防火墻通常位于一個網(wǎng)絡(luò)的網(wǎng)關(guān)服務(wù)器的位置,它可以保護一個企業(yè)的私有網(wǎng)絡(luò)資源免受外部網(wǎng)絡(luò)的影響。防火墻在IT安全中扮演著一個中心的角色,它面向外部世界對企業(yè)網(wǎng)絡(luò)起著重要的保護作用。

　　雖然現(xiàn)在有幾種防火墻，但這個詞基本上可被定義為存儲在網(wǎng)關(guān)服務(wù)器上的相關(guān)安全程序的組合，這些程序共同地保護網(wǎng)絡(luò)資源免受其它網(wǎng)絡(luò)用戶的訪問或破壞。

　　從其形式上來看，有兩大種類，一是硬件防火墻，二是軟件防火墻。硬件防火墻是一個擁有多個端口的金屬盒子，它是一套預(yù)裝有安全軟件的專用安全設(shè)備，一般采用專用的操作系統(tǒng)。而軟件防火墻通常可以安裝在通用的網(wǎng)絡(luò)操作系統(tǒng)(如Windows和Linux)上。

　　根據(jù)數(shù)據(jù)通信發(fā)生的位置，可將防火墻分為幾種類型，一是網(wǎng)絡(luò)層防火墻,它也被稱為數(shù)據(jù)包過濾器，它運行在TCP/IP堆棧結(jié)構(gòu)的第三層，在數(shù)據(jù)包與所建立的規(guī)則相匹配時才準(zhǔn)許其通過。這意味著防火墻根據(jù)預(yù)先定義的規(guī)則接受或拒絕IP數(shù)據(jù)包。如下圖1所示：
 

        通過數(shù)據(jù)過濾，這種防火墻仔細(xì)檢查每個數(shù)據(jù)包的協(xié)議和地址信息，卻不考慮其內(nèi)容和上下文數(shù)據(jù)。數(shù)據(jù)包過濾防火墻的主要優(yōu)點是其相對而言的簡單性、低成本、易于部署等特性。Windows某些版本中的防火墻就屬于此類型。

　　應(yīng)用層防火墻：它運行在TCP/IP堆棧結(jié)構(gòu)的最高層，它可以截獲一個應(yīng)用程序的所有數(shù)據(jù)包。大體上，應(yīng)用層防火墻可以阻止所有外部的惡意通信達(dá)到受保護的機器。通過這種方法，防火墻實際上代表了一個應(yīng)用程序代理，它支持與遠(yuǎn)程系統(tǒng)的所有數(shù)據(jù)交換。其主要觀念是要使防火墻后的服務(wù)對遠(yuǎn)程系統(tǒng)不可見。

　　應(yīng)用層防火墻根據(jù)特定的規(guī)則集接受或拒絕數(shù)據(jù)通信。例如，防火墻準(zhǔn)許某些命令進入服務(wù)器而禁用其它命令。這種技術(shù)還可以被用于限制特定文件類型的訪問，并可以對獲得授權(quán)和未獲得授權(quán)的用戶提供不同的訪問級別。那些要求詳細(xì)的數(shù)據(jù)監(jiān)視和登錄信息的用戶喜歡應(yīng)用層防火墻，因為它不會影響性能。IT管理員可以設(shè)置應(yīng)用層防火墻，在預(yù)先定義的條件發(fā)生后，它可以激發(fā)警告。應(yīng)用層網(wǎng)關(guān)一般部署在一個獨立的與網(wǎng)絡(luò)連接的計算機上，通常它稱為一個代理服務(wù)器。代理服務(wù)器屬于一種特殊的應(yīng)用層防火墻，它使得從外部網(wǎng)絡(luò)破壞內(nèi)部資源更加困難，使得對一個內(nèi)部系統(tǒng)的濫用或誤用不會被防火墻外部的攻擊者造成安全損害。

　　電路級防火墻：這種防火墻并不是簡單地接受或拒絕數(shù)據(jù)包，它還可以根據(jù)一套可配置的規(guī)則來決定一個連接是否合法。如果通過檢查，防火墻就打開一個會話，并準(zhǔn)許與經(jīng)過認(rèn)證的源進行數(shù)據(jù)通信。防火墻也可以限制這種通信的時間長短。此外，防火墻還可以執(zhí)行源IP地址和端口、目標(biāo)IP地址和端口、使用的協(xié)議、用戶ID、口令等的驗證。它也可以執(zhí)行數(shù)據(jù)包過濾。

　　電路防火墻的缺點是其運行在傳輸層上，因此它可能需要對傳輸功能設(shè)計的重大修改，這就會影響網(wǎng)絡(luò)性能。此外，這種防火墻要求一些專業(yè)性強的安裝和維護技術(shù)。

　　狀態(tài)檢查多級防火墻：有人稱之為最好的防火墻，這種防火墻的目的是為了將多種防火墻的最好特性結(jié)合起來。狀態(tài)檢查多級防火墻可以執(zhí)行網(wǎng)絡(luò)層的數(shù)據(jù)包過濾，同時又可以識別和處理應(yīng)用層的數(shù)據(jù)。這種防火墻可以提供更高級的網(wǎng)絡(luò)保護，不過其價格也相對較高。

　　企業(yè)一般根據(jù)其需要和喜好來選擇防火墻。通常情況下，購買防火墻會考慮：防火墻的體系結(jié)構(gòu)、所需要的并發(fā)防火墻會話的數(shù)量、所需要的外部訪問的范圍和類型、所需要的VPN協(xié)議的類型和數(shù)量、需要保護的并發(fā)VPN的數(shù)量、管理用戶接口的種類(屬于命令行接口、圖形用戶接口還是Web界面)，以及對高可用性特性的需要。

　　還要注意，多數(shù)防火墻廠商都提供了附加功能，這些附加功能可以擴展防火墻的功能。這種特性有許多，如反病毒功能、入侵防御、防火墻的使有和活動報告。有些防火墻已經(jīng)具備了統(tǒng)一威脅管理(UTM)的特點。考慮到現(xiàn)在的網(wǎng)絡(luò)威脅層出不窮，企業(yè)最好購買一種可以升級從而增強性能又能適應(yīng)新情況、具備新性能的防火墻。