1.防火墙作用

       网络面临的安全威胁大体可分为两种：一是对网络数据的威胁；二是对网络设备的威胁。这些威胁可能来源于各种各样的因素；可能是有意的，也可能是无意的；可能是来源于企业外部的，也可能是内部人员造成的，也可能是自然力造成的。总结起来，大致有以下几种主要威胁：

1）非人为、自然力造成的数据丢失、设备失效、线路阻断。

2）非人为属于无意的操作人员无意的失误造成的数据丢失。

3）来自外部和内部人员的恶意攻击和入侵。

      前面两种的预防与传统电信网络基本相同。最后一种是当前Internet所面临的最大的威胁，是电子商务、政府上网工程等顺利发展的最大障碍，也是企业网络安全策略最需要解决的问题。目前解决网络安全最有效方法是采用防火墙。

      由于Internet的迅速发展，提供了发布信息和检索信息的场所，但它也带来了信息污染和信息破坏的危险，人们为了保护其数据和资源的安全，出现了防火墙。那么防火墙是什么呢？

      防火墙从本质上说是一种保护装置。它保护什么呢？它保护的是数据、资源和用户的声誉。

□ 数据——是指用户保存在计算机里的信息，需要保护的数据有三个典型的特征：

  ? 保密性：是用户不需要被别人知道的。

  ? 完整性：是用户不需要被别人修改的。

  ? 可用性：是用户希望自己能够使用的。

□ 资源——是指用户计算机内的系统资源。

□ 声誉——作为用户的计算机本身并不存在什么声誉的事情，问题在于一个入侵者冒充你的身份出现在Internet上,做一些不是你做的事，或者冒充你的身份在Internet上遍游世界，调阅需要付费的资料，这些费用由你来负责清算。特别是软件盗版和色情描写，这是用户很难讲清的。国内外的资料表明，入侵者一般有这几种类型：寻欢作乐者、破坏者、间谍等。

      为确保网络系统的安全性，人们研究并使用了多种解决方法，特别是近年来，由于对安全问题的广泛关注，网络技术的开发应用取得了长足的发展，但是它仍然制约着网络应用的进一步发展。具有关报告显示，“黑客”事件的发生每年都在增加，仅在美国就造成了150亿美元的损失，而且目前这种情况还在加剧。同类事件在我国也是逐年增多，这足以说明当今的网络安全问题，尤其是较大型的网络系统，有必要建立一个立体完整安全体系。从空间上（包括网络内安全，网关或网际以及外部安全的统一），从时序上（应当有事前防御、即时防御），事后审查三者结合，从而保护网络的安全。

2 . Internet防火墙介绍

       防火墙原是建筑物大厦设计来防止火灾从大厦的一部分传播到另一部分。从理论上讲Internet防火墙服务也属于类似目的。

      它防止Internet的危险（病毒、资源盗用等）传播到网络内部。而事实上Internet防火墙不像一座现代化大厦中的防火墙，更像北京故宫的护城河，它服务于多个目的：

1）限制人们从一个特别的控制点进入。

2）防止侵入者接近你的其他防御设施。

3）限定人们从一个特别的点离开。

4）效阻止破坏者对你的计算机系统进行破坏。

      因特网防火墙常常被安装在受保护的内部网络连接到因特网的点上，如图所示。

图：防火墙在因特网与内部网中的位置

      从图可以看出，所有来自Internet的传输信息或从你的内部网发出的信息都必须穿过防火墙。因此，防火墙能够确保如电子信件、文件传输、远程登录或特定的系统间信息交换。

       从逻辑上讲，防火墙是分离器、限制器、分析器。从物理角度看，各站点防火墙的物理实现的方式有所不同。通常防火墙是一组硬件设备——路由器、主计算机或者是路由器、计算机和配有适当软件的网络的多种组合，有各种各样方法配置这种设备。

防火墙能够做些什么呢？这是大家所关心的，下面我们来讨论这个问题。

（1）防火墙能强化安全策略

      因为Internet上每天都有上百万人在那里收集信息、交换信息、不可避免地会出现个别品德不良的人，或违反规则的人，防火墙是为了防止不良现象发生的“交通警察”，它执行站点的安全策略，仅仅容许“认可的”和符合规则的请求通过。

（2）防火墙能有效地记录Internet上的活动