可以说计算机网络已成为企业赖以生存的命脉，企业内部通过Inreanet进行管理、运行，同时要通过Inreanet从异地取回重要数据，以及客户、营运商、移动用户、异地员工访问内部网络。可是开放的Inreanet带来各式各样的威胁，因此，企业必须加筑安全 的的屏障，把威胁拒之门外，对内网加以隔离，把内网保护起来。对内网保护可以采取多种方式，最常用的就是防火墙。

防火墙的英文名是“FireWall”，目前一种重要的网络保护设备。人们借助了建筑上的概要，在人们建设和使用木制结构房屋的时候，为了使“城门失火”不致“殃及池鱼”，将坚固的石头堆砌在房屋周围作为屏障，进一步防止火灾的发生和蔓延，这种防护结构筑物被称为防火墙。在现在的信息世界里，由计算机硬件或软件系统构成防火墙来保护敏感的数据不被盗窃和篡改。

从专业角度讲，防火墙是设置在可信的企业内部网和不可信任的企业内部网和不可信任的公共网或网络安全或之间的一系列部件的组合，是建立在现代通信网络技术和信息安全技术基础上的应用性安全技术。防火墙是目前网络安全领域认可程度最高、应用范围最广的网络安全技术。

在逻辑上，防火墙是一个分离器，一个限制器，也是一个分析器，有效地监控了内部网和Intrnet之间的任何活动，保证了内部网网络的安全。典型的防火墙具有以下3个方面的基本特征。

1、内部网络和外部网络之间的所有网络数据流都必须经过防火墙。

防火墙安装在信任网络【内部网诺】和非信任网络【外部网络】之间，通过防火墙可以隔离非信任网络【一般指的是Internet】与信任网络【一般指的是内部局域网】的连接，同时不会妨碍人们对非信任网络的访问。

内部网络和外部网络之间的所有网络数据流都必须经过防火墙所处网络位置的特性，同时也是一个前提。因为只有防火墙是内、外部网络之间通信的唯一通道，才可以全面、有效的数据流，实现对进，出内部网络的服务和访问的审计和控制。

2、只有符合安全策略的数据流才可能通过防火墙。

防火墙最基本的功能是根据企业的安全政策控制【允许、拒绝、检测】出入网络的信息流，确保网络流量的合法性，并在此前提下将网诺的流量快速地从一条链路转发到另外的链路上。

3、防火墙自身具有非常强的抗攻击能力。

防火墙自身具有非常强的抗攻击能力是担当企业内部网络安全防护重任的先决条件。防火墙处于网络边缘，就像一个边界卫士一样，每时每刻都要面对黑客入侵，这样就要求防火墙自身要具有非常强的抗击入侵本领。

简单而言，防火墙是位于一个或多个安全的内部网络和非安全的外部网络之间进行网络访问控制的网络设备。防火墙的目的是防止不期望的或未授权的用户和主机访问内部网络，确保内部网络正常、安全地运行。通俗来说，防火墙决定了哪些内部服务可以被外界访问，外界的那些人可以访问内部的服务，以及那些外部服务可以被外界内部服务访问。防火墙必须只允许授权的数据通过，而且防火墙本身也必须能够免于渗透。

防火墙除了具备上述3个基本特征外，一般来说，还有以下几种功能。

·针对用户指定各种访问控制。

·对网络存取和访问进行监控审

·支持VPN功能。

·支持网络地址转换。

·支持的身份证证等。

通常，人们认为防火墙可以保护处于其身后的网络不受外界的侵袭和干扰。但随着网络技术的发展，网络结构日渐复杂，传统防火墙在使用过程中暴露出以下局限性。

·防火墙不能防范不经过防火墙的攻击。没有经过防火墙的数据，防火墙无法检查，如各别内部网络用户绕过防火墙，拨号访问等。

·防火墙不能解决来自内部网络的攻击和安全问题，

·防火墙不能防止策略配置不当或错误配置引起的安全威胁。防火墙是一个被动的安全策略执行设备，就像门卫一样，要根据政策规定来执行安全，不能自作主张。

·防火墙不能防止利用标准网络协议中的缺陷进行的攻击。一旦防火墙准许某些标准网络协议，就不能防止利用该协议中的缺陷进行的攻击。

·防火墙不能防止的用服务器系统漏洞所进行的攻击。黑客通过防火墙准许的访问端口对该服务器的漏洞进行攻击，防火墙不能防止。

·防火墙不能防止受病毒感染的文件的传输。防火墙本身不具备查杀病毒的功能，即使集成啦第三方防病毒软件，也没有一种软件可以查杀所有病毒。

·防火墙不能防止数据夹带式攻击。当有些表面看来无害的数据邮寄或复制到内部网的主机上并被执行时，可能会发生数据驱动式的攻击。

·防火墙不能防止可接触的人为或自然的破坏。防火墙是一个安全设备，但防火墙本身必须存在于一个安全的地方。

所有，认为在Internet入口处设置防火墙系统就足以保护企业网络安全的相符时不对的，也正是这些因素引起了人们对入侵检测技术的研究及开发。入侵防御系统（IPS)可以弥补防火墙的不足，为网络提供实时的监控，并且在发现入侵的出去采取相应的防护手段，IPS系统作为必要附加手段，已经为大多数组织机构的安全结构所接受。

目前市场的防火墙产品非常多，划分的标准很多，从不同的角度分类如下。

·按性能分类：百兆级防火墙和千兆级防火墙

·按形式分类：软件防护墙和硬件防火墙

·按保护对象分类：单机防火墙和网络防火墙

·按体系结构分类：双宿主主机、被屏蔽主机、被屏蔽子网体系结构。

·按技术分类：包过滤防火墙、应用代理防火墙、状态检测防火墙和复合防火墙。

·按CPU架构分类：通用CPU、NP(NetworkProcessor,网络处理器）、ASIC（Application Specific IntegratedCircuit,专用集成电路）架构的防火墙。

包括过滤防火墙第一代防火墙技术几乎与路由器同时出现，采用了包过滤（Packet Filter）技术。由于多数路由器中本身就包括有分组过滤功能，故网络访问控制可通过路由器控制来实现，从而使具有分组过滤功能的路由器成为第一代防火墙产品。

包过滤防火墙是用一个软件查看所流经的数据包的包头（header），由此决定整个包的命运。它可能会决定丢弃（DROP）这个包，可能会接受（ACCEPT）这个包（让这个包通过），也可能执行其它更复杂的动作。

在Linux系统下,包过滤功能是内建于核心的（作为一个核心模块，或者直接内建），同时还有一些可以运用于数据包之上的技巧，不过最常用的依然是查看包头以决定包的命运。

包过滤防火墙将对每一个接收到的包做出允许或拒绝的决定。具体地讲，它针对每一个数据报的报头，按照包过滤规则进行判定，与规则相匹配的包依据路由信息继续转发，否则就丢弃。包过滤是在IP层实现的，包过滤根据数据包的源IP地址、目的IP地址、协议类型（TCP包、UDP包、ICMP包）、源端口、目的端口等报头信息及数据包传输方向等信息来判断是否允许数据包通过。

包过滤也包括与服务相关的过滤，这是指基于特定的服务进行包过滤，由于绝大多数服务的监听都驻留在特定TCP/UDP端口，因此，为阻断所有进入特定服务的链接，防火墙只需将所有包含特定TCP/UDP目的端口的包丢弃即可。

第二代防火墙工作在应用层，能够根据具体的应用对数据进行过滤或者转发，也就是人们常常说的代理服务器，应用网关，这样的防火墙彻底隔绝内部网络与外部网络的直接通信，内部网络用户对外部网络的访问变成防火墙对外部网络的访问，然后由防火墙把访问的结果转发给内部网络用户。

这种防火墙通过一种代理（Proxy）技术参与到一个TCP连接的全过程。从内部发出的数据包经过这样的防火墙处理后，就好像是源于防火墙外部网卡一样，从而可以达到隐藏内部网结构的作用。这种类型的防火墙被网络安全专家和媒体公认为是最安全的防火墙。

1992年USB信息科技院的BOb Braden开发出了基于动态包过滤(Dynamic Packet Filter)技术的防火墙，也就是目前所说的状态检测(StateInspection)技术。1994年，以色列的CheckPoint公司开发出了第一个采用这种技术的商品化的产品。据TCP，每个可靠连接到借力需要通过三次握手，数据包并不是独立的，而是节后之间有着密切的状态联系，状态检测防火墙就是基于这种连接过程，根据数据包状态变化来决定访问控制的策略。

状态检测防火墙采用了状态检测包过滤的技术，是传统包过滤上的功能扩展。状态检测防火墙在网络层有一个检查引擎截获数据包并抽取出与应用层状态有关的信息，并以此为依据决定对该连接是接受还是拒绝。这种技术提供了高度安全的解决方案，同时具有较好的适应性和扩展性。状态检测防火墙一般也包括一些代理级的服务，它们提供附加的对特定应用程序数据内容的支持。状态检测技术最适合提供对UDP协议的有限支持。它将所有通过防火墙的UDP分组均视为一个虚连接，当反向应答分组送达时，就认为一个虚拟连接已经建立。状态检测防火墙克服了包过滤防火墙和应用代理服务器的局限性，不仅仅检测“to”和“from”的地址，而且不要求每个访问的应用都有代理。

这是第三代防火墙技术，能对网络通信的各层实行检测。同包过滤技术一样，它能够检测通过IP地址、端口号以及TCP标记，过滤进出的数据包。它允许受信任的客户机和不受信任的主机建立直接连接，不依靠。

与应用层有关的代理，而是依靠某种算法来识别进出的应用层数据，这些算法通过己知合法数据包的模式来比较进出数据包，这样从理论上就能比应用级代理在过滤数据包上更有效。状态监视器的监视模块支持多种协议和应用程序，可方便地实现应用和服务的扩充。此外，它还可监测RPC和UDP端口信息，而包过滤和代理都不支持此类端口。这样，通过对各层进行监测，状态监视器实现网络安全的目的。目前，多使用状态监测防火墙，它对用户透明，在OSI最高层上加密数据，而无需修改客户端程序，也无需对每个需在防火墙上运行的服务额外增加一个代理。

1998年NAI(美国网络联盟公司）给出了一种自适应代理（Adaptive Proxy)技术，并在其复合型防火墙产品GauntletFirewall for NT中得以实现，复合型防火墙结合了代理防火墙的安全性和包过滤防火墙的高速度等优点，实现第3层—第7层自适应的数据过滤。现在一般也称之为复合型防火墙。

复合型防火墙，基于自主研发的智能IP识别技术，在防火墙内核对应用和协议进行高效分组识别，实现对应用的访问控制。智能IP识别技术还摒弃了复合型防火墙在内核中进行缓存的技术方式，创新的采用零拷贝流分析、特有快速搜索算法等技术加快会话组织和规则定位的速度，突破了复合型防火墙效率较低的瓶颈。