随着Internet的飞速发展，越来越多的企业通过Internet上的信息服务拓宽业务范围，为用户提供在线服务、技术支持。但随之而来的网络安全问题影响了Internet的发展，因为TCP/IP协议主要考虑了数据传输的可靠性和完整性，很少考虑网络的安全性，当企业网Intranet互联至Internet时，其主机可能受到来自Internet上的任何一个地方的攻击，一台主机一旦被攻破，将会殃及其他的主机。但又不可能对企业网的每台主机分别进行保护，于是为了保护整个企业网，便出现了防火墙技术。

　　1、防火墙的理念和体系

　　为确保信息安全，避免来自网络的威胁与攻击，防止对网络资源的不正当存取，保护信息资源而采取的一种有效手段就是设置防火墙。

　　所谓防火墙有理论上和物理上两种含义：理论上防火墙概念指的是提供对网络的存取控制功能，保护信息资源，避免不正当的存取。从物理上解释，防火墙是在Internet和Intranet间设置的一种过滤器、限制器。

　　在Internet和企业局域网之间接续多宿主机，作为代理中继，可以构成多宿主机型防火墙。多宿主机指的是至少具有两个网络接口的通用计算机。可以利用多宿主机建立防火墙，将多宿主机的一部分端口与Internet连接，另一部分端口与企业网连接，同时屏蔽TCP/IP的信息传递功能。在Internet和企业网之间禁止信息直接流通，流通的信息要经过防火墙的控制和检查。

　　如果有屏蔽子网限制来自外部的存取，那么对堡垒主机的攻击就不会影响到内部网。堡垒主机与分组过滤路由器组合成了功能较强的防火墙。堡垒主机指的是在企业网中暴露给Internet从而受到来自Internet攻击的机器，它容易受到攻占，所以需要加强对它的安全保护措施以防止对它的攻击。堡垒主机通常是防火墙的一个构件，它应该具有髙度的安全性。

　　2、防火墙的优点与用途

　　目前的防火墙有很多优点，但也有一定的缺点。理想的防火墙应该具有高度安全性、高度透明性及良好的网络性能，而这些特性本身是相互制约、相互影响的。因此用户可根据实际情况选择设计满足自己网络安全需要的防火墙。防火墙发展方向之一就是设计融合分组过滤和代理(Proxy)范围优先的新型防火墙。

　　①防火墙可以作为内部网络的安全屏障。

　　②防火墙限制了Intranet对Internet的暴露程度，避免了由于Internet的安全问题而对Intranet的影响。

　　③防火墙是设置网络地址翻译器NAT(NetworkAddressTranslator)的最佳位置。随着Internet的迅猛发展，目前使用的网际协议IP地址资源发生了地址枯竭危机，NAT是应付这种危机的有效方法之一。

　　Internet防火墙是这样的(一组)系统:它能增强机构内部的安全性，决定哪些内部服务可以被外界访问，外界的哪些人可以访问内部的哪些服务以及哪些外部服务可以被内部人员访问。要使一个防火墙有效，所有来往在Internet上的信息都必须经过防火墙的过滤、检査及存取控制，并且防火墙本身也必须能够免于渗透，但遗憾的是，防火墙系统一旦被攻击者突破或迂回，就不能提供任何的保护了。

　　防火墙负责管理Internet和内部网络之间的访问控制。如果没有防火墙，内部网络上的每个结点都暴露给Internet上的其他主机，则极易受到攻击。这就意味着内部网络的安全性要由每一个主机的安全程度来决定。

　　Internet允许网络管理员定义一个中心“扼制点”来防止黑客进入内部网络。在防火墙上很容易监视网络的运行状态，发现情况后及时报警，这就要求网络管理员必须审计和记录所有通过防火墙的重要信息。