传统意义上的防火墙（Firewall），其本意是指发生火灾时，用来防止火势蔓延的一道障碍物。在古代构筑和使用木质结构房屋的时候，为防止火灾的发生和蔓延，人们将坚固的石块堆砌在房屋周围作为屏障，这种防护构筑物被称为防火墙。

在20世纪80年代的时候，防火墙的概念被引入到计算机网络中，防火墙被赋予了一个类似但又全新的含义。当一个网络接到Internet上，它的用户可以访问外部世界并与之通信。同时，外部世界也同样可以访问该网络并与之交互。为了安全起见，可以在该网络和Internet之间设置一个中介系统，竖起一道安全屏障。这道屏障的作用是阻断来自外部网络对本网络的威胁和入侵，提供保护本网络安全和审计的关卡，其作用与古代的防火墙有类似之处，因此把这个屏障称为网络防火墙，或简称为防火墙。

网络防火墙是设置在不同网络（如可信的企业内部网和不可信的公共网）或网络安全域之间的实施访问控制的一组组件的集合，且本身具有较强的抗攻击能力。它用于隔离两个或多个网络，限制网络互访，以保护网络安全，如图5-5所示。

图5-5　防火墙在网络中的位置

防火墙最初的设计思想：内部网络被认为是安全和可信赖的，外部网络被认为是不安全和不可依赖的。防火墙对外部进入的通信数据进行过滤，防止不希望的、未经授权的通信进入被保护的内部网络。对内部网络用户发出的信息不做任何限制。后来，防火墙对过滤机制进行了改变，对内部网络用户发出的连接请求和数据包同样进行过滤，只有符合安全策略的数据包才可以通过。

防火墙一般安放在被保护网络的边界，要使防火墙对内部网络起到安全防护的作用，必须做到以下几点：

（1）所有进出被保护网络的通信，都必须要经过防火墙的过滤。

这个是网络防火墙的位置特性，同时也是防火墙实现过滤功能的前提。因为只有当防火墙是网络之间数据传输的唯一通道时，才可能对所有的数据包进行过滤，以拒绝非法用户的入侵。

（2）只有符合安全策略的数据包才可以通过防火墙。(www.daowen.com)

防火墙之所以能够对内部网络起到一定的安全保护作用，主要依据的是网络管理员设置的安全策略，即数据包过滤机制。这些过滤机制使得允许通过的数据包不受任何影响，而不允许的数据包则全部拒绝。

（3）防火墙本身是不可侵入的。

防火墙本身必须具有非常强的抗攻击能力和对攻击的免疫能力，防火墙本身不可侵入，这是防火墙能够担当网络安全防护重任的先决条件。防火墙之所以具备非常强的抗入侵能力，与其操作系统是分不开的。只有自身具有完整信任关系的操作系统才可以谈论系统的安全性。其次，防火墙具有非常低的服务功能，除了专业的防火墙嵌入系统外，再没有其他应用程序在防火墙上运行。

防火墙用于控制访问与加强站点安全策略主要用到的4项技术：

（1）服务控制：用于决定哪些服务可以被访问。

（2）方向控制：用于决定特定的服务请求可以从哪些方向上发起并通过防火墙。

（3）用户控制：服务器根据用户的权限来控制他的访问。

（4）行为控制：控制对一个具体服务的使用。例如，防火墙可以通过过滤邮件来清除邮件。