計算機網(wǎng)絡(luò)系統(tǒng)中將防火區(qū)內(nèi)與INTERNET網(wǎng)絡(luò)直接相聯(lián)的計算機系統(tǒng)稱為“防火墻”，它能同時連內(nèi)部網(wǎng)絡(luò)和INTERNET網(wǎng)絡(luò)兩端。如果要從內(nèi)部網(wǎng)絡(luò)接到INTERNET網(wǎng)絡(luò)，就得用telnet等先聯(lián)到防火墻，然后從防火墻聯(lián)上INTERNET網(wǎng)絡(luò)。防火墻的主要作用就是阻止外界直接進 入內(nèi)部網(wǎng)絡(luò)。目前防火墻通常有二種類型，即過濾型和代理型。
    過濾型的防火墻是不讓INTERNET網(wǎng)絡(luò)某些地址的網(wǎng)站進入你的網(wǎng)絡(luò)，實現(xiàn)只有經(jīng)過過濾防火墻篩選才能訪問內(nèi)部網(wǎng)絡(luò)的功能。這樣除開放一些網(wǎng)絡(luò)功能外這種IP過濾防火墻阻擋一切聯(lián)網(wǎng)功能。另外一種是代理服務(wù)器的情況，用戶可登錄到防火墻，然后進入內(nèi)部網(wǎng)絡(luò)內(nèi)的任何系統(tǒng)，也就是由防火墻進行網(wǎng)絡(luò)聯(lián)結(jié)。

IP過濾防火墻 

    在互聯(lián)網(wǎng)這樣的信息包交換網(wǎng)絡(luò)上，所有往來的信息都被分割成一定長度的信息包，包中包括發(fā)送者的IP地址和接收者的IP地址。包過濾式的防火墻會檢查所有通過信息包里的IP地址，并按照系統(tǒng)管理員所給定的過濾規(guī)則過濾信息包。如果防火墻設(shè)定某一IP為危險的話，從這個地址而來的所有信息都會被防火墻屏蔽掉。這種防火墻的用法很多，比如國家有關(guān)部門可以通過包過濾防火墻來禁止國內(nèi)用戶去訪問那些“有問題”的國外站點。
    過濾防火墻是絕對性的過濾系統(tǒng)，它阻擋別人進入內(nèi)部網(wǎng)絡(luò)，但也不告訴你何人進入你的公共系統(tǒng)，或何人從內(nèi)部進入INTERNET網(wǎng)絡(luò)。一般這種防火墻的特點非常安全，也不需要用戶名和密碼來登錄。這種防火墻速度快而且易于維護，通常作為第一道防線。包過濾路由器的弊端也是很明顯的，通常它沒有用戶的使用記錄，這就不能從訪問記錄中發(fā)現(xiàn)黑客的攻擊記錄，而攻擊一個單純的包過濾式的防火墻對黑客來說是比較容易的，他們在這一方面已積累了大量經(jīng)驗。“信息包沖擊”是黑客比較常用的一種攻擊手段，黑客們對包過濾式防火墻發(fā)出一系列信息包，不過這些包中的IP地址已經(jīng)被替換掉了，取而代之的是一串順序的IP地址。一旦有一個包通過了防火墻，黑客便可用這IP地址來偽裝發(fā)出的信息。

代理服務(wù)器 

   如果說包過濾只是根據(jù)地址進行選擇而對IP包要么原封不動進行轉(zhuǎn)發(fā)要么被限制的話，那么代理服務(wù)器完全是對包進行拆封并經(jīng)過功能分析后重新封裝。最好的例子是在內(nèi)部網(wǎng)站執(zhí)行telnet的過程。內(nèi)部網(wǎng)站先將IP請求包傳輸給代理服務(wù)器，然后由服務(wù)器剖析后重新產(chǎn)生請求發(fā)向目的站點。如果不經(jīng)過代理服務(wù)器，內(nèi)部網(wǎng)絡(luò)的請求根本到不了目的網(wǎng)站，因為這些IP包在代理服務(wù)器上是不會自動轉(zhuǎn)發(fā)的。反向的情況也一樣。這樣利用客戶端軟件連接代理服務(wù)器后，代理服務(wù)器啟動它的客戶端代理軟件，然后傳回數(shù)據(jù)。由于代理服務(wù)器重復(fù)所有通訊，因此能夠記錄所有進行的工作。只要配置正確，代理服務(wù)器就絕對安全，這是它最可取之處。它阻擋任何人進入，因為沒有直接的IP通路，所有IP都需要進行轉(zhuǎn)換發(fā)送。
    可見只要通過設(shè)置防火墻，就可允許單位內(nèi)部員工使用EMAIL，瀏覽WWW及文件傳輸，但不允許外界任意訪問公司內(nèi)部的計算機，你也可以禁止內(nèi)部不同部門之間互相訪問。

防火墻服務(wù)器如何設(shè)置

    一級防火墻是整個內(nèi)部網(wǎng)絡(luò)對外的樞紐，是一定需要設(shè)立的。它一邊聯(lián)接單位內(nèi)部網(wǎng)絡(luò)，一邊通往防火區(qū)網(wǎng)絡(luò)。防火區(qū)網(wǎng)絡(luò)上可擺上單位對外提供服務(wù)的主機，例如：WEB Server、EMAIL Server、POP3Server及FTP server等，提供對外的服務(wù)。有些人會認為這些服務(wù)主機，既然是要給外人使用的，為什么不直接擺在防火墻外，而要擺在防火墻內(nèi)接受防火墻的控管呢?其實這個道理很簡單：首先，擺在防火墻內(nèi)，你可以對任何存取你的服務(wù)器的訪客留下記錄，以供日后的追查或統(tǒng)計分析。其次，可增加其安全性，避免黑客對你的服務(wù)器的攻擊。防火墻的設(shè)定，可保證你的服務(wù)器主機只提供它應(yīng)提供的服務(wù)，而阻擋所有不當(dāng)?shù)拇嫒∨c連線，避免黑客在你的服務(wù)主機上開后門。這就是要開一個防火區(qū)網(wǎng)絡(luò)來放置 所有對外的服務(wù)主機的道理。
    單位可根據(jù)實際的需要，將某些較重要而有安全顧慮的部門網(wǎng)絡(luò)，加上防火墻的配置(見圖1)，此即所謂的單位內(nèi)防火墻(Intranet Firewall)。單位內(nèi)防火墻的功能與主防火墻類似，但因為其數(shù)量可能很多，會分配到各部門的網(wǎng)絡(luò)內(nèi)，因此其管理規(guī)則的設(shè)定、系統(tǒng)的維護，不應(yīng)太過困難。　　單位希望建置一個安全的網(wǎng)絡(luò)環(huán)境，除了采用防火墻之外，當(dāng)然還必須妥善的規(guī)劃其架構(gòu)，擬定其安全政策，最重要的是必須徹底執(zhí)行其安全政策，而防火墻是落實這些安全政策的必要且重要的工具之一。INTERNET網(wǎng)絡(luò)商用化的趨勢愈來愈明顯，單位網(wǎng)絡(luò)的安全性規(guī)劃更是刻不容緩，一個好的防火墻的規(guī)劃必須能充分的配合執(zhí)行單位所制定的安全政策，再加上安全的建置架構(gòu)，方能提供單位一個方便而安全的網(wǎng)絡(luò)環(huán)境。

防火墻的選購策略

    (1)選配防火墻前，首先要知道防火墻的最基本性能。

    防火墻一般應(yīng)具備如下性能：
    ①防火墻除包含先進的鑒別措施，還應(yīng)采用如包過濾技術(shù)、加密技術(shù)、可信的信息技術(shù)等盡量多的技術(shù)。同時需要配備身份識別及驗證、信息的保密性保護、信息的完整性校驗、系統(tǒng)的訪問控制機制、授權(quán)管理等。
    ②防火墻過濾語言應(yīng)該是友好靈活的，同時應(yīng)具備若干諸如源和目的IP地址、協(xié)議類型、源 和目的TCP/UDP端口及入出接口等過濾屬性。
    ③防火墻應(yīng)該忠實地支持自己的安全性策略，并能靈活地容納新的服務(wù)和機構(gòu)，改變所需的安全策略。防火墻應(yīng)包含集中化的SMTP訪問能力，以簡化本地與遠程系統(tǒng)的SMTP連接，實現(xiàn) 本地E-mail集中處理。
    ④若防火墻需Unix之類的操作系統(tǒng)，該系統(tǒng)的版本安全本身就是一個需要考慮的重要問題，應(yīng)該作為防火墻的一部分，當(dāng)用其他安全工具時，要保證防火墻主機的完整性，而且該系統(tǒng)應(yīng)能整體安裝。防火墻及操作系統(tǒng)應(yīng)該可更新，并能用簡易的方法解決系統(tǒng)故障等。

    (2)選購防火墻前，還應(yīng)認真制定安全政策，也就是要判定一個周密計劃。

    安全政策是規(guī)定什么人或什么事允許連接到哪些人或哪些事。也就是說，事先要考慮把防火墻放在網(wǎng)絡(luò)系統(tǒng)的哪一個位置上，才能滿足自己的需求，才能確定欲購的防火墻所能接受的風(fēng)險水平。

    (3)在滿足實用性、安全性的基礎(chǔ)上，還要考慮經(jīng)濟性。