介绍

　　防火墙是为防止非法访问或保护专用网络而设计的一种系统。防火墙可用于硬件、软件或二者的组合。防火墙常常被用于阻止非法的互联网用户访问接入互联网的专用网络。所有的数据在进入或离开内部网络时都要经过防火墙，防火墙会检查每个数据包，并且阻止那些不符合指定安全标准的数据包。

　　一般来说，配置防火墙是为了防止外部无权限的交互式登录。这有助于防止“黑客”从机器登录到你的网络。更复杂的防火墙能够阻止从外部到内部的流量，但允许内网用户更自由的与外部交流。

　　防火墙非常重要因为它可以提供单一的阻止点,在这一点上可以采取安全和审计措施。防火墙提供了一个重要的记录和审计功能；它们经常为管理员提供关于已处理过的流量类型和数值的摘要。这是个非常重要的“点”，因为阻止点在网络中的作用相当于警卫保卫财产。

　　从理论上说，有两种类型的防火墙：
　　1.网络层防火墙
　　2.应用层防火墙
　　它们的区别可能与你所想的不一致。二者的区别取决于防火墙使用的使流量从一个安全区到另一个安全区所采用的机制。国际标准化组织（ISO）开放系统互联(OSI)模型把网络分成七层，每一层都为上一层服务。更重要的是要认识到转发机制所在的层次越低，防火墙的检查就越少。

　　网络层防火墙

　　这种类型决定了它的判定一般是基于源地址、目的地址及独立IP包中的端口。一个简单的路由器就是一个传统意义上的网络层防火墙，因为它不能做出复杂的判断，如数据包的发送目标和来源。现代的网络层防火墙变得更复杂得多，并且会随时关注通过防火墙的连接状态的信息。

　　另一个重要的不同于许多网络层防火墙的是它们可使流量直接通过，因此在使用时，你需要一个有效分配的IP地址块，或者是专用网络地址块。网络层防火墙的发展很迅速，对于用户来说几乎是透明的。

　　应用层防火墙

　　应用层防火墙通常是代理服务器运行的主机，它不允许网络之间直接的流量，并在流量通过时做详细的记录和检查。由于代理应用程序只是防火墙上运行的软件，所以可在这做大量的记录和访问控制。应用层防火墙可用于网络地址转换，是因为在应用程序有效地伪装初始连接的来源之后流量可以从一边进入，另一边出去。

　　在某些情况下，有一个应用程序的方式可能会影响防火墙的性能，并可能会使防火墙降低透明度。早期的应用层防火墙对终端用户不是特别透明，并且还可能需要进行一些培训。然而，许多现代应用层防火墙是完全透明的。与网络层防火墙相比，应用层防火墙趋于提供更细化的审计报告，实行更保守的安全模型。

　　未来的防火墙将处于网络层防火墙和应用层防火墙之间。网络层防火墙可能会逐渐意识到经过它们的信息，应用层防火墙可能会变得越来越透明。最终将会是一种在数据通过时进行记录和检查的快速分组筛选系统。