因为要进行电子交易，企业不得不把内部网络连接到Internet上，这意味着与网上成千上万的计算机建立了通路，为了维护企业内部网络和信息的安全，就需要有一种工具和技术对流入流出的数据和服务进行严格控制：即只允许合乎规定的数据和服务在内部网和
Internet之间流动，防火墙正是为了满足这一需求而设计的技术。
 1.  防火墙的基本概念
    防火墙是指由软件和硬件设备（一般是计算机或路由器等）组合而成，处于企业内部网与外部网之间，用于加强内外之间安全防范的一个或一组系统。防火墙的实质是一组硬件和软件的组合，位于企业内部网的门户处，是数据和服务进出内部网络的唯一通路，通过在防火墙上进行规则的设置来对进出的内容进行检查，从而维护内部网的安全。
   防火墙的设置有两条原则：一是凡是未被准许的就不准通过；另一条原则则与它正好相反，它坚持凡是未被禁止的就可以通过。对第一种原则来说，防火墙首先封锁所有的数据和信息，对它们进行审查，符合它的规定的就予以放行，这种方法的安全性很高，代价是网络效率的降低及可通过数据范围的减小，会有一些本来是安全的信息和服务被拒绝。而第二条原则的做法是先对所有内容放行，再逐项对被禁止的内容进行剔除，这种方法的安全风险较大，但网络的灵活性却得到了保证。两种防火墙设置原则各有利弊，企业需要根据自己的需求做出选择。
 2. 防火墙的主要作用
 防火墙与内部网的关系就象一栋建筑物与它具有的唯一一扇门之间的关系（要记住只有一扇门，没有后门或窗户可以进出），这扇门有严格的进出规定，只有符合规定的东西才可以进来或出去，在现实世界里，我们靠手工翻看人们的包裹或用仪器来进行扫描，在
Internet上我们利用防火墙来完成进出检查的功能：防火墙迫使所有的连接都必须通过它来完成，通过对来往数据来源或目的地，数据的格式或内容进行审查来决定是否允许该数据进出；也可以以代理人的形式（即内外数据交换不能直接进行而必须经过防火墙的转交，在转交前要进行检查，只有符合条件的才予以转交）避免内外网络之间直接的联系，从而达到保护内部网络安全的目的。
   防火墙的主要作用一般包括以下几点：
 (1) 通过要求登录帐号和密码或通过对IP地址的识别等方法限制非法用户进入企业内部网络；
 (2) 通过在防火墙上设置过滤规则来过滤掉不符合规定的数据或限制提供/接受的服务类型；
 (3) 通过访问记录可以对网络威胁状况进行分析。
 3．不同类型的防火墙
 技术人员和专家们对于防火墙有各种不同的分类方法，本章只介绍几种应用的最广泛的防火墙：包过滤型防火墙，应用级网关和代理服务器。
 (1) 包过滤型防火墙

 包过滤型防火墙中所说的包是指数据在Internet上传输的基本单位，当我们在Internet上发出数据时，该数据会被分割为一个一个的传输单位，也就是包，在该数据包的头部，会包含其源地址，目的地址，所用的TCP端口等信息，该数据包在不同的路由器之间进行转发，直到其到达目的地。包过滤型防火墙就被安装在这些路由器上，它通过在路由器上设置过滤逻辑，监测通过数据包包头的地址，端口等信息，符合过滤逻辑的就予以放行，否则就拒绝。包过滤型防火墙的工作原理可以用图3-2表示。

 几乎所有的商用路由器都提供此项功能，因而该种防火墙的设置是最简便易行的，据统计数字数字表明，全世界80%的网络防火墙都是该种类型的。

  包过滤防火墙的优点是简单易行，但是这种防火墙并不能完全有效地防范非法攻击，非法入侵者比较容易利用电子欺骗来蒙混过关，而一旦防火墙被突破，整个网络都会暴露在互联网上。另外定义完备的过滤规则也比较困难，即使当时定义了比较完善的规则，但互联网每天都在发生一些新的变化，需要对过滤规则进行动态的维护和更新。包过滤型网关还有一个主要的缺陷是不能对进出网络的信息留下记录，从而无法知道是否有人在企图攻击你的网络。
 (2)  应用级网关
 应用级网关与包过滤型网关比较类似的一点是它们都通过设置过滤条件来限制数据和服务的进出，但应用级网关是在网络应用层上工作，比包过滤型防火墙工作的网络层高了两个层次，因而可以完成更为复杂的任务，例如可以针对不同的服务协议设置不同的过滤条件。同时应用级网关具备登记和审核功能，可以对通过它的信息和服务进行记录，形成分析报告。
  从以上描述的包过滤型防火墙和应用级网关的功能我们可以得出这样得结论：两者都是使用“筛子”的原理进行工作，包过滤型防火墙比较粗线条，而且筛孔均匀一致，但“筛过即忘”，没有记录；应用级网关则依靠更强的“理解能力”把筛孔做得大小不均，对不同的“过客”采用不同的标准，对症下药，且“人过留名”，从而比包过滤型防火墙更安全。
 应用级网关的缺陷是由于针对不同的协议和应用要设置不同的代理软件，因而实现起来比较复杂，同时效率也不如包过滤型防火墙那么高。与包过滤型防火墙不同，实际中的应用网关通常安装在专用工作站系统上，而不是在路由器上。
 (3) 代理服务器
 数据包过滤和应用网关防火防火墙有一个共同的缺点，就是它们依靠过滤条件来判定是否允许数据和服务通过，因此满足条件的数据和服务可以直接在企业网络内外来去，这一缺点可能会造成非法用户的入侵和攻击。针对这一缺点，人们开发了代理服务器技术
 代理服务器防火墙是将所有跨越防火墙的网络通信链路在应用层上划分为两段，外部计算机的网络链路只能到达代理服务器，要访问内部的数据和服务只能通过代理服务器来代为执行，然后把执行的结果转给外部用户；对内部用户也采用类似的方法，从而起到了隔离内外网络的作用，我们可以把代理服务器的工作过程用图3-3来表示。另外，代理服务器也对过往的数据包进行分析、注册登记，形成报告，同时当发现被攻击迹象时会向网络管理员发出警报，并保留攻击痕迹。
  
其中虚线表示外部对内部的访问和数据的获得，实线表示内部对外部的访问和数据的获得
 4．选用和建立适合的防火墙系统
 以上我们介绍了三种主要的防火墙类型，其中应用级网关和代理服务方式的防火墙大多是基于主机的，价格比较贵，但性能好，安装和使用也比数据包过滤的防火墙复杂，而数据包过滤防火墙具有成本低，安装和使用方便，但安全性不高的特点。 目前理想的防火墙应该具有高度安全性、高度透明性及良好的网络性能，而这些性能本身又是相互制约、相互影响。用户可根据实际情况需要，确定、选择使用满足自己网络安全需求的防火墙。企业必须认识到购买和安装了防火墙以后并不意味着可以一劳永逸，高枕无忧了。防火墙在受到攻击后可能发生严重的问题，必须有专门的技术人员进行维护。另外防火墙的设置也需要不断更新，以适应互联网日新月异的变化。 防火墙是一种比较有效的网络防护技术和手段，但我们也必须意识到，防火墙并不能对企业内部网络进行全面的保护，例如防火墙不能防范黑客或内部用户刻意的攻击，也不能避免由于帐户和密码失密而造成的危害，绝大多数的防火墙也不能躲避病毒的感染，不能对发送的信息和数据进行加密，由此可见防火墙必须要与企业整体安全防护措施、其它网络安全技术相结合才能更好地发挥作用。