计算机网络就象交通网络一样，必须有必要的硬件设施和交通规则，如陆、海、空、天一样需要必要的规定，什么样的交通工具能通过什么样的不能通过，和应该以什么样的方式才能安全通过，防止违章、惩罚违章，防止海盗和路霸等。君不见，某某网站受到攻击或破坏，某某公司被黑客进入核心网，某某军事指挥机构被入侵等等。网络安全是网络的薄弱环节，一直以来处于被动防护状态。目前保证网络安全的有几种措施：包过滤、防火墙、入侵检测系统。本文主要谈一下防火墙。

防火墙技术，最初是针对 Internet 网络不安全因素所采取的一种保护措施。防火墙界于网络出口，将网络分成内部网络和外部网络，并认为内部网络是安全和可信赖的，而外部网络则不太安全和不太可信。顾名思义，防火墙就是用来阻挡外部不安全因素影响的内部网络屏障，它是硬件和软件的结合体，其目的就是防止外部网络用户未经授权的访问。目前，防火墙采取的技术，主要是包过滤、应用网关、子网屏蔽等。

防火墙从诞生到现在，已经发展到了第三代，早期的防火墙采用包过滤技术防止非法访问；第二代防火墙使用了更有效的安全控制手段即状态检测；第三代防火墙则加入更多的智能化功能，如增加应用网关代理服务、进行入侵检测和告警、支持隧道技术建造虚拟专网等多种控制手段。
　 防火墙技术一般分为两类：
　 1.网络级防火墙：主要是用来防止整个网络出现外来非法入侵。属于这类的有分组过滤器和授权服务器。前者检查所有流入本网络的信息，然后拒绝不符合实现制定好的一套准则的数据，而后者则是检查用户的登录是否合法。
　 2.应用级防火墙：从应用程序来进行接入控制。通常使用应用网关代理服务器来区分各种应用。例如，可以只允许通过访问万维网的应用，而阻止FTP应用的通过。
　 常见的防火墙体系结构：
　　1、双重宿主主机体系结构
　　2、屏蔽主机体系结构
　　3、屏蔽子网体系结构
　　防火墙技术在网络安全防护方面存在的不足：
　　防火墙不能防止内部攻击；防火墙不能防止未经过防火墙的攻击；防火墙不能取代杀毒软件 ；防火墙不易防止反弹端口木马攻击。

如何构建自己的防火墙：

   1.通常构建防火墙要充分考虑自己所需和构建费用：硬件购置、硬件维护、软件开发或购置、管理机构设置和培训、运行管理及故障排除等。

   2.防火墙的安放位置：传统的做法就是将防火墙安放在组织机构与外部世界之间。大的机构还需要内部防火墙将安全域（也叫管理域）隔离开来。

   3.数据包过滤网关：数据包过滤器提供廉价但有用的网关安全等级。廉价是因为过滤能力来自于路由器软件。数据包过滤器的工作方法是通过基于数据包的源地址、目的地址或端口来进行投递的。配置一个数据包过滤器需三个步骤：（1）了解什么是允许或不允许的，即一套缜密的安全策略；（2）允许的数据包类型必须用数据包字段中的逻辑表达式进行正规地说明；（3）表达式必须使用销售商支持的语法来编写。

   4.应用级网关：它不使用通用目标机制来允许各种不同种类的通信，而是针对每个应用使用专用目的代码。它有几个优点，一是不必担心不同过滤规则集之间的交互影响，二是不必担忧数千台号称对外部提供安全服务的主机中的漏洞；三是易于记录并控制所有进出的通信。

   5.隧道技术：隧道技术能穿透防火墙，是通过将一个协议的报文封装在另一个协议中，并利用第二个协议的设备穿越一些网络跳点。未经授权的隧道问题是一个管理问题而非技术问题。