定义

防火墙是指用于保护计算机网络中敏感数据信息不被窃取和篡改的计算机软硬件系统的总和，就像是设置在被保护网络和外部网络之间的一道屏障，实现网络的安全保护，以防止发生不可预测的、潜在破坏性的侵入。

我国公共安全行业标准中对防火墙的定义为：“设置在两个或多个网络之间的安全阻隔，用于保证本地网络资源的安全，通常包含软件部分和硬件部分的一个系统或多个系统的组合”。

防火墙必须满足两个基本需求：保证内部网的安全性，保证内部网同外部网间的联通性，两者之间缺一不可。既不能因为安全性而牺牲联通性，也不能因为联通性而牺牲安全性。

防火墙类型

根据防火墙所采用的技术不同，可以将防火墙分为两种基本类型：包过滤型防火墙、代理型防火墙。

包过滤型防火墙

包过滤型防火墙是防火墙中的初级产品，一般工作在网络层，其技术依据是网络中的分组传输技术，通过读取数据包中的源地址、目标地址、 TCP/UDP 源端口和目标端口等地址信息来判断这些“包”是否来自可信任的安全站点，一旦发现来自危险站点的数据包，防火墙便会将这些数据拒之门外。

包过滤技术简单实用，实现成本较低，在应用环境比较简单的情况下，能够以较小的代价在一定程度上保证系统的安全，但是无法识别基于应用层的恶意侵入，如恶意的.Java 小程序以及电子邮件中附带的病毒，且容易被有经验的黑客伪造的“安全” IP 地址所欺骗。

代理型防火墙

代理型防火墙分为应用层网关、电路层网关。应用层网关常常被称作代理服务器，是指代理内部网络用户与外部网络服务器进行信息交换的程序，工作于应用层，能实现比包过滤型更严格的安全策略。代理服务器通常运行在两个网络之间，它对于客户机来说像是一台真正的服务器，而对外界的服务器来说，它又是一台真正的客户机。由于外部系统与内部服务器之间没有直接的数据通道，外部的恶意侵害也就很难伤害到企业内部网络系统。最常用的应用层网关是 HTTP 代理服务器，端口通常为80 或8080。

代理服务器的安全性较高，可以针对应用层进行侦测和扫描，对付基于应用层的侵入和病毒都十分有效，但对系统的整体性能有较大的影响，而且代理服务器必须针对客户机可能产生的所有应用类型逐一进行设置，大大增加了系统管理的复杂性。

电路层网关工作于传输层，在建立连接后，于内、外网络主机之间建立一个虚拟电路进行通信，将经过防火墙的网络通信链路分为两段，不断地在内部连接和外部连接之间来回地复制字节，不进行任何附加的包处理或过滤，不能像应用层防火墙那样能严密地控制应用层的信息。

防火墙作用

防火墙的作用主要表现在以下几个方面：

• 防火墙是网络安全的屏障。一个防火墙（作为阻塞点、控制点）能极大地提高一个内部网络的安全性，并通过过滤不安全的服务而降低风险

• 防火墙可以强化网络安全策略。通过以防火墙为中心的安全方案配置，能将所有安全软件（如口令、加密、身份认证、审计等）配置在防火墙上。例如在网络访问时，口令系统和其他的身份认证系统完全可以不必分散在各个主机上，而集中在防火墙一身上

• 对网络存取和访问进行监控审计。如果所有的访问都经过防火墙，那么，防火墙就能记录下这些访问并做出日志记录，同时也能提供网络使用情况的统计数据。当发生可疑动作时，防火墙能进行适当的报警，并提供网络是否受到监测和攻击的详细信息

• 防止内部信息的外泄。通过利用防火墙对内部网络的划分，可实现内部网重点网段的隔离，从而限制了局部重点或敏感网络安全问题对全局网络造成的影响。再者，使用防火墙可以隐蔽易被透漏的内部细节

除了安全作用，防火墙还支持具有 Internet 服务特性的企业内部网络技术体系 VPN （虚拟专用网）。需要指出的是，防火墙不是万能的，不能认为有了防火墙就可以高枕无忧。防火墙不能防范不经过防火墙的攻击，不能防止感染了病毒的软件或文件的传输，不能防止数据驱动式攻击，也不能防范来自内部和用户的威胁