防火墙是一个由计算机硬件和软件组成的系统，部署于网络边界，是内部网络和外部网络之间的连接桥梁，同时对进出网络边界的数据进行保护，防止恶意入侵、恶意代码的传播等，保障内部网络数据的安全。防火墙技术是建立在网络技术和信息安全技术基础上的应用性安全技术，几乎所有的企业内部网络与外部网络（如因特网）相连接的边界设都会放置防火墙，防火墙能够起到安全过滤和安全隔离外网攻击、入侵等有害的网络安全信息和行为。

古时候，人们常在寓所之间砌起一道砖墙，一旦火灾发生，它能够防止火势蔓延到别的寓所。如果一个网络接到了Internet上面，它的用户就可以访问外部世界并与之通信。但同时，外部世界也同样可以访问该网络并与之交互。为了安全起见，可以在该网络和Internet之间插入一个中介系统，竖起一道安全屏障。这道屏障的作用是阻断来自外部通过网络对本网络的威胁和入侵，提供扼守本网络的安全和审计的关卡，它的作用与古时候的防火砖墙有类似之处，因此我们把这个屏障就叫作“防火墙”。

防火墙技术是建立在现代通信网络技术和信息安全技术基础上的应用性安全技术。它是一个系统，位于被保护网络和其它网络之间，进行访问控制，阻止非法的信息访问和传递。防火墙并非单纯的软件或硬件，它实质是软件和硬件加上一组安全策略的集合。

防火墙遵循的基本准则有两点。第一，它会拒绝所有未经说明允许的命令。防火墙的审查基础的逐项审阅，任何一个服务请求和应用操作都将被逐一审查符合允许的命令后才可能执行，这样的操作方法为保证内部计算机安全性提供了切实可行的办法。反而言之，用户可以申请的服务和服务数量是有限的，提高了安全性的同时也就减弱可用性。第二，它会允许所有未经说明拒绝的命令。防火墙在传递所有信息的时候都是按照约定的命令执行的，也就是会逐项审查后杜绝潜在危害性的命令，这一点的缺陷就是可用性优于安全性的地位，但是增加安全性的难度。

防火墙是“木桶”理论在网络安全的应用。网络安全概念中有一个“木桶”理论：一个桶能装的水量不取决于桶有多高，而取决于组成该桶的最短的那块木条的高度。在一个没有防火墙的环境里，网络的安全性只能体现为每一个主机的功能，所有主机必须通力合作，才能达到较高程度的安全性。而防火墙能够简化安全管理，网络的安全性是在防火墙系统上进行加固，而不是分布在内部网络的所有主机上。

强化内部网络的安全性

防火墙可以限制非法用户，比如防止黑客、网络破坏者等进入内部网络，禁止存在安全脆弱性的服务和未授权的通信进出网络，并抗击来自各种路线的攻击。对网络存取和访问进行记录、监控作为单一的网络接入点，所有进出信息都必须通过防火墙，所以防火墙非常适用收集关于系统和网络使用和误用的信息并做出日志记录。在防火墙上可以很方便地监视网络的安全性，并产生报警。

限定内部用户访问特殊站点

防火墙通过用户身份认证来确定合法用户。防火墙通过事先确定的完全检查策略，来决定内部用户可以使用哪些服务，可以访问哪些网站。

限制暴露用户点，防止内部攻击

利用防火墙对内部网络的划分，可实现网络中网段的隔离，防止影响一个网段的问题通过整个网络传播，从而限制了局部重点或敏感网络安全问题对全局网络造成的影响，同时，保护一个网段不受来自网络内部其它网段的攻击。

网络地址转换（NAT，Network Address Translation）

防火墙可以作为部署NAT的逻辑地址，因此防火墙可以用来缓解地址空间短缺的问题，并消除机构在变换ISP时带来的重新编址的麻烦。

虚拟专用网（VPN，Virtual Private Network）

防火墙还支持具有Internet服务特性的企业内部网络技术体系VPN。通过VPN将企事业单位在地域上分布在全世界各地的LAN或专用子网，有机地联成一个整体。不仅省去了专用通信线路，而且为信息共享提供了技术保障。

随着技术的进步和防火墙应用场景的不断延伸，现防火墙按照不同的使用场景主要可以分成以下四类。

过滤防火墙

过滤防火墙，顾名思义，就是在计算机网络中起一个过滤的作用。这种防火墙会根据已经预设好的过滤规则， 对在网络中流动的数据包进行过滤行为。如果符合过滤规则的数据包会被放行，如果数据包不满足过滤规则， 就会被删除。数据包的过滤规则是基于数据包报审的特征的。防火墙通过检查数据包的源头 IP 地址，目的IP地址，数据包遵守的协议，端口号等特征来完成。第一代的防火墙就属于过滤防火墙。

应用网关防火墙

已经介绍了的过滤防火墙在 OSI七层协议中主要工作在数据链路层和 IP 层。与之不同的是，应用网关防火墙主要工作在最上层应用层。不仅如此， 相比于基于过滤的防火墙来说， 应用网关防火墙最大的特点是有一套自己的逻辑分析。基于这个逻辑分析，应用网关服务器在应用层上进行危险数据的过滤， 分析内部网络应用层的使用协议， 并且对计算机网络内部的所有数据包进行分析， 如果数据包没有应用逻辑则不会被放行通过防火墙。

服务防火墙

上述的两种防火墙都是应用在计算机网络中来阻挡恶意信息进入用户的电脑的。服务防火墙则有其他的应用场景， 服务防火墙主要用于服务器的保护中。在现在的应用软件中， 往往需要通过和服务器连接来获得完整的软件体验。所以服务防火墙也就应运而生。服务防火墙用来防止外部网络的恶意信息进入到服务器的网络环境中。

监控防火墙

如果说之前介绍的防火墙都是被动防守的话， 那么监控防火墙则是不仅仅防守， 还会主动出击。一方面监控防火墙可以像传统的防火墙一样， 过滤网络中的有害数据。另一方面， 监控防火墙可以主动对数据进行分析和测试， 得到网络中是否存在外部攻击。这种防火墙对内可以过滤， 对外可以监控。从技术上来说， 是传统防火墙的重大升级。

网络安全屏障

防火墙对内部网络环境安全性起着极大的提高意义，它作为阻塞点和控制点过滤那些潜在危险的服务从而降低了网络内部环境的风险。因为所有进入网络内容的信息都是经过防火墙精心过滤过的，所以网络内部环境就非常的安全可靠。例如，NFS 是一个不安全协议，防火墙可以过滤点该信息，不允许该协议进入受保护的网络，这样外部的攻击者就无法进入内部网络进行攻击侵害。防火墙同时可以保护网络免受基于路由的攻击，如 IP 选项中的源路由攻击和 ICMP 重定向中的重定向路径。防火墙应该可以拒绝所有以上类型攻击的报文并通知防火墙管理员。

网络安全策略

如果对网络安全配置上以防火墙为中心，就可以让口令、加密、身份认证、审计等安全软件配置在防火墙上。防火墙的这种集中安全管理与各个主机分散控制网络安全问题相比更比较经济实惠。另外，防火墙的集中安全控制也避免了一次一密口令系统和其他的身份认证系统分散在各个主机上的麻烦。

进行监控审计

防火墙有着很好的日志记录功能，它会记录所有经过防火墙访问过的记录，更能够把网络使用情况的数据进行汇总分析，从而得出网络访问的统计性数据。如果访问的数据里面含有可疑性的动作，防火墙会进行报警，显示网络可能受到的相关的检测和攻击方面的数据信息。另外，它还可以通过访问数据的统计提供某个网络的使用情况和误用情况，为网络使用需求分析和网络威胁分析提供有价值的参考数据。

防止内部信息的外泄

防火墙可以把内部网络隔离成若干个段，对局部重点网络或敏感网络加强监控，全局网络的安全问题就不会因为局部网络的一段问题而受到牵连。另外，防火墙对 Finger、DNS等服务显示的内部细节数据进行隐蔽，这样由于 Finger 显示的所有用户的注册名、真名，最后登录时间和使用 shell 类型等信息就受到保护了，也就降低了外部的攻击侵入。同样，防火墙对内部网络中 DNS 信息的阻塞，也避免了主机域名和IP 地址的外泄，有效了保护内部信息的安全。

没有任何一个防火墙的设计能适用于所有的环境。它就似一个防盗门，在通常情况下能起到安全防护的作用，但当有人强行闯入时可能失效。所以在选择购买时，应根据站点的特点来选择合适的防火墙。

防火墙的优点

防火墙的不足之处