防火墙技术，最初是针对 Internet 网路不安全因素所採取的一种保护措施。顾名思义，防火墙就是用来阻挡外部不安全因素影响的内部网路屏障，其目的就是防止外部网路用户未经授权的访问。它是一种计算机硬体和软体的结合，使Internet与Internet之间建立起一个安全网关（Security Gateway），从而保护内部网免受非法用户的侵入，防火墙主要由服务访问政策、验证工具、包过滤和套用网关4个部分组成，防火墙就是一个位于计算机和它所连线的网路之间的软体或硬体(其中硬体防火墙用的很少只有国防部等地才用,因为它价格昂贵)。该计算机流入流出的所有网路通信均要经过此防火墙。

防火墙有网路防火墙和计算机防火墙的提法。网路防火墙是指在外部网路和内部网路之间设定网路防火墙。这种防火墙又称筛选路由器。网路防火墙检测进入信息的协定、目的地址、连线埠（网路层）及被传输的信息形式（套用层）等，滤除不符合规定的外来信息。防火墙示意图如下，网路防火墙也对用户网路向外部网路发出的信息进行检测。

计算机防火墙是指在外部网路和用户计算机之间设定防火墙。计算机防火墙也可以是用户计算机的一部分。计算机防火墙检测接口规程、传输协定、目的地址及/或被传输的信息结构等，将不符合规定的进入信息剔除。计算机防火墙对用户计算机输出的信息进行检查，并加上相应协定层的标誌，用以将信息传送到接收用户计算机（或网路）中去。

使用防火墙的好处有：保护脆弱的服务，控制对系统的访问，集中地安全管理，增强保密性，记录和统计网路利用数据以及非法使用数据情况。防火墙的设计通常有两种基本设计策略：第一，允许任何服务除非被明确禁止；第二，禁止任何服务除非被明确允许。一般採用第二种策略。

从技术角度来看，有两类防火墙，即标準防火墙和双穴网关。标準防火墙使用专门的软体，并要求比较高的管理水平，而且在信息传输上有一定的延迟。双穴网关是标準防火墙的扩充，也称套用层网关，它是一个单独的系统，但能够同时完成标準防火墙的所有功能。它的优点是能够运行比较複杂的套用，同时防止在网际网路和内部系统之间建立任何直接的连线，可以确保数据包不能直接从外部网路到达内部网路。

随着防火墙技术的进步，在双穴网关的基础上又演化出两种防火墙配置，一种是隐蔽主机网关，一种是隐蔽智慧型网关。技术比较複杂而且安全级别较高的防火墙是隐蔽智慧型网关，它将网关隐藏在公共系统之后使其免遭直接攻击。隐蔽智慧型网关提供了对网际网路服务进行几乎透明的访问，同时也阻止了外部未授权访问者对专用网路的非法访问。

防火墙是汽车中一个部件的名称。在汽车中，利用防火墙把乘客和引擎隔开，以便汽车引擎一旦着火，防火墙不但能保护乘客安全，而同时还能让司机继续控制引擎。在电脑术语中，当然就不是这个意思了，我们可以类比来理解，在网路中，所谓“防火墙”，是指一种将内部网和公众访问网(如Internet)分开的方法，它实际上是一种隔离技术。防火墙是在两个网路通讯时执行的一种访问控制尺度，它能允许你“同意”的人和数据进入你的网路，同时将你“不同意”的人和数据拒之门外，最大限度地阻止网路中的黑客来访问你的网路。换句话说，如果不通过防火墙，公司内部的人就无法访问Internet，Internet上的人也无法和公司内部的人进行通信。

防火墙（FireWall）成为新兴的保护计算机网路安全技术性措施。它是一种隔离控制技术，在某个机构的网路和不安全的网路（如Internet）之间设定屏障，阻止对信息资源的非法访问，也可以使用防火墙阻止重要信息从企业的网路上被非法输出。作为Internet网的安全性保护软体，FireWall已经得到广泛的套用。通常企业为了维护内部的信息系统安全，在企业网和Internet间设立FireWall软体。企业信息系统对于来自Internet的访问，採取有选择的接收方式。它可以允许或禁止一类具体的IP地址访问，也可以接收或拒绝TCP/IP上的某一类具体的套用。如果在某一台IP主机上有需要禁止的信息或危险的用户，则可以通过设定使用FireWall过滤掉从该主机发出的包。如果一个企业只是使用Internet的电子邮件和WWW伺服器向外部提供信息，那幺就可以在FireWall上设定使得只有这两类套用的数据包可以通过。这对于路由器来说，就要不仅分析IP层的信息，而且还要进一步了解TCP传输层甚至套用层的信息以进行取捨。FireWall一般安装在路由器上以保护一个子网，也可以安装在一台主机上，保护这台主机不受侵犯。

从实现原理上分，防火墙的技术包括四大类：网路级防火墙（也叫包过滤型防火墙）、套用级网关、电路级网关和规则检查防火墙。它们之间各有所长，具体使用哪一种或是否混合使用，要看具体需要。

一般是基于源地址和目的地址、套用、协定以及每个IP包的连线埠来作出通过与否的判断。一个路由器便是一个“传统”的网路级防火墙，大多数的路由器都能通过检查这些信息来决定是否将所收到的包转发，但它不能判断出一个IP包来自何方，去向何处。防火墙检查每一条规则直至发现包中的信息与某规则相符。如果没有一条规则能符合，防火墙就会使用默认规则，一般情况下，默认规则就是要求防火墙丢弃该包。其次，通过定义基于TCP或UDP数据包的连线埠号，防火墙能够判断是否允许建立特定的连线，如Telnet、FTP连线。

套用级网关能够检查进出的数据包，通过网关複製传递数据，防止在受信任伺服器和客户机与不受信任的主机间直接建立联繫。套用级网关能够理解套用层上的协定，能够做複杂一些的访问控制，并做精细的注册和稽核。它针对特别的网路套用服务协定即数据过滤协定，并且能够对数据包分析并形成相关的报告。套用网关对某些易于登录和控制所有输出输入的通信的环境给予严格的控制，以防有价值的程式和数据被窃取。 在实际工作中，套用网关一般由专用工作站系统来完成。但每一种协定需要相应的代理软体，使用时工作量大，效率不如网路级防火墙。 套用级网关有较好的访问控制，是最安全的防火墙技术，但实现困难，而且有的套用级网关缺乏“透明度”。在实际使用中，用户在受信任的网路上通过防火墙访问Internet时，经常会发现存在延迟并且必须进行多次登录（Login）才能访问Internet或Intranet。

电路级网关用来监控受信任的客户或伺服器与不受信任的主机间的TCP握手信息,这样来决定该会话（Session）是否合法,电路级网关是在OSI模型中会话层上来过滤数据包,这样比包过滤防火墙要高二层。电路级网关还提供一个重要的安全功能：代理伺服器（Proxy Server）。代理伺服器是设定在Internet防火墙网关的专用套用级代码。这种代理服务準许网管员允许或拒绝特定的套用程式或一个套用的特定功能。包过滤技术和套用网关是通过特定的逻辑判断来决定是否允许特定的数据包通过，一旦判断条件满足，防火墙内部网路的结构和运行状态便“暴露”在外来用户面前，这就引入了代理服务的概念，即防火墙内外计算机系统套用层的“连结”由两个终止于代理服务的“连结”来实现，这就成功地实现了防火墙内外计算机系统的隔离。同时，代理服务还可用于实施较强的数据流监控、过滤、记录和报告等功能。代理服务技术主要通过专用计算机硬体（如工作站）来承担。

该防火墙结合了包过滤防火墙、电路级网关和套用级网关的特点。它同包过滤防火墙一样，规则检查防火墙能够在OSI网路层上通过IP位址和连线埠号，过滤进出的数据包。它也象电路级网关一样，能够检查SYN和ACK标记和序列数字是否逻辑有序。当然它也象套用级网关一样，可以在OSI套用层上检查数据包的内容，查看这些内容是否能符合企业网路的安全规则。规则检查防火墙虽然集成前三者的特点，但是不同于一个套用级网关的是，它并不打破客户机/伺服器模式来分析套用层的数据，它允许受信任的客户机和不受信任的主机建立直接连线。规则检查防火墙不依靠与套用层有关的代理，而是依靠某种算法来识别进出的套用层数据，这些算法通过已知合法数据包的模式来比较进出数据包，这样从理论上就能比套用级代理在过滤数据包上更有效。

防火墙具有很好的保护作用。入侵者必须首先穿越防火墙的安全防线，才能接触目标计算机。你可以将防火墙配置成许多不同保护级别。高级别的保护可能会禁止一些服务，如视频流等，但至少这是你自己的保护选择。

在具体套用防火墙技术时，还要考虑到两个方面：

一是防火墙是不能防病毒的，儘管有不少的防火墙产品声称其具有这个功能。 二是防火墙技术的另外一个弱点在于数据在防火墙之间的更新是一个难题，如果延迟太大将无法支持实时服务请求。并且，防火墙採用滤波技术，滤波通常使网路的性能降低50%以上，如果为了改善网路性能而购置高速路由器，又会大大提高经济预算。

总之，防火墙是企业网安全问题的流行方案，即把公共数据和服务置于防火墙外，使其对防火墙内部资源的访问受到限制。作为一种网路安全技术，防火墙具有简单实用的特点，并且透明度高，可以在不修改原有网路套用系统的情况下达到一定的安全要求。

网路上的数据都是以包为单位进行传输的，每一个数据包中都会包含一些特定的信息，如数据的源地址、目标地址、源连线埠号和目标连线埠号等。防火墙通过读取数据包中的地址信息来判断这些包是否来自可信任的网路，并与预先设定的访问控制规则进行比较，进而确定是否需对数据包进行处理和操作。数据包过滤可以防止外部不合法用户对内部网路的访问，但由于不能检测数据包的具体内容，所以不能识别具有非法内容的数据包，无法实施对套用层协定的安全处理。

网路IP位址转换是一种将私有IP位址转化为公网IP位址的技术，它被广泛套用于各种类型的网路和网际网路中。网路IP位址转换一方面可隐藏内部网路的真实IP位址，使内部网路免受黑客的直接攻击，另一方面由于内部网路使用了私有IP位址，从而有效解决了公网IP 地址不足的问题。

虚拟专用网路将分布在不同地域上的区域网路或计算机通过加密通信，虚拟出专用的传输通道，从而将它们从逻辑上连成一个整体，不仅省去了建设专用通信线路的费用，还有效地保证了网路通信的安全。

套用级网关能够检查进出的数据包，通过网关複製传递数据，防止在受信任伺服器和客户机与不受信任的主机间直接建立联繫。套用级网关能够理解套用层上的协定，能够做複杂一些的访问控制，并做精细的注册和稽核。它针对特别的网路套用服务协定即数据过滤协定，并且能够对数据包分析并形成相关的报告。

防火墙对流经它的网路通信进行扫描，这样能够过滤掉一些攻击，以免其在目标计算机上被执行。防火墙还可以关闭不使用的连线埠。而且它还能禁止特定连线埠的流出通信，封锁特洛伊木马。最后，它可以禁止来自特殊站点的访问，从而防止来自不明入侵者的所有通信。

一个防火墙（作为阻塞点、控制点）能极大地提高一个内部网路的安全性，并通过过滤不安全的服务而降低风险。由于只有经过精心选择的套用协定才能通过防火墙，所以网路环境变得更安全。如防火墙可以禁止诸如众所周知的不安全的NFS协定进出受保护网路，这样外部的攻击者就不可能利用这些脆弱的协定来攻击内部网路。防火墙同时可以保护网路免受基于路由的攻击，如IP选项中的源路由攻击和ICMP重定向中的重定向路径。防火墙应该可以拒绝所有以上类型攻击的报文并通知防火墙管理员。

通过以防火墙为中心的安全方案配置，能将所有安全软体（如口令、加密、身份认证、审计等）配置在防火墙上。与将网路安全问题分散到各个主机上相比，防火墙的集中安全管理更经济。例如在网路访问时，一次一密口令系统和其它的身份认证系统完全可以不必分散在各个主机上，而集中在防火墙一身上。

如果所有的访问都经过防火墙，那幺，防火墙就能记录下这些访问并作出日誌记录，同时也能提供网路使用情况的统计数据。当发生可疑动作时，防火墙能进行适当的报警，并提供网路是否受到监测和攻击的详细信息。另外，收集一个网路的使用和误用情况也是非常重要的。首先的理由是可以清楚防火墙是否能够抵挡攻击者的探测和攻击，并且清楚防火墙的控制是否充足。而网路使用统计对网路需求分析和威胁分析等而言也是非常重要的。

通过利用防火墙对内部网路的划分，可实现内部网重点网段的隔离，从而限制了局部重点或敏感网路安全问题对全局网路造成的影响。再者，隐私是内部网路非常关心的问题，一个内部网路中不引人注意的细节可能包含了有关安全的线索而引起外部攻击者的兴趣，甚至因此而暴漏了内部网路的某些安全漏洞。使用防火墙就可以隐蔽那些透漏内部细节如Finger，DNS等服务。Finger显示了主机的所有用户的注册名、真名，最后登录时间和使用shell类型等。但是Finger显示的信息非常容易被攻击者所获悉。攻击者可以知道一个系统使用的频繁程度，这个系统是否有用户正在连线上网，这个系统是否在被攻击时引起注意等等。防火墙可以同样阻塞有关内部网路中的DNS信息，这样一台主机的域名和IP地址就不会被外界所了解。除了安全作用，防火墙还支持具有Internet服务性的企业内部网路技术体系VPN（虚拟专用网）。

进出网路的数据都必须经过防火墙，防火墙通过日誌对其进行记录，能提供网路使用的详细统计信息。当发生可疑事件时，防火墙更能根据机制进行报警和通知，提供网路是否受到威胁的信息。

防火墙的英文名为“FireWall”，它是一种最重要的网路防护设备。从专业角度讲，防火墙是位于两个(或多个)网路间，实施网路之间访问控制的一组组件集合。防火墙的本义是指古代构筑和使用木製结构房屋的时候，为防止火灾的发生和蔓延，人们将坚固的石块堆砌在房屋周围作为屏障，这种防护构筑物就被称之为“防火墙”。其实与防火墙一起起作用的就是“门”。如果没有门，各房间的人如何沟通呢，这些房间的人又如何进去呢？当火灾发生时，这些人又如何逃离现场呢？这个门就相当于我们这里所讲的防火墙的“安全策略”，所以在此我们所说的防火墙实际并不是一堵实心墙，而是带有一些小孔的墙。这些小孔就是用来留给那些允许进行的通信，在这些小孔中安装了过滤机制，也就是上面所介绍的“单嚮导通性”。

我们通常所说的网路防火墙是借鉴了古代真正用于防火的防火墙的喻义，它指的是隔离在本地网路与外界网路之间的一道防御系统。防火可以使企业内部区域网路（LAN）网路与Internet之间或者与其他外部网路互相隔离、限制网路互访用来保护内部网路。

典型的防火墙具有以下基本特性。

内部网路和外部网路之间的所有网路数据流都必须经过防火墙。这是防火墙所处网路位置特性，同时也是一个前提。因为只有当防火墙是内、外部网路之间通信的通道，才可以全面、有效地保护企业网部网路不受侵害。根据美国国家安全局制定的《信息保障技术框架》，防火墙适用于用户网路系统的边界，属于用户网路边界的安全保护设备。所谓网路边界即是採用不同安全策略的两个网路连线处，比如用户网路和网际网路之间连线、和其它业务往来单位的网路连线、用户内部网路不同部门之间的连线等。防火墙的目的就是在网路连线之间建立一个安全控制点，通过允许、拒绝或重新定向经过防火墙的数据流，实现对进、出内部网路的服务和访问的审计和控制。

典型的防火墙体系网路结构一端连线企事业单位内部的区域网路，而另一端则连线着网际网路。所有的内、外部网路之间的通信都要经过防火墙，只有符合安全策略的数据流才能通过防火墙。

防火墙最基本的功能是确保网路流量的合法性，并在此前提下将网路的流量快速的从一条链路转发到另外的链路上去。从最早的防火墙模型开始谈起，原始的防火墙是一台“双穴主机”，即具备两个网路接口，同时拥有两个网路层地址。防火墙将网路上的流量通过相应的网路接口接收上来，按照OSI协定栈的七层结构顺序上传，在适当的协定层进行访问规则和安全审查，然后将符合通过条件的报文从相应的网路接口送出，而对于那些不符合通过条件的报文则予以阻断。因此，从这个角度上来说，防火墙是一个类似于桥接或路由器的、多连线埠的（网路接口>=2）转发设备，它跨接于多个分离的物理网段之间，并在报文转发过程之中完成对报文的审查工作。

防火墙自身应具有非常强的抗攻击免疫力：这是防火墙之所以能担当企业内部网路安全防护重任的先决条件。防火墙处于网路边缘，它就像一个边界卫士一样，每时每刻都要面对黑客的入侵，这样就要求防火墙自身要具有非常强的抗击入侵本领。它之所以具有这幺强的本领防火墙作业系统本身是关键，只有自身具有完整信任关係的作业系统才可以谈论系统的安全性。其次就是防火墙自身具有非常低的服务功能，除了专门的防火墙嵌入系统外，再没有其它应用程式在防火墙上运行。当然这些安全性也只能说是相对的。国内的防火墙几乎被国外的品牌占据了一半的市场，国外品牌的优势主要是在技术和知名度上比国内产品高。而国内防火墙厂商对国内用户了解更加透彻，价格上也更具有优势。防火墙产品中，国外主流厂商为思科（Cisco）、CheckPoint、NetScreen等，国内主流厂商为东软、天融信、联想、方正等，它们都提供不同级别的防火墙产品。

防火墙的硬体体系结构曾经历过通用CPU架构、ASIC架构和网路处理器架构，他们各自的特点分别如下：通用CPU架构：通用CPU架构最常见的是基于Intel X86架构的防火墙，在百兆防火墙中Intel X86架构的硬体以其高灵活性和扩展性一直受到防火墙厂商的喜爱；由于採用了PCI汇流排接口，Intel X86架构的硬体虽然理论上能达到2Gbps的吞吐量甚至更高，但是在实际套用中，尤其是在小包情况下，远远达不到标称性能，通用CPU的处理能力也很有限。国内安全设备主要採用的就是基于X86的通用CPU架构。ASIC架构：ASIC（Application Specific Integrated Circuit，专用积体电路）技术是国外高端网路设备几年前广泛採用的技术。由于採用了硬体转发模式、多汇流排技术、数据层面与控制层面分离等技术， ASIC架构防火墙解决了频宽容量和性能不足的问题，稳定性也得到了很好的保证。

ASIC技术的性能优势主要体现网路层转发上，而对于需要强大计算能力的套用层数据的处理则不占优势，而且面对频繁变异的套用安全问题，其灵活性和扩展性也难以满足要求。由于该技术有较高的技术和资金门槛，主要是国内外知名厂商在採用，国外主要代表厂商是Netscreen，国内主要代表厂商为天融信。网路处理器架构：由于网路处理器所使用的微码编写有一定技术难度，难以实现产品的最优性能，因此网路处理器架构的防火墙产品难以占有大量的市场份额。随着网路处理器的主要供应商Intel、Broadcom、IBM等相继出售其网路处理器业务，该技术在网路安全产品中的套用已经走到了尽头。