一般来说,网络防火墙应具备下列三种重要的基本功能。
1.存取管控(AccessControl)。指依据系统管理者所设定的存取控制规则,决定网络交通的许可或拒绝。存取管控的条件包括数据封包的来源地址、目标地址、连接的网络服务协议种类以及使用者的身份等。防火墙对于所有的网络流通会依规则判断,只有可信任的来源地址可以连到被允许的目标地址,且只能以特定的使用者身份使用特定的网络。存取管控甚至可以做到控制网络服务的某些特定指令是否允许其执行,例如FTP可以限制只能下载档案,不育良上传或删除。
2.身份识别(Authentication)。即验证身份,作为服务授权的参考。防火墙必须有效地识别网络使用者及主机的身份,以控管使用权限、确认责任归属。
3.安全稽核。防火墙应能详细记录网络流通的状况,并记录安全相关事件,以供系统管理者分析之用。一般安全稽核的内容包括:网络服务的连通或拒绝、身份辨识、网络通信发生的时间及持续的时间、数据传输位数、执行时发生的异常状态、系统组态的修改、某些协议的特殊指令、系统核心接收到的特殊封包等。