶端上安裝任何軟硬體系統。
認證資質
「運維安全審計系統(HAC)」已獲公安部頒發的《計算機信息系統安全專用產品銷售許可證》,已通過國家保密局涉密信息系統安全保密評測中心檢測,取得涉密信息系統產品檢測證書。通過國家信息安全測評取得信息技術產品安全測評證書。
⑵ 網路安全是什麼
網路安全是一個關系國家安全和主權、社會的穩定、民族文化的繼承和發揚的重要問題。其重要性,正隨著全球信息化步伐的加快而變到越來越重要。「家門就是國門」,安全問題刻不容緩。
網路安全是一門涉及計算機科學、網路技術、通信技術、密碼技術、信息安全技術、應用數學、數論、資訊理論等多種學科的綜合性學科。
網路安全是指網路系統的硬體、軟體及其系統中的數據受到保護,不受偶然的或者惡意的原因而遭到破壞、更改、泄露,系統連續可靠正常地運行,網路服務不中斷。
網路安全從其本質上來講就是網路上的信息安全。從廣義來說,凡是涉及到網路上信息的保密性、完整性、可用性、真實性和可控性的相關技術和理論都是網路安全的研究領域。
網路安全的具體含義會隨著「角度」的變化而變化。比如:從用戶(個人、企業等)的角度來說,他們希望涉及個人隱私或商業利益的信息在網路上傳輸時受到機密性、完整性和真實性的保護,避免其他人或對手利用竊聽、冒充、篡改、抵賴等手段侵犯用戶的利益和隱,? 問和破壞。
從網路運行和管理者角度說,他們希望對本地網路信息的訪問、讀寫等操作受到保護和控制,避免出現「陷讓肆門」、病毒、非法存取、拒絕服務和網路資源非法佔用和非法控制等威脅,制止和防禦網路黑客的攻擊。
對安全保密部門來說,他們希望對非法的、有害的或涉及國家機密的信息進行過濾和防堵,避免機要信息泄露,避免對社會產生危害,對國家造成巨大損失。
從社會教育和意識形態角度來講,網路上不健康的內容,會對社會的穩定和人類的發展造成阻礙,必須對其進行控制。察滑蠢
2、增強網路安全意識刻不容緩
隨著計算機技術的飛速發展,信息網路已經成為社會發展的重要保證。信息網路涉及到國家的政府、軍事、文教等諸多領域。其中存貯、傳輸和處理的信息有許多是重要的政府宏觀調控決策、商業經濟信息、銀行資金轉帳、股票證券、能源資源數據、科研數據等重要信息。有很多是敏感信息,甚至是國家機密。所以難免會吸引來自世界各地的各種人為攻擊(例如信息泄漏、信息竊取、數據篡改、數據刪添、計算機病毒等)。同時,網路實體還要經受諸如水災、火災、地震、電磁輻射等方面的考驗。
近年來,計算機犯罪案件也急劇上升,計算機犯罪已經成為普遍的國際性問題。據美國聯邦調查局的報告,計算機犯罪是商業犯罪中最大的犯罪類型之一,每筆犯罪的平均金額為45000美元,每年計算機犯罪造成的經濟損失高達50億美元。
計算機犯罪大都具有瞬時性、廣域性、專業性、時空分離性等特點。通常計算機罪犯很難留下犯罪證據,這大大刺激了計算機高技術犯罪案件的發生。
計算機犯罪案率的迅速增加,使各國的計算機系統特別是網路系統面臨著很大的威脅,並成為嚴重的社會問題之一。
3、網路安全案例
96年初,據美國舊金山的計算機安全協會與聯邦調查局的一次聯合調查統計,有53%的企業受到過計算機病毒的侵害,42%的企業的計算機系統在過去的12個月被非法使用過。而五角大樓的一個研究小組稱美國一年中遭受的攻擊就達25萬次之多。
94年末,俄羅斯黑客弗拉基米爾?利文與其夥伴從聖彼得堡的一家小軟體公司的聯網計算機上,向美國CITYBANK銀行發動了一連串攻擊,通過電子轉帳方式,從CITYBANK銀行在紐約的計算機主機里竊取1100萬美元。
96年8月17日,美國司法部的網路伺服器遭到黑客入侵,並將「 美國司法部」 的主頁改為「 美國不公正部」 ,將司法部部長的照片換成了阿道夫?希特勒,將司法部徽章換成了納粹黨徽,並加上一幅色情女郎的圖片作為所謂司法部部長的助手。此外還留下了很敗陪多攻擊美國司法政策的文字。
96年9月18日,黑客又光顧美國中央情報局的網路伺服器,將其主頁由「中央情報局」 改為「 中央愚蠢局」 。
96年12月29日,黑客侵入美國空軍的全球網網址並將其主頁肆意改動,其中有關空軍介紹、新聞發布等內容被替換成一段簡短的黃色錄象,且聲稱美國政府所說的一切都是謊言。迫使美國國防部一度關閉了其他80多個軍方網址。
4、我國計算機互連網出現的安全問題案例
96年2月,剛開通不久的Chinanet受到攻擊,且攻擊得逞。
97年初,北京某ISP被黑客成功侵入,並在清華大學「 水木清華」 BBS站的「 黑客與解密」 討論區張貼有關如何免費通過該ISP進入Internet的文章。
97年4月23日,美國德克薩斯州內查德遜地區西南貝爾互聯網路公司的某個PPP用戶侵入中國互聯網路信息中心的伺服器,破譯該系統的shutdown帳戶,把中國互聯網信息中心的主頁換成了一個笑嘻嘻的骷髏頭。
96年初CHINANET受到某高校的一個研究生的攻擊;96年秋,北京某ISP和它的用戶發生了一些矛盾,此用戶便攻擊該ISP的伺服器,致使服務中斷了數小時。
5、不同環境和應用中的網路安全
運行系統安全,即保證信息處理和傳輸系統的安全。它側重於保證系統正常運行,避免因為系統的崩潰和損壞而對系統存貯、處理和傳輸的信息造成破壞和損失,避免由於電磁泄漏,產生信息泄露,干擾他人,受他人干擾。
網路上系統信息的安全。包括用戶口令鑒別,用戶存取許可權控制,數據存取許可權、方式控制,安全審計,安全問題跟蹤,計算機病毒防治,數據加密。
網路上信息傳播安全,即信息傳播後果的安全。包括信息過濾等。它側重於防止和控制非法、有害的信息進行傳播後的後果。避免公用網路上大量自由傳輸的信息失控。
網路上信息內容的安全。它側重於保護信息的保密性、真實性和完整性。避免攻擊者利用系統的安全漏洞進行竊聽、冒充、詐騙等有損於合法用戶的行為。本質上是保護用戶的利益和隱私。
6、網路安全的特徵
網路安全應具有以下四個方面的特徵:
保密性:信息不泄露給非授權用戶、實體或過程,或供其利用的特性。
完整性:數據未經授權不能進行改變的特性。即信息在存儲或傳輸過程中保持不被修改、不被破壞和丟失的特性。
可用性:可被授權實體訪問並按需求使用的特性。即當需要時能否存取所需的信息。例如網路環境下拒絕服務、破壞網路和有關系統的正常運行等都屬於對可用性的攻擊;
可控性:對信息的傳播及內容具有控制能力。
7、主要的網路安全威脅
自然災害、意外事故;
計算機犯罪;
人為行為,比如使用不當,安全意識差等;
「黑客」 行為:由於黑客的入侵或侵擾,比如非法訪問、拒絕服務計算機病毒、非法連接等;
內部泄密;
外部泄密;
信息丟失;
電子諜報,比如信息流量分析、信息竊取等;
信息戰;
網路協議中的缺陷,例如TCP/IP協議的安全問題等等。
8、網路安全的結構層次
8.1 物理安全
自然災害(如雷電、地震、火災等),物理損壞(如硬碟損壞、設備使用壽命到期等),設備故障(如停電、電磁干擾等),意外事故。解決方案是:防護措施,安全制度,數據備份等。
電磁泄漏,信息泄漏,干擾他人,受他人干擾,乘機而入(如進入安全進程後半途離開),痕跡泄露(如口令密鑰等保管不善)。解決方案是:輻射防護,屏幕口令,隱藏銷毀等。
操作失誤(如刪除文件,格式化硬碟,線路拆除等),意外疏漏。解決方案是:狀態檢測,報警確認,應急恢復等。
計算機系統機房環境的安全。特點是:可控性強,損失也大。解決方案:加強機房管理,運行管理,安全組織和人事管理。
8.2 安全控制
微機操作系統的安全控制。如用戶開機鍵入的口令(某些微機主板有「 萬能口令」 ),對文件的讀寫存取的控制(如Unix系統的文件屬性控制機制)。主要用於保護存貯在硬碟上的信息和數據。
網路介面模塊的安全控制。在網路環境下對來自其他機器的網路通信進程進行安全控制。主要包括:身份認證,客戶許可權設置與判別,審計日誌等。
網路互聯設備的安全控制。對整個子網內的所有主機的傳輸信息和運行狀態進行安全監測和控制。主要通過網管軟體或路由器配置實現。
8.3 安全服務
對等實體認證服務
訪問控制服務
數據保密服務
數據完整性服務
數據源點認證服務
禁止否認服務
8.4 安全機制
加密機制
數字簽名機制
訪問控制機制
數據完整性機制
認證機制
信息流填充機制
路由控制機制
公證機制
9、網路加密方式
鏈路加密方式
節點對節點加密方式
端對端加密方式
10、TCP/IP協議的安全問題
TCP/IP協議數據流採用明文傳輸。
源地址欺騙(Source address spoofing)或IP欺騙(IP spoofing)。
源路由選擇欺騙(Source Routing spoofing)。
路由選擇信息協議攻擊(RIP Attacks)。
鑒別攻擊(Authentication Attacks)。
TCP序列號欺騙(TCP Sequence number spoofing)。
TCP序列號轟炸攻擊(TCP SYN Flooding Attack),簡稱SYN攻擊。
易欺騙性(Ease of spoofing)。
11、一種常用的網路安全工具:掃描器
掃描器:是自動檢測遠程或本地主機安全性弱點的 程序,一個好的掃描器相當於一千個口令的價值。
如何工作:TCP埠掃描器,選擇TCP/IP埠和服務(比如FTP),並記錄目標的回答,可收集關於目標主機的有用信息(是否可匿名登錄,是否提供某種服務)。掃描器告訴我們什麼:能發現目標主機的內在弱點,這些弱點可能是破壞目標主機的關鍵因素。系統管理員使用掃描器,將有助於加強系統的安全性。黑客使用它,對網路的安全將不利。
掃描器的屬性:1、尋找一台機器或一個網路。2、一旦發現一台機器,可以找出機器上正在運行的服務。3、測試哪些服務具有漏洞。
目前流行的掃描器:1、NSS網路安全掃描器,2、stroke超級優化TCP埠檢測程序,可記錄指定機器的所有開放埠。3、SATAN安全管理員的網路分析工具。4、JAKAL。5、XSCAN。
12、黑客常用的信息收集工具
信息收集是突破網路系統的第一步。黑客可以使用下面幾種工具來收集所需信息:
SNMP協議,用來查閱非安全路由器的路由表,從而了解目標機構網路拓撲的內部細節。
TraceRoute程序,得出到達目標主機所經過的網路數和路由器數。
Whois協議,它是一種信息服務,能夠提供有關所有DNS域和負責各個域的系統管理員數據。(不過這些數據常常是過時的)。
DNS伺服器,可以訪問主機的IP地址表和它們對應的主機名。
Finger協議,能夠提供特定主機上用戶們的詳細信息(注冊名、電話號碼、最後一次注冊的時間等)。
Ping實用程序,可以用來確定一個指定的主機的位置並確定其是否可達。把這個簡單的工具用在掃描程序中,可以Ping網路上每個可能的主機地址,從而可以構造出實際駐留在網路上的主機清單。
13、 Internet 防 火 牆
Internet防火牆是這樣的系統(或一組系統),它能增強機構內部網路的安全性。
防火牆系統決定了哪些內部服務可以被外界訪問;外界的哪些人可以訪問內部的哪些服務,以
及哪些外部服務可以被內部人員訪問。要使一個防火牆有效,所有來自和去往Internet的信
息都必須經過防火牆,接受防火牆的檢查。防火牆只允許授權的數據通過,並且防火牆本身也
必須能夠免於滲透。
13.1 Internet防火牆與安全策略的關系
防火牆不僅僅是路由器、堡壘主機、或任何提供網路安全的設備的組合,防火牆是安全策略的一個部分。
安全策略建立全方位的防禦體系,甚至包括:告訴用戶應有的責任,公司規定的網路訪問、服務訪問、本地和遠地的用戶認證、撥入和撥出、磁碟和數據加密、病毒防護措施,以及雇員培訓等。所有可能受到攻擊的地方都必須以
同樣安全級別加以保護。
僅設立防火牆系統,而沒有全面的安全策略,那麼防火牆就形同虛設。
13.2 防 火 牆 的 好 處
Internet防火牆負責管理Internet和機構內部網路之間的訪問。在沒有防火牆時,內部網路上的每個節點都暴露給Internet上的其它主機,極易受到攻擊。這就意味著內部網路的安全性要由每一個主機的堅固程度來決定,並且安全性等同於其中最弱的系統。
13.3 Internet防火牆的作用
Internet防火牆允許網路管理員定義一個中心「 扼制點」 來防止非法用戶,比如防止黑客、網路破壞者等進入內部網路。禁止存在安全脆弱性的服務進出網路,並抗擊來自各種路線的攻擊。Internet防火牆能夠簡化安全管理,網路的安全性是在防火牆系統上得到加固,而不是分布在內部網路的所有主機上。
在防火牆上可以很方便的監視網路的安全性,並產生報警。(注意:對一個與Internet相聯的內部網路來說,重要的問題並不是網路是否會受到攻擊,而是何時受到攻擊?誰在攻擊?)網路管理員必須審計並記錄所有通過防火牆的重要信息。如果網路管理員不能及時響應報警並審查常規記錄,防火牆就形同虛設。在這種情況下,網路管理員永遠不會知道防火牆是否受到攻擊。
Internet防火牆可以作為部署NAT(Network Address Translator,網路地址變換)的邏輯地址。因此防火牆可以用來緩解地址空間短缺的問題,並消除機構在變換ISP時帶來的重新編址的麻煩。
Internet防火牆是審計和記錄Internet使用量的一個最佳地方。網路管理員可以在此向管理部門提供Internet連接的費用情況,查出潛在的帶寬瓶頸的位置,並根據機構的核算模式提供部門級計費。