计算机的安全性历来就是人们热衷的话题之一。而随着Internet的广泛应用，人们在扩展了获取和发布能力的同时也带来信息被污染和破坏的危险。这些安全问题主要是由网络的开放性、无边界性、自由性造成的，还包括以下一些因素。

1. 计算机操作系统本身的一些缺陷。

2. 各种服务，如Telnet NFS、DNS和Active X等存在bug和漏洞。

3. TCP/IP协议几乎没有考虑安全因素。

4. 追查黑客的攻击很困难，因为攻击可能来自Internet上的任何地方。对于一组相互信任的主机，其安全程度是由最弱的一台主机所决定。一旦被攻破，就会殃及其他主机。

防火墙是网络安全的第一道门户， 可以实现内部网(信任网络)和外部不可信任网络之间，或者内部网不同网络安全区域之间的隔离与访问控制，保证网络系统及网络服务的可用性。狭义的防火墙是指安装了防火墙的软件或路由器系统，而广义的防火墙还包括整个网络的安全策略和安全行为。

出于对以上问题的考虑，应该把被保护的网络从开放的、无边界的网络环境中独立出来,成为可管理、可控制的、安全的内部网络。只有做到这一点，实现信息网络的安全才有可能，而最基本的分隔手段就是防火墙。防火墙作为网络安全的第一道门户， 可以实现内部网(信任网络)与外部不可信任网络(如因特网)之间或是内部网不同网络安全区域的隔离与访问控制，保证网络系统及网络服务的可用性，有效阻挡来自Internet的外部攻击。

防火墙是一种综合性的技术，涉及到计算机网络技术、密码技术、安全技术、软件技术、安全协议、网络标准化组织的安全规范以及安全操作系统等多方面。

近几年，防火墙发展迅速，产品众多，而且更新换代快，并不断有新的信息安全技术和软件技术等被应用在防火墙的开发上，如包过滤、代理服务器、虚拟专用网、状态监测、加密技术和身份认证等。但总的来讲，此方面的技术并不十分成熟完善，标准也不健全，实用效果并不十分理想。

文章目录

前言

防火墙概念

防火墙的组成

防火墙的基本类型

防火墙的设计

防火墙的功能和网络拓扑结构

防火墙的结构

防火墙概念

防火墙一词来自建筑物中的同名设施，从字面意思上说，它可以防止火灾从建筑物的一部，分蔓延到其他部分。Internet防火墙也要起到同样的作用，防止Internet上的不安全因素蔓延到自己企业或组织的内部网。防火墙技术早在1994年就RFC1636列为信息系统安全机制不可缺少的一项措施。

从狭义上说，防火墙是指安装了防火墙软件的主机或路由器系统;从广义上，说防火墙还包括整个网络的安全策略和安全行为。

AT&T的两位工程师William Cheswich和Steven Bellovin给出了防火墙的明确定义:

1. 所有的从外部到内部或从内部到外部的通信都必须经过它。

2. 只有内部访问策略授权的通信才能被允许通过。

3. 系统本身具有很强的高可靠性。

总之，防火墙是一种网络安全保障手段，是网络通信时执行的一种访问控制尺度,其主要目标就是通过控制入、出一个网络的权限，并迫使所有的连接都经过这样的检查，防止一个需要保护的网络遭受外界因素的干扰和破坏。在逻辑.上，防火墙是一个分离器，一个限制器，也是一个分析器，有效地监视了内部网络和Internet 之间的任何活动，保证了内部网络的安全;

在物理实现.上，防火墙是位于网络特殊位置的一组硬件设备路由器、计算机或其他特制的硬件设备。防火墙可以是一一个独立的系统，也可以在一一个进行网络互连的路由器上实现防火墙。

防火墙的发展共经过了4个阶段：

1. 基于路由器的防火墙阶段。

2. 用户化的防火墙工具套阶段。

3. 建立在通用操作系统上的防火墙阶段。

4. 具有安全操作系统的防火墙阶段。

防火墙的组成

防火墙通常包括安全操作系统(保护防火墙的源代码和文件免受入侵)、过滤器(外部过滤器保护网关不受攻击、内部过滤器在网关被攻破后提供对内网的保护)、网关(提供中继服务，辅助过滤器控制业务流)、域名服务(将内部网络的域名与Internet隔离)、函件处理(保证内网和Internet用户间的任何函件交换均需经过防火墙)五个部分。

​chibohandong