计算机网络问世以来，安全性一直是人们讨论的话题，随着计算机网络安全技术的迅速发展，网络的安全性问题也日趋严重。计算机网络系统必须采取安全措施，以鉴别合法用户和监

对于计算机网络的安全性问题，将牵涉到以下两点：

网络安全性面临的威胁

网络安全性的内容

网络安全性，是由数据的安全性和通信的安全性两部分组成的。

数据的安全性是一组程序和功能，用来阻止对数据进行非授权的泄露、转移、修改和破坏。通信安全性是一种保护措施，要求在电信中采用保密安全性、传输安全性、辐射安全性等措施，并且要求对于通信安全性信息采用物理安全性措施。通过上述各种措施，可以拒绝非授权的人员在电信中获取有价值的信息。

防火墙从本质上说是一种保护装置，是用来保护网络数据、资源和用户声誉的。

防火墙是在网络之间执行访问控制策略的一个或一组系统，原则上防火墙是由两种机制构成：一种是查阻信息流通行，另一种是允许信息流通过。本地“孤岛”式的局域网是不需要防火墙的，只有与Internet有接口相连的单位才需要防火墙。

对于内部用户，可以说企业网是“不设防”的；可对于外部用户，并没有足够的信任度，一旦从互联网进入内部网，他们可能会破坏内部主机、可能会窃取商业机密和技术资料或者修改你的重要信息，这（些）将给企业带来重大损失。防火墙的应用，首先要解决这种安全隐患。可我们不能简单地拒绝所有的接入，因为有些企业网，它的部分主机必须能够被外部用户访问以提供一些服务（如HTTP、FTP服务），因此需要正确判断何种接入可通过、何种接入应阻隔。

从逻辑上讲，防火墙是分离器、限制器、分析器。从物理角度看，各站点防火墙物理实现的方式有所不同。通常防火墙是一组硬件设备 路由器、主计算机，或者是路由器、计算机和配有适当软件的网络的多种组合。

准确来讲，防火墙是由一组对象组成的、基于策略的一种体系，而并非仅仅是某个对象（如我们熟知的商用防火墙）。下图是一个完整的防火墙系统：

给体系加上一定的规则，通常是加在路由器上，防火墙就能很好的保护内部网、同时提供足够的对公服务，包括进行电子商务。

在这种体系下，只要配置正确，就能确保内部主机间通讯的数据包不会越过内部路由器到达边缘网络，从而给内部网以更高的安全性（因为所有在边缘网及以外网络传输的数据包都有被黑客监听、截取和破解的可能）。

一些企业具有自己构造防火墙的能力，他们使用可用的软件组件和设备或自己编写一个防火墙程序。另外一些企业利用经销商提供的防火墙技术服务，例如相应的硬件和软件、开发安全策略、风险评估、安全检测和安全培训等。

尽管自己构筑防火墙具有内部人员了解防火墙设计的细节从而能够方便应用的优势。但自制防火墙需要长时间的修建、记录文档和维护，其策略管理成了网络安全人员一个费时、费力和令人头痛的问题。相比之下，购买商用防火墙是较为经济的（除非是一些有特定要求的特别部们）。商用防火墙整合了边缘网络及内部路由器，并提供堡垒机的接口（也叫非军事区接口）。

由上可知，简要的说，防火墙的主要功能是：

正如前边提到，任何在边缘网及以外网络传输的数据包都有被黑客监听、截取和破解的可能，如何保护公共用户的重要信息不被破解？为此，防火墙应能提供加密隧道，以高位的数据加密技术保证数据的可靠传输。另外还要具有阻止伪装地址的进攻，阻止端口及地址空间的探测，阻止测试网络配置情况的IP Options；其地址翻译（NAT）功能可使用户隐藏内部主机及网络真实地址，从而节省网络地址资源，又防止黑客的攻击；除此之外，有些防火墙还提供漏洞扫描及入侵检测等功能。如图示：

我们的整体防火墙方案较多，主要可分为两大类：

比较流行的有如下产品：

FireWall－1是美国网络安全公司Check Point推出的一个防火墙软件，是一个基于策略的状态检查过滤器，带有一个集成的网络地址翻译器（NAT）和过滤一般因特网协议的专用安全过滤器。目前的市场占有率最高。用户可以从一个Windows或Unix工作站上同时管理整个网络的多个防火墙。用户通过FireWall－1的管理界面，可用一个网络安全策略控制所有的防火墙以及任何一个路由器（通过访问规则和过滤器实现）。这个方法意味着安全策略对所有需要进入网络、有待管理的防火墙都是相同的，只需编辑一次。而其他产品则要求独立维护每个防火墙，这大大增加了管理员的负担和配置出错的可能性。