提到防火墻，顧名思義，就是防火的一道墻。防火墻的最根本工作原理就是數(shù)據(jù)包過濾。實際上在數(shù)據(jù)包過濾的提出之前，都已經(jīng)出現(xiàn)了防火墻。

　　數(shù)據(jù)包過濾，就是通過查看題頭的數(shù)據(jù)包是否含有非法的數(shù)據(jù)，我們將此屏蔽。

　　舉個簡單的例子，假如體育中心有一場劉德華演唱會，檢票員坐鎮(zhèn)門口，他首先檢查你的票是否對應(yīng)，是否今天的，然后撕下右邊的一條，將剩余的給你，然后告訴你演唱會現(xiàn)場在哪里，告訴你怎么走。這個基本上就是數(shù)據(jù)包過濾的工作流程吧。

　　你也許經(jīng)常聽到你們老板說：要增加一臺機器它可以禁止我們不想要的網(wǎng)站，可以禁止一些郵件它經(jīng)常給我們發(fā)送垃圾郵件和病毒等，但是沒有一個老板會說：要增加一臺機器它可以禁止我們不愿意訪問的數(shù)據(jù)包。實際意思就是這樣。接下來我們推薦幾個常用的數(shù)據(jù)包過濾工具。

　　最常見的數(shù)據(jù)包過濾工具是路由器。另外系統(tǒng)中帶有數(shù)據(jù)包過濾工具，例如LinuxTCP/IP中帶有的ipchain等windows2000帶有的TCP/IPFiltering篩選器等，通過這些我們就可以過濾掉我們不想要的數(shù)據(jù)包。

　　防火墻也許是使用最多的數(shù)據(jù)包過濾工具了，現(xiàn)在的軟件防火墻和硬件防火墻都有數(shù)據(jù)包過濾的功能。接下來我們會重點介紹防火墻的。

　　防火墻通過一下方面來加強網(wǎng)絡(luò)的安全：

　　1、策略的設(shè)置

　　策略的設(shè)置包括允許與禁止。允許例如允許我們的客戶機收發(fā)電子郵件，允許他們訪問一些必要的網(wǎng)站等。例如防火墻經(jīng)常這么設(shè)置，允許內(nèi)網(wǎng)的機器訪問網(wǎng)站、收發(fā)電子郵件、從FTP下載資料等。這樣我們就要打開80、25、110、21端口，開HTTP、SMTP、POP3、FTP等。

　　禁止就是禁止我們的客戶機去訪問哪些服務(wù)。例如我們禁止郵件客戶來訪問網(wǎng)站，于是我們就給他打開25、110，關(guān)閉80。

　　2、NAT

　　NAT，即網(wǎng)絡(luò)地址轉(zhuǎn)換，當我們內(nèi)網(wǎng)的機器在沒有公網(wǎng)IP地址的情況下要訪問網(wǎng)站，這就要用到NAT。工作過程就是這樣，內(nèi)網(wǎng)一臺機器 192.168.0.10要訪問新浪，當?shù)竭_防火墻時，防火墻給它轉(zhuǎn)變成一個公網(wǎng)IP地址出去。一般我們?yōu)槊總€工作站分配一個公網(wǎng)IP地址。

　　防火墻中要用到以上提到的數(shù)據(jù)包過濾和代理服務(wù)器，兩者各有優(yōu)缺點，數(shù)據(jù)包過濾僅僅檢查題頭的內(nèi)容，而代理服務(wù)器除了檢查標題之外還要檢查內(nèi)容。當數(shù)據(jù)包過濾工具癱瘓的時候，數(shù)據(jù)包就都會進入內(nèi)網(wǎng)，而當代理服務(wù)器癱瘓的時候內(nèi)網(wǎng)的機器將不能訪問網(wǎng)絡(luò)。

　　另外，防火墻還提供了加密、身份驗證等功能。還可以提供對外部用戶VPN的功能。