4.5.1防火墙的概念

“防火墙”一词来自建筑物中的同名设施，从字面意思上说，它用于防止火灾从建筑物的一部分蔓延到其他部分。因特网防火墙也起到同样的作用，防止因特网上的不安全因素蔓延到企业或组织的内部网。

从狭义上说，防火墙是指安装了防火墙软件的主机或路由器系统;从广义上说，防火墙还包括整个网络的安全策略和安全行为。

AT&T的两位工程师William Cheswich和Steven Bellovin给出了防火墙的明确定义:

(1)所有的从外部到内部或从内部到外部的通信都必须经过它。

(2)只有内部访问策略授权的通信才能被允许通过。

(3)系统本身具有很强的可靠性。

总而言之，防火墙是一种网络安全防护手段，其主要目标就是通过控制进(出)网络的权限，并对所有经过的数据包都进行检查，防止内部网络受到外界因素的干扰和破坏。在逻辑上，防火墙是一个分离器、一个限制器，也是一个分析器，能有效地监视内部网络和因特网之间的任何活动，保证内部网络的安全;在物理实现上，防火墙是位于网络特殊位置的一组硬件设备——路由器、计算机或其他特别配置的硬件设备。防火墙可以是一个独立的系统，也可以在一个经过特别配置的路由器上实现防火墙。