計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)中將防火區(qū)內(nèi)與INTERNET網(wǎng)絡(luò)直接相聯(lián)的計(jì)算機(jī)系統(tǒng)稱為“防火墻”，它能同時(shí)連內(nèi)部網(wǎng)絡(luò)和INTERNET網(wǎng)絡(luò)兩端。如果要從內(nèi)部網(wǎng)絡(luò)接到INTERNET網(wǎng)絡(luò)，就得用telnet等先聯(lián)到防火墻，然后從防火墻聯(lián)上INTERNET網(wǎng)絡(luò)。防火墻的主要作用就是阻止外界直接進(jìn) 入內(nèi)部網(wǎng)絡(luò)。目前防火墻通常有二種類型，即過(guò)濾型和代理型。
    過(guò)濾型的防火墻是不讓INTERNET網(wǎng)絡(luò)某些地址的網(wǎng)站進(jìn)入你的網(wǎng)絡(luò)，實(shí)現(xiàn)只有經(jīng)過(guò)過(guò)濾防火墻篩選才能訪問(wèn)內(nèi)部網(wǎng)絡(luò)的功能。這樣除開(kāi)放一些網(wǎng)絡(luò)功能外這種IP過(guò)濾防火墻阻擋一切聯(lián)網(wǎng)功能。另外一種是代理服務(wù)器的情況，用戶可登錄到防火墻，然后進(jìn)入內(nèi)部網(wǎng)絡(luò)內(nèi)的任何系統(tǒng)，也就是由防火墻進(jìn)行網(wǎng)絡(luò)聯(lián)結(jié)。

IP過(guò)濾防火墻 

    在互聯(lián)網(wǎng)這樣的信息包交換網(wǎng)絡(luò)上，所有往來(lái)的信息都被分割成一定長(zhǎng)度的信息包，包中包括發(fā)送者的IP地址和接收者的IP地址。包過(guò)濾式的防火墻會(huì)檢查所有通過(guò)信息包里的IP地址，并按照系統(tǒng)管理員所給定的過(guò)濾規(guī)則過(guò)濾信息包。如果防火墻設(shè)定某一IP為危險(xiǎn)的話，從這個(gè)地址而來(lái)的所有信息都會(huì)被防火墻屏蔽掉。這種防火墻的用法很多，比如國(guó)家有關(guān)部門(mén)可以通過(guò)包過(guò)濾防火墻來(lái)禁止國(guó)內(nèi)用戶去訪問(wèn)那些“有問(wèn)題”的國(guó)外站點(diǎn)。
    過(guò)濾防火墻是絕對(duì)性的過(guò)濾系統(tǒng)，它阻擋別人進(jìn)入內(nèi)部網(wǎng)絡(luò)，但也不告訴你何人進(jìn)入你的公共系統(tǒng)，或何人從內(nèi)部進(jìn)入INTERNET網(wǎng)絡(luò)。一般這種防火墻的特點(diǎn)非常安全，也不需要用戶名和密碼來(lái)登錄。這種防火墻速度快而且易于維護(hù)，通常作為第一道防線。包過(guò)濾路由器的弊端也是很明顯的，通常它沒(méi)有用戶的使用記錄，這就不能從訪問(wèn)記錄中發(fā)現(xiàn)黑客的攻擊記錄，而攻擊一個(gè)單純的包過(guò)濾式的防火墻對(duì)黑客來(lái)說(shuō)是比較容易的，他們?cè)谶@一方面已積累了大量經(jīng)驗(yàn)?！靶畔鼪_擊”是黑客比較常用的一種攻擊手段，黑客們對(duì)包過(guò)濾式防火墻發(fā)出一系列信息包，不過(guò)這些包中的IP地址已經(jīng)被替換掉了，取而代之的是一串順序的IP地址。一旦有一個(gè)包通過(guò)了防火墻，黑客便可用這IP地址來(lái)偽裝發(fā)出的信息。

代理服務(wù)器 

   如果說(shuō)包過(guò)濾只是根據(jù)地址進(jìn)行選擇而對(duì)IP包要么原封不動(dòng)進(jìn)行轉(zhuǎn)發(fā)要么被限制的話，那么代理服務(wù)器完全是對(duì)包進(jìn)行拆封并經(jīng)過(guò)功能分析后重新封裝。最好的例子是在內(nèi)部網(wǎng)站執(zhí)行telnet的過(guò)程。內(nèi)部網(wǎng)站先將IP請(qǐng)求包傳輸給代理服務(wù)器，然后由服務(wù)器剖析后重新產(chǎn)生請(qǐng)求發(fā)向目的站點(diǎn)。如果不經(jīng)過(guò)代理服務(wù)器，內(nèi)部網(wǎng)絡(luò)的請(qǐng)求根本到不了目的網(wǎng)站，因?yàn)檫@些IP包在代理服務(wù)器上是不會(huì)自動(dòng)轉(zhuǎn)發(fā)的。反向的情況也一樣。這樣利用客戶端軟件連接代理服務(wù)器后，代理服務(wù)器啟動(dòng)它的客戶端代理軟件，然后傳回?cái)?shù)據(jù)。由于代理服務(wù)器重復(fù)所有通訊，因此能夠記錄所有進(jìn)行的工作。只要配置正確，代理服務(wù)器就絕對(duì)安全，這是它最可取之處。它阻擋任何人進(jìn)入，因?yàn)闆](méi)有直接的IP通路，所有IP都需要進(jìn)行轉(zhuǎn)換發(fā)送。
    可見(jiàn)只要通過(guò)設(shè)置防火墻，就可允許單位內(nèi)部員工使用EMAIL，瀏覽WWW及文件傳輸，但不允許外界任意訪問(wèn)公司內(nèi)部的計(jì)算機(jī)，你也可以禁止內(nèi)部不同部門(mén)之間互相訪問(wèn)。

防火墻服務(wù)器如何設(shè)置

    一級(jí)防火墻是整個(gè)內(nèi)部網(wǎng)絡(luò)對(duì)外的樞紐，是一定需要設(shè)立的。它一邊聯(lián)接單位內(nèi)部網(wǎng)絡(luò)，一邊通往防火區(qū)網(wǎng)絡(luò)。防火區(qū)網(wǎng)絡(luò)上可擺上單位對(duì)外提供服務(wù)的主機(jī)，例如：WEB Server、EMAIL Server、POP3Server及FTP server等，提供對(duì)外的服務(wù)。有些人會(huì)認(rèn)為這些服務(wù)主機(jī)，既然是要給外人使用的，為什么不直接擺在防火墻外，而要擺在防火墻內(nèi)接受防火墻的控管呢?其實(shí)這個(gè)道理很簡(jiǎn)單：首先，擺在防火墻內(nèi)，你可以對(duì)任何存取你的服務(wù)器的訪客留下記錄，以供日后的追查或統(tǒng)計(jì)分析。其次，可增加其安全性，避免黑客對(duì)你的服務(wù)器的攻擊。防火墻的設(shè)定，可保證你的服務(wù)器主機(jī)只提供它應(yīng)提供的服務(wù)，而阻擋所有不當(dāng)?shù)拇嫒∨c連線，避免黑客在你的服務(wù)主機(jī)上開(kāi)后門(mén)。這就是要開(kāi)一個(gè)防火區(qū)網(wǎng)絡(luò)來(lái)放置 所有對(duì)外的服務(wù)主機(jī)的道理。
    單位可根據(jù)實(shí)際的需要，將某些較重要而有安全顧慮的部門(mén)網(wǎng)絡(luò)，加上防火墻的配置(見(jiàn)圖1)，此即所謂的單位內(nèi)防火墻(Intranet Firewall)。單位內(nèi)防火墻的功能與主防火墻類似，但因?yàn)槠鋽?shù)量可能很多，會(huì)分配到各部門(mén)的網(wǎng)絡(luò)內(nèi)，因此其管理規(guī)則的設(shè)定、系統(tǒng)的維護(hù)，不應(yīng)太過(guò)困難?！　挝幌Ｍㄖ靡粋€(gè)安全的網(wǎng)絡(luò)環(huán)境，除了采用防火墻之外，當(dāng)然還必須妥善的規(guī)劃其架構(gòu)，擬定其安全政策，最重要的是必須徹底執(zhí)行其安全政策，而防火墻是落實(shí)這些安全政策的必要且重要的工具之一。INTERNET網(wǎng)絡(luò)商用化的趨勢(shì)愈來(lái)愈明顯，單位網(wǎng)絡(luò)的安全性規(guī)劃更是刻不容緩，一個(gè)好的防火墻的規(guī)劃必須能充分的配合執(zhí)行單位所制定的安全政策，再加上安全的建置架構(gòu)，方能提供單位一個(gè)方便而安全的網(wǎng)絡(luò)環(huán)境。

防火墻的選購(gòu)策略

    (1)選配防火墻前，首先要知道防火墻的最基本性能。

    防火墻一般應(yīng)具備如下性能：
    ①防火墻除包含先進(jìn)的鑒別措施，還應(yīng)采用如包過(guò)濾技術(shù)、加密技術(shù)、可信的信息技術(shù)等盡量多的技術(shù)。同時(shí)需要配備身份識(shí)別及驗(yàn)證、信息的保密性保護(hù)、信息的完整性校驗(yàn)、系統(tǒng)的訪問(wèn)控制機(jī)制、授權(quán)管理等。
    ②防火墻過(guò)濾語(yǔ)言應(yīng)該是友好靈活的，同時(shí)應(yīng)具備若干諸如源和目的IP地址、協(xié)議類型、源 和目的TCP/UDP端口及入出接口等過(guò)濾屬性。
    ③防火墻應(yīng)該忠實(shí)地支持自己的安全性策略，并能靈活地容納新的服務(wù)和機(jī)構(gòu)，改變所需的安全策略。防火墻應(yīng)包含集中化的SMTP訪問(wèn)能力，以簡(jiǎn)化本地與遠(yuǎn)程系統(tǒng)的SMTP連接，實(shí)現(xiàn) 本地E-mail集中處理。
    ④若防火墻需Unix之類的操作系統(tǒng)，該系統(tǒng)的版本安全本身就是一個(gè)需要考慮的重要問(wèn)題，應(yīng)該作為防火墻的一部分，當(dāng)用其他安全工具時(shí)，要保證防火墻主機(jī)的完整性，而且該系統(tǒng)應(yīng)能整體安裝。防火墻及操作系統(tǒng)應(yīng)該可更新，并能用簡(jiǎn)易的方法解決系統(tǒng)故障等。

    (2)選購(gòu)防火墻前，還應(yīng)認(rèn)真制定安全政策，也就是要判定一個(gè)周密計(jì)劃。

    安全政策是規(guī)定什么人或什么事允許連接到哪些人或哪些事。也就是說(shuō)，事先要考慮把防火墻放在網(wǎng)絡(luò)系統(tǒng)的哪一個(gè)位置上，才能滿足自己的需求，才能確定欲購(gòu)的防火墻所能接受的風(fēng)險(xiǎn)水平。

    (3)在滿足實(shí)用性、安全性的基礎(chǔ)上，還要考慮經(jīng)濟(jì)性。