关于防火墙其实在技术专题中，我们有专门的介绍，只是内容比较散，因此我们在这里从比较简单的讲起，由浅入深的来了解一下防火墙。

防火墙的概念
        固然 ，既然打算由浅入深的来了解，就要先看看防火墙的概念了。防火墙是汽车中一个部件的名称。在汽车中，利用防火墙把乘客和引擎隔开，以便汽车引擎一旦著火，防火墙不但能保护乘客安全，而同时还能让司机继续控制引擎。再电脑术语中，固然 就不是这个意思了，我们可以类比来理解，在网络中，所谓“防火墙”，是指一种将内部网和公众访问网(如互联网 )分开的方法，它实际上是一种隔离技术。防火墙是在两个网络通讯时履行 的一种访问控制尺度，它能允许你“同意”的人和数据进入你的网络，同时将你“不同意”的人和数据拒之门外，最大限度地禁止 网络中的黑客来访问你的网络。换句话说，如果不通过防火墙，公司内部的人就没法 访问互联网 ，互联网 上的人也没法 和公司内部的人进行通讯 。

防火墙的功能

防火墙是网络安全的屏障：

        一个防火墙（作为阻塞点、控制点）能极大地提高一个内部网络的安全性，并通过过滤不安全的服务而降落 风险。由于只有经过精心选择的利用 协议才能通过防火墙，所以网络环境变得更安全。如防火墙可以制止 诸如尽人皆知 的不安全的NFS协议进出受保护网络，这样外部的攻击者就不可能利用这些脆弱的协议来攻击内部网络。防火墙同时可以保护网络免受基于路由的攻击，如IP选项中的源路由攻击和ICMP重定向中的重定向路径。防火墙应当 可以谢绝 所有以上类型攻击的报文并通知防火墙管理员。

防火墙可以强化网络安全策略：

        通过以防火墙为中心的安全方案配置，能将所有安全软件（如口令、加密、身份认证、审计等）配置在防火墙上。与将网络安全问题分散到各个主机上相比，防火墙的集中安全管理更经济。例如在网络访问时，一次一密口令系统和其它的身份认证系统完全可以没必要 分散在各个主机上，而集中在防火墙一身上。

对网络存取和访问进行监控审计：

        如果所有的访问都经过防火墙，那么 ，防火墙就可以 记录下这些访问并作出日志记录，同时也能提供网络使用情况的统计数据。当产生 可疑动作时，防火墙能进行适当的报警，并提供网络是不是 遭到 监测和攻击的详细信息。另外，搜集 一个网络的使用和误用情况也是非常重要的。首先的理由是可以清楚防火墙是不是 能够抵挡攻击者的探测和攻击，并且清楚防火墙的控制是不是 充足。而网络使用统计对网络需求分析和威胁 分析等而言也是非常重要的。

避免内部信息的外泄：

        通过利用防火墙对内部网络的划分，可实现内部网重点网段的隔离，从而限制了局部重点或敏感网络安全问题对全局网络酿成的 影响。再者，隐私是内部网络非常关心的问题，一个内部网络中不引人注意的细节可能包括 了有关安全的线索而引发 外部攻击者的兴趣，乃至 因此而暴漏了内部网络的某些安全漏洞。使用防火墙便可 以隐蔽那些透漏内部细节如Finger，DNS等服务。Finger显示了主机的所有用户的注册名、真名，最后登录时间和使用shell类型等。但是Finger显示的信息非常容易被攻击者所得悉 。攻击者可以知道一个系统使用的频繁程度，这个系统是不是 有用户正在连线上网，这个系统是不是 在被攻击时引发 注意等等。防火墙可以一样 阻塞有关内部网络中的DNS信息，这样一台主机的域名和IP地址就不会被外界所了解。

        除 安全作用，防火墙还支持具有互联网 服务特性的企业内部网络技术体系VPN（虚拟专用网）。

防火墙的分类
        根据防火墙的分类标准不同，防火墙可以分为N多种类型，这里我们遵守 的，固然 是根据网络体系结构来进行的分类了，按这样的标准，可以有以下几种类型的防火墙：

1.网络级防火墙

        通常为 基于源地址和目的地址、利用 或协议和 每 个 IP包的端口来作出通过与否的判断。一个路由器便是一个“传统”的网络级防火墙，大多数的路由器都能通过检查这些信息来决定是不是 将所收到的包转发，但它不能判断出一个IP包来自何方，去向何处。

        先进的网络级防火墙可以判断这一点，它可以提供内部信息以说明所通过的连接状态和一些数据流的内容，把判断的信息同规则表进行比较，在规则表中定义了各种规则来表明是不是 同意或谢绝 包的通过。包过滤防火墙检查每 条规则直至发现包中的信息与某规则符合 。如果没有一条规则能符合，防火墙就会使用默许 规则，一般情况下，默许 规则就是要求防火墙抛弃 该包。

        其次，通过定义基于TCP或UDP数据包的端口号，防火墙能够判断是不是 允许建立特定的连接，如Telnet、FTP连接。

下面是某一网络级防火墙的访问控制规则：
(1)允许网络123.1.0使用FTP(21口)访问主机150.0.0.1；
(2) 允许IP地址为202.103.1.18和202.103.1.14的用户Telnet(23口)到主机150.0.0.2上；
(3)允许任何地址的E-mail(25口)进入主机150.0.0.3；
(4)允许任何WWW数据（80口）通过；
(5)不允许其他数据包进入。
        网络级防火墙简洁、速度快、费用低，并且对用户透明，但是对网络的保护很有限，由于 它只检查地址和端口，对网络更高协议层的信息无理解能力。

2.利用 级网关

        利用 级网关就是我们常常说的“代理服务器”，它能够检查进出的数据包，通过网关复制传递数据，避免 在受信任服务器和客户机与不受信任的主机间直接建立联系。

        利用 级网关能够理解利用 层上的协议，能够做复杂一些的访问控制，并做精细的注册和稽核。

        但每 种协议需要相应的代理软件，使用时工作量大，效力 不如网络级防火墙。

        常常 使用 的利用 级防火墙已有了相应的代理服务器， 例如： HTTP、 NNTP、 FTP、Telnet、rlogin、X-windows等，但是，对 新开发的利用 ，尚没有相应的代理服务，它们将通过网络级防火墙和一般的代理服务。