隨著網絡技術的發展，因特網已經走進千家萬戶。因而，網絡的安全將成為人們最為關注的問題。目前，保護內部網免遭外部入侵的比較有效的方法為防火墻技術。

防火墻的基本概念

防火墻是一個系統或一組系統，它在企業內網與因特網間執行一定的安全策略。

一個有效的防火墻應該能夠確保：所有從因特網流入或流向因特網的信息都將經過防火墻；所有流經防火墻的信息都應接受檢查。

因特網防火墻的功能為：通過防火墻可以定義一個關鍵點以防止外來入侵；監控網絡的安全并在異常情況下給出報警提示，尤其對于重大的信息量通過時除進行檢查外，應做日志登記；提供網絡地址轉換（NAT）功能，有助于緩解IP地址資源緊張的問題，同時，可以避免當一個內部網更換ISP時需重新編號的麻煩；防火墻可查詢或登記因特網的使用情況，可以確認因特網連入的代價、潛在的帶寬瓶須，以使費用的耗費滿足企業內部財政模式；防火墻是為客戶提供服務的理想位置，即在其上可以配置相應的WWW和FTP服務，使因特網用戶僅可以訪問此類服務，而禁止對保護網絡的其他系統的訪問。

防火墻的分類、作用

現有的防火墻主要有：包過濾型、代理服務器型、復合型以及其他類型（雙宿主主機、主機過濾以及加密路由器）防火墻。

包過濾（Packet Fliter）通常安裝在路由器上，而且大多數商用路由器都提供了包過濾的功能。包過濾規則以IP包信息為基礎，對IP源地址、目標地址、封裝協議、端口號等進行篩選。包過濾在網絡層進行。

代理服務器型（Proxy Service）防火墻通常由兩部分構成，服務器端程序和客戶端程序。客戶端程序與中間節點（Proxy Service）連接，中間節點再與提供服務的服務器實際連接。與包過濾防火墻不同的是，內外網間不存在直接的連接，而且代理服務器提供日志（Log）和審計（Audit）服務。

復合型（Hybfid）防火墻將包過濾和代理服務兩種方法結合起來，形成新的防火墻，由堡壘主機（Bastion Host）提供代理服務。

各類防火墻路由器和各種主機按其配置和功能可組成各種類型的防火墻，主要有：雙宿主主機防火墻（Dual-Homed Host Firewall），它是由堡壘主機充當網關，并在其上運行防火墻軟件，內外網之間的通信必須經過堡壘主機；主機過濾防火墻（ Sceened HOst Firewall）是指一個包過濾路由器與外部網相連，同時，一個堡壘主機安裝在內部網上，使堡壘主機成為外部網所能到達的惟一節點，從而確保內部網不受外部非授權用戶的攻擊；加密路由器（Encryption Router），加密路由器對通過路由器的信息流進行加密和壓縮，然后通過外部網絡傳輸到目的端進行解壓縮和解密。