防火墻是設(shè)置在不同網(wǎng)絡(luò)或網(wǎng)絡(luò)安全域之間的一系列不見的組合。它可以通過檢測，限制，更改跨越防火墻的數(shù)據(jù)流，盡可能的對外部屏蔽網(wǎng)絡(luò)內(nèi)部的消息，結(jié)構(gòu)和運行情況，以此來實現(xiàn)網(wǎng)絡(luò)的安全保護(hù)。

　　防火墻的設(shè)計目標(biāo)是：

　　1 進(jìn)出內(nèi)部網(wǎng)的通信量必須通過防火墻。

　　2 只有那些在內(nèi)部網(wǎng)安全策約中定義了的合法的通信量才能進(jìn)出防火墻。

　　3 防火墻自身應(yīng)該防止?jié)B透。

　　防火墻能有效的防止外來的入侵，它在網(wǎng)絡(luò)系統(tǒng)中的作用是：

　　1 控制進(jìn)出網(wǎng)絡(luò)的信息流向和信息包。

　　2 提供使用和流量的日志和審記。

　　3 隱藏內(nèi)部IP以及網(wǎng)絡(luò)結(jié)構(gòu)細(xì)節(jié)。

　　4 提供虛擬專用網(wǎng)功能。

　　通常有兩種設(shè)計策約：允許所有服務(wù)除非被明確禁止;禁止所有服務(wù)除非被明確允許。

　　防火墻實現(xiàn)站點安全策約的技術(shù)：

　　3 服務(wù)控制。確定在圍墻外面和里面可以訪問的INTERNET服務(wù)類型。

　　4 方向控制。啟動特定的服務(wù)請求并允許它通過防火墻，這些操作具有方向性。

　　5 用戶控制。根據(jù)請求訪問的用戶來確定是或提供該服務(wù)。

　　6 行為控制。控制如何使用某種特定的服務(wù)。

　　影響防火墻系統(tǒng)設(shè)計，安裝和使用的網(wǎng)絡(luò)策約可以分為兩級：

　　高級的網(wǎng)絡(luò)策約定義允許和禁止的服務(wù)以及如何使用服務(wù)。

　　低級的網(wǎng)絡(luò)策約描述了防火墻如何限制和過濾在高級策約中定義的服務(wù)。