隨著計算機(jī)技術(shù)應(yīng)用的普及，各個組織機(jī)構(gòu)的運行越來越依賴和離不開計算機(jī)，各種業(yè)務(wù)的運行架構(gòu)于現(xiàn)代化的網(wǎng)絡(luò)環(huán)境中。

　　企業(yè)計算機(jī)系統(tǒng)作為信息化程度較高、計算機(jī)網(wǎng)絡(luò)應(yīng)用情況比較先進(jìn)的一個特殊系統(tǒng)，其業(yè)務(wù)也同樣地越來越依賴于計算機(jī)。保證業(yè)務(wù)系統(tǒng)和工作的正常、可靠和安全地進(jìn)行是信息系統(tǒng)工作的一個重要話題。但是由于計算機(jī)系統(tǒng)的安全威脅，給組織機(jī)構(gòu)帶來了重大的經(jīng)濟(jì)損失，這種損失可分為直接損失和間接損失：直接損失是由此而帶來的經(jīng)濟(jì)損失，間接損失是由于安全而導(dǎo)致工作效率降低、機(jī)密情報數(shù)據(jù)泄露、系統(tǒng)不正常、修復(fù)系統(tǒng)而導(dǎo)致工作無法進(jìn)行等。間接損失往往是很難以數(shù)字來衡量的。在所有計算機(jī)安全威脅中，外部入侵和非法訪問是最為嚴(yán)重的事。

　　一、防火墻概念

　　Internet的迅速發(fā)展提供了發(fā)布信息和檢索信息的場所，但也帶來了信息污染和信息破壞的危險, 人們?yōu)榱吮Ｗo(hù)其數(shù)據(jù)和資源的安全，部署了防火墻。防火墻本質(zhì)上是一種保護(hù)裝置，它保護(hù)數(shù)據(jù)、資源和用戶的聲譽(yù)。

　　防火墻原是設(shè)計用來防止火災(zāi)從建筑物的一部分傳播到另一部分的設(shè)施。從理論上講，Internet防火墻服務(wù)也有類似目的，它防止Internet（或外部網(wǎng)絡(luò)）上的危險（病毒、資源盜用等）傳播到網(wǎng)絡(luò)內(nèi)部。Internet（或外部網(wǎng)絡(luò)）防火墻服務(wù)于多個目的：

　　1、限制人們從一個特別的控制點進(jìn)入；

　　2、防止入侵者接近你的其它防御設(shè)施；

　　3、限定人們從一個特別的點離開；

　　4、有效地阻止破壞者對你的計算機(jī)系統(tǒng)進(jìn)行破壞。

　　防火墻常常被安裝在內(nèi)部網(wǎng)絡(luò)連接到因特網(wǎng)（或外部網(wǎng)絡(luò)）的節(jié)點上。

　?。ㄒ唬┓阑饓Φ膬?yōu)點

　　1、防火墻能夠強(qiáng)化安全策略

　　因為網(wǎng)絡(luò)上每天都有上百萬人在收集信息、交換信息，不可避免地會出現(xiàn)個別品德不良，或違反規(guī)則的人，防火墻就是為了防止不良現(xiàn)象發(fā)生的“交通警察”，它執(zhí)行站點的安全策略，僅僅容許“認(rèn)可的”和符合規(guī)則的請求通過。

　　2、防火墻能有效地記錄網(wǎng)絡(luò)上的活動

　　因為所有進(jìn)出信息都必須通過防火墻，所以防火墻非常適用于收集關(guān)于系統(tǒng)和網(wǎng)絡(luò)使用和誤用的信息。作為訪問的唯一點，防火墻能在被保護(hù)的網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間進(jìn)行記錄。

　　3、防火墻限制暴露用戶點

　　防火墻能夠用來隔開網(wǎng)絡(luò)中的兩個網(wǎng)段，這樣就能夠防止影響一個網(wǎng)段的信息通過整個網(wǎng)絡(luò)進(jìn)行傳播。

　　4、防火墻是一個安全策略的檢查站

　　所有進(jìn)出的信息都必須通過防火墻，防火墻便成為安全問題的檢查點，使可疑的訪問被拒絕于門外。

　?。ǘ┓阑饓Φ牟蛔?/p>

　　防火墻的缺點主要表現(xiàn)在以下幾個方面。

　　1、不能防范惡意的知情者

　　防火墻可以禁止系統(tǒng)用戶經(jīng)過網(wǎng)絡(luò)連接發(fā)送專有的信息，但用戶可以將數(shù)據(jù)復(fù)制到磁盤、磁帶上，放在公文包中帶出去。如果入侵者已經(jīng)在防火墻內(nèi)部，防火墻是無能為力的。內(nèi)部用戶可以偷竊數(shù)據(jù)，破壞硬件和軟件，并且巧妙地修改程序而不接近防火墻。對于來自知情者的威脅，只能要求加強(qiáng)內(nèi)部管理，如主機(jī)安全和用戶教育等。

　　2、不能防范不通過它的連接

　　防火墻能夠有效地防止通過它的傳輸信息，然而它卻不能防止不通過它而傳輸?shù)男畔ⅰ＠?，如果站點允許對防火墻后面的內(nèi)部系統(tǒng)進(jìn)行撥號訪問，那么防火墻絕對沒有辦法阻止入侵者進(jìn)行撥號入侵。

　　3、不能防備全部的威脅

　　防火墻被用來防備已知的威脅，如果是一個很好的防火墻設(shè)計方案，就可以防備新的威脅，但沒有一扇防火墻能自動防御所有新的威脅。

　　4、防火墻不能防范病毒

　　防火墻一般不能消除網(wǎng)絡(luò)上的病毒。