防火墻是指設置在不同網(wǎng)絡（如可信任的企業(yè)內部網(wǎng)和不可信的公共網(wǎng)）或網(wǎng)絡安全域之間的一系列部件的組合。它可以通過監(jiān)測、限制、更改跨越防火墻的數(shù)據(jù)流，盡可能地對外部屏蔽網(wǎng)絡內部的信息、結構和運行狀況，以此來實現(xiàn)網(wǎng)絡的安全保護。在邏輯上，防火墻是一個分離器，一個限制器，也是一個分析器，有效地監(jiān)控了內部網(wǎng)和Internet之間的任何活動，保證了內部網(wǎng)絡的安全。

防火墻（Firewall），是一種硬件設備或軟件系統(tǒng)，主要架設在內部網(wǎng)絡和外部網(wǎng)絡間，為了防止外界惡意程式對內部系統(tǒng)的破壞，或者阻止內部重要信息向外流出，有雙向監(jiān)督功能。藉由防火墻管理員的設定，可以彈性的調整安全性的等級。防火墻總體上分為包過濾、應用級網(wǎng)關和代理服務器等幾大類型。包含如下幾種核心技術：

1、包過濾技術

包過濾技術是一種簡單、有效的安全控制技術，它工作在網(wǎng)絡層，通過在網(wǎng)絡間相互連接的設備上加載允許、禁止來自某些特定的源地址、目的地址、TCP端口號等規(guī)則，對通過設備的數(shù)據(jù)包進行檢查，限制數(shù)據(jù)包進出內部網(wǎng)絡。

包過濾的最大優(yōu)點是對用戶透明，傳輸性能高。但由于安全控制層次在網(wǎng)絡層、傳輸層，安全控制的力度也只限于源地址、目的地址和端口號，因而只能進行較為初步的安全控制，對于惡意的擁塞攻擊、內存覆蓋攻擊或病毒等高層次的攻擊手段，則無能為力。

2、應用代理技術

應用代理防火墻工作在OSI的第七層，它通過檢查所有應用層的信息包，并將檢查的內容信息放入決策過程，從而提高網(wǎng)絡的安全性。應用網(wǎng)關防火墻是通過打破客戶機／服務器模式實現(xiàn)的。每個客戶機／服務器通信需要兩個連接：一個是從客戶端到防火墻，另一個是從防火墻到服務器。另外，每個代理需要一個不同的應用進程，或一個后臺運行的服務程序，對每個新的應用必須添加針對此應用的服務程序，否則不能使用該服務。所以，應用網(wǎng)關防火墻具有可伸縮性差的缺點。

3、狀態(tài)檢測技術

狀態(tài)檢測防火墻工作在OSI的第二至四層，采用狀態(tài)檢測包過濾的技術，是傳統(tǒng)包過濾功能擴展而來。狀態(tài)檢測防火墻在網(wǎng)絡層有一個檢查引擎截獲數(shù)據(jù)包并抽取出與應用層狀態(tài)有關的信息，并以此為依據(jù)決定對該連接是接受還是拒絕。這種技術提供了高度安全的解決方案，同時具有較好的適應性和擴展性。狀態(tài)檢測防火墻一般也包括一些代理級的服務，它們提供附加的對特定應用程序數(shù)據(jù)內容的支持。

狀態(tài)檢測防火墻基本保持了簡單包過濾防火墻的優(yōu)點，性能比較好，同時對應用是透明的，在此基礎上，對于安全性有了大幅提升。這種防火墻摒棄了簡單包過濾防火墻僅僅考察進出網(wǎng)絡的數(shù)據(jù)包，不關心數(shù)據(jù)包狀態(tài)的缺點，在防火墻的核心部分建立狀態(tài)連接表，維護了連接，將進出網(wǎng)絡的數(shù)據(jù)當成一個個的事件來處理。主要特點是由于缺乏對應用層協(xié)議的深度檢測功能，無法徹底的識別數(shù)據(jù)包中大量的垃圾郵件、廣告以及木馬程序等等。

4、完全內容檢測技術

完全內容檢測技術防火墻綜合狀態(tài)檢測與應用代理技術，并在此基礎上進一步基于多層檢測架構，把防病毒、內容過濾、應用識別等功能整合到防火墻里，其中還包括IPS功能，多單元融為一體，在網(wǎng)絡界面對應用層掃描，把防病毒、內容過濾與防火墻結合起來，這體現(xiàn)了網(wǎng)絡與信息安全的新思路，(因此也被稱為“下一代防火墻技術”)。它在網(wǎng)絡邊界實施OSI第七層的內容掃描，實現(xiàn)了實時在網(wǎng)絡邊緣布署病毒防護、內容過濾等應用層服務措施。完全內容檢測技術防火墻可以檢查整個數(shù)據(jù)包內容，根據(jù)需要建立連接狀態(tài)表，網(wǎng)絡層保護強，應用層控制細等優(yōu)點，但由于功能集成度高，對產(chǎn)品硬件的要求比較高。

保護脆弱的服務通過過濾不安全的服務，F(xiàn)irewall可以極大地提高網(wǎng)絡安全和減少子網(wǎng)中主機的風險。例如，F(xiàn)irewall可以禁止NIS、NFS服務通過，F(xiàn)irewall同時可以拒絕源路由和ICMP重定向封包?？刂茖ο到y(tǒng)的訪問Firewall可以提供對系統(tǒng)的訪問控制。如允許從外部訪問某些主機，同時禁止訪問另外的主機。例如，F(xiàn)irewall允許外部訪問特定的Mail Server和Web Server。

集中的安全管理Firewall對企業(yè)內部網(wǎng)實現(xiàn)集中的安全管理，在Firewall定義的安全規(guī)則可以運行于整個內部網(wǎng)絡系統(tǒng)，而無須在內部網(wǎng)每臺機器上分別設立安全策略。Firewall可以定義不同的認證方法，而不需要在每臺機器上分別安裝特定的認證軟件。外部用戶也只需要經(jīng)過一次認證即可訪問內部網(wǎng)。

增強的保密性使用Firewall可以阻止攻擊者獲取攻擊網(wǎng)絡系統(tǒng)的有用信息，如Figer和DNS。記錄和統(tǒng)計網(wǎng)絡利用數(shù)據(jù)以及非法使用數(shù)據(jù)Firewall可以記錄和統(tǒng)計通過Firewall的網(wǎng)絡通訊，提供關于網(wǎng)絡使用的統(tǒng)計數(shù)據(jù)，并且，F(xiàn)irewall可以提供統(tǒng)計數(shù)據(jù)，來判斷可能的攻擊和探測。策略執(zhí)行Firewall提供了制定和執(zhí)行網(wǎng)絡安全策略的手段。未設置Firewall時，網(wǎng)絡安全取決于每臺主機的用戶。