防火墻通常位于一個(gè)網(wǎng)絡(luò)的網(wǎng)關(guān)服務(wù)器的位置,它可以保護(hù)一個(gè)企業(yè)的私有網(wǎng)絡(luò)資源免受外部網(wǎng)絡(luò)的影響。防火墻在IT安全中扮演著一個(gè)中心的角色,它面向外部世界對(duì)企業(yè)網(wǎng)絡(luò)起著重要的保護(hù)作用。

　　雖然現(xiàn)在有幾種防火墻，但這個(gè)詞基本上可被定義為存儲(chǔ)在網(wǎng)關(guān)服務(wù)器上的相關(guān)安全程序的組合，這些程序共同地保護(hù)網(wǎng)絡(luò)資源免受其它網(wǎng)絡(luò)用戶的訪問(wèn)或破壞。

　　從其形式上來(lái)看，有兩大種類，一是硬件防火墻，二是軟件防火墻。硬件防火墻是一個(gè)擁有多個(gè)端口的金屬盒子，它是一套預(yù)裝有安全軟件的專用安全設(shè)備，一般采用專用的操作系統(tǒng)。而軟件防火墻通?？梢园惭b在通用的網(wǎng)絡(luò)操作系統(tǒng)(如Windows和Linux)上。

　　根據(jù)數(shù)據(jù)通信發(fā)生的位置，可將防火墻分為幾種類型，一是網(wǎng)絡(luò)層防火墻,它也被稱為數(shù)據(jù)包過(guò)濾器，它運(yùn)行在TCP/IP堆棧結(jié)構(gòu)的第三層，在數(shù)據(jù)包與所建立的規(guī)則相匹配時(shí)才準(zhǔn)許其通過(guò)。這意味著防火墻根據(jù)預(yù)先定義的規(guī)則接受或拒絕IP數(shù)據(jù)包。如下圖1所示：
 

        通過(guò)數(shù)據(jù)過(guò)濾，這種防火墻仔細(xì)檢查每個(gè)數(shù)據(jù)包的協(xié)議和地址信息，卻不考慮其內(nèi)容和上下文數(shù)據(jù)。數(shù)據(jù)包過(guò)濾防火墻的主要優(yōu)點(diǎn)是其相對(duì)而言的簡(jiǎn)單性、低成本、易于部署等特性。Windows某些版本中的防火墻就屬于此類型。

　　應(yīng)用層防火墻：它運(yùn)行在TCP/IP堆棧結(jié)構(gòu)的最高層，它可以截獲一個(gè)應(yīng)用程序的所有數(shù)據(jù)包。大體上，應(yīng)用層防火墻可以阻止所有外部的惡意通信達(dá)到受保護(hù)的機(jī)器。通過(guò)這種方法，防火墻實(shí)際上代表了一個(gè)應(yīng)用程序代理，它支持與遠(yuǎn)程系統(tǒng)的所有數(shù)據(jù)交換。其主要觀念是要使防火墻后的服務(wù)對(duì)遠(yuǎn)程系統(tǒng)不可見(jiàn)。

　　應(yīng)用層防火墻根據(jù)特定的規(guī)則集接受或拒絕數(shù)據(jù)通信。例如，防火墻準(zhǔn)許某些命令進(jìn)入服務(wù)器而禁用其它命令。這種技術(shù)還可以被用于限制特定文件類型的訪問(wèn)，并可以對(duì)獲得授權(quán)和未獲得授權(quán)的用戶提供不同的訪問(wèn)級(jí)別。那些要求詳細(xì)的數(shù)據(jù)監(jiān)視和登錄信息的用戶喜歡應(yīng)用層防火墻，因?yàn)樗粫?huì)影響性能。IT管理員可以設(shè)置應(yīng)用層防火墻，在預(yù)先定義的條件發(fā)生后，它可以激發(fā)警告。應(yīng)用層網(wǎng)關(guān)一般部署在一個(gè)獨(dú)立的與網(wǎng)絡(luò)連接的計(jì)算機(jī)上，通常它稱為一個(gè)代理服務(wù)器。代理服務(wù)器屬于一種特殊的應(yīng)用層防火墻，它使得從外部網(wǎng)絡(luò)破壞內(nèi)部資源更加困難，使得對(duì)一個(gè)內(nèi)部系統(tǒng)的濫用或誤用不會(huì)被防火墻外部的攻擊者造成安全損害。

　　電路級(jí)防火墻：這種防火墻并不是簡(jiǎn)單地接受或拒絕數(shù)據(jù)包，它還可以根據(jù)一套可配置的規(guī)則來(lái)決定一個(gè)連接是否合法。如果通過(guò)檢查，防火墻就打開(kāi)一個(gè)會(huì)話，并準(zhǔn)許與經(jīng)過(guò)認(rèn)證的源進(jìn)行數(shù)據(jù)通信。防火墻也可以限制這種通信的時(shí)間長(zhǎng)短。此外，防火墻還可以執(zhí)行源IP地址和端口、目標(biāo)IP地址和端口、使用的協(xié)議、用戶ID、口令等的驗(yàn)證。它也可以執(zhí)行數(shù)據(jù)包過(guò)濾。

　　電路防火墻的缺點(diǎn)是其運(yùn)行在傳輸層上，因此它可能需要對(duì)傳輸功能設(shè)計(jì)的重大修改，這就會(huì)影響網(wǎng)絡(luò)性能。此外，這種防火墻要求一些專業(yè)性強(qiáng)的安裝和維護(hù)技術(shù)。

　　狀態(tài)檢查多級(jí)防火墻：有人稱之為最好的防火墻，這種防火墻的目的是為了將多種防火墻的最好特性結(jié)合起來(lái)。狀態(tài)檢查多級(jí)防火墻可以執(zhí)行網(wǎng)絡(luò)層的數(shù)據(jù)包過(guò)濾，同時(shí)又可以識(shí)別和處理應(yīng)用層的數(shù)據(jù)。這種防火墻可以提供更高級(jí)的網(wǎng)絡(luò)保護(hù)，不過(guò)其價(jià)格也相對(duì)較高。

　　企業(yè)一般根據(jù)其需要和喜好來(lái)選擇防火墻。通常情況下，購(gòu)買防火墻會(huì)考慮：防火墻的體系結(jié)構(gòu)、所需要的并發(fā)防火墻會(huì)話的數(shù)量、所需要的外部訪問(wèn)的范圍和類型、所需要的VPN協(xié)議的類型和數(shù)量、需要保護(hù)的并發(fā)VPN的數(shù)量、管理用戶接口的種類(屬于命令行接口、圖形用戶接口還是Web界面)，以及對(duì)高可用性特性的需要。

　　還要注意，多數(shù)防火墻廠商都提供了附加功能，這些附加功能可以擴(kuò)展防火墻的功能。這種特性有許多，如反病毒功能、入侵防御、防火墻的使有和活動(dòng)報(bào)告。有些防火墻已經(jīng)具備了統(tǒng)一威脅管理(UTM)的特點(diǎn)?？紤]到現(xiàn)在的網(wǎng)絡(luò)威脅層出不窮，企業(yè)最好購(gòu)買一種可以升級(jí)從而增強(qiáng)性能又能適應(yīng)新情況、具備新性能的防火墻。