随着网络技术的飞速发展，互联网已经走进了千家万户，因此网络安全也成为了人们最为关注的问题。目前，保护内部网络免遭外部入侵的比较有效的方法是防火墙技术。防火墙的定义及功能防火墙是指设置在不同网络或网络安全域之间的一系列部件的组合。它是不同网络或网络安全域之间信息的唯一出口，能够根据企业的安全政策控制出入网络的信息流，且本身具有较强的抗攻击能力。
防火墙提供信息安全服务，是实现网络和信息安全的基础设施。在逻辑上，防火墙是一个分离器，一个限制器，也是一个分析器，它有效地监控了内部网络和互联网之间的任何活动，保证了内部网络的安全。而能够保护内部网络安全的防火墙应该具备以下几个功能：
日志审计、实警：黑客的技术在不断的发展，这就使得互联网的安全、操作系统、网络协议及防火墙的技术也随之发展，完善的日志功能，能够及时发现系统的漏洞、可能的攻击和错误。为系统日志设置门限值，当日志的统计参数达到这个范围时，防火墙发出警信息，提醒治理员日志有异常，需要治理维护和检查。
支持网络地址转换：内部网络一般使用专为内部网保留的IP地址，这部分IP地址是无法直接访问Internet的，这时就可以通过网络地址转换得到完美解决。NAT是基于网络层的安全应用，它通过把内部网络的信息包内的源地址修改为防火墙的外部端口地址传向外部网络，不仅隐藏了内部的IP地址，也缓解了IP地址资源紧张的问题。 .
带宽控制和流量优先权控制：治理员可以方便地设定用户或IP的最大带宽、保证带宽等参数。对超带宽的用户或IP做出一定的限制;并提供优先权，保证在信道拥挤时，优先级高的用户或IP用户首先得到服务。防火墙技术的原理及特点国际计算机安全委员会将防火墙分成三大类：包过滤防火墙，应用级代理服务器以及状态包检测防火墙。
1.包过滤防火墙
顾名思义，包过滤防火墙就是把接收到的每个数据包同预先设定的包过滤规则相比较，从而决定是否阻塞或让包通过。过滤规则是基于网络层IP包包头信息的比较。包过滤防火墙工作在网络层，IP包的包头中包含源、目的IP地址，封装协议类型，TCP/UDP端口号，ICMP消息类型，TCP包头中的ACK等等。假如接收的数据包与答应转发的规则相匹配，则数据包按正常情况处理;假如与拒绝转发的规则相匹配，则防火墙丢弃数据包;假如没有匹配规则，则按默认情况处理。
包过滤防火墙是速度最快的防火墙，这是因为它处于网络层，并且只是粗略地检查连接的正确性，所以在一般的传统路由器上就可以实现，对用户来说都是透明的。但是它的安全程度较低，很轻易暴露内部网络，使之遭受攻击。例如，HTTP通常是使用80端口。假如公司的安全策略答应内部员工访问网站，包过滤防火墙可能设置答应所有80端口的连接通过，这时，意识到这一漏洞的外部人员可以在没有被认证的情况下进入私有网络。包过滤防火墙的维护比较困难，定义过滤规则也比较复杂，因为任何一条过滤规则的不完善都会给网络黑客造成可乘之机。同时，包过滤防火墙一般无法提供完善的日志。 .
2.应用级代理防火墙
应用级代理技术通过在OSI的最高层检查每一个IP包，从而实现安全策略。代理技术与包过滤技术完全不同，包过滤技术在网络层控制所有的信息流，而代理技术一直处理到应用层，在应用层实现防火墙功能。它的代理功能，就是在防火墙处终止客户连接并初始化一个新的连接到受保护的内部网络。这一内建代理机制提供额外的安全，这是因为它将内部和外部网络隔离开来，使网络外部的黑客在防火墙内部网络上进行探测变得困难，更重要的是能够让网络治理员对网络服务进行全面的控制。但是，这将花费更多的处理时间，并且由于代理防火墙支持的应用有限，每一种应用都需要安装和配置不同的应用代理程序。比如访问Web站点的HTTP，用于文件传输的FTP，用于E-mail的SMTP/POP3等等。假如某种应用没有安装代理程序，那么该项服务就不被支持并且不能通过防火墙进行转发;同时升级一种应用时，相应的代理程序也必须同时升级。
3.状态包检测防火墙
为了克服包过滤防火墙带来的安全问题，产生了状态包检测防火墙。状态包检测防火墙检查所有的OSI层，通过检查IP包的所有部分来判定答应还是拒绝连接请求，因此它提供的安全程度远高于包过滤防火墙。状态包检测防火墙在网络层拦截IP包，直到有足够的企图连接的“状态”信息来做出决策。例如，它截获来自一个接口的数据包TCP顺序号，从而确定连接的状态。假如截获的数据包匹配定义的规则，防火墙就将该数据包转发到目标端口。状态检测防火墙跟踪所有来自内部网络的请求信息，并自动构建动态状态表，然后检测所有来自于外部网络的数据包;假如该数据包是响应内部网络的请求，就答应通过;假如不是，就拒绝。状态检测技术的大部分检测发生在系统内核，因此它比包过滤防火墙更安全，比代理防火墙更快，性能更高，并且轻易配置和维护。未来发展趋势众所周知，计算机网络安全实际上是通过技术与治理相结合来实现的，良好的网络治理加上优秀的防火墙技术是提高网络安全性能的最好选择。为适应Internet的发展势头，其技术正向着高速度、分布式、多功能方向发展。 .
首先要解决的就是防火墙速度不够。ASIC、FPGA和网络处理器是实现高速防火墙的主要方法，其中以采用网络处理器最优，因为网络处理器采用微码编程，可以根据需要随时升级，甚至可以支持IPv6。其次，算法也是一个关键，因为网络处理器中集成了很多硬件协议处理单元，比较轻易实现高速。
在网络中，恶意攻击的发起不仅仅来自于外部网络，内部网络同样存在着很多、甚至说是更多的安全隐患，而对于这种问题，防火墙处理起来是比较困难的，所以现在越来越多的防火墙产品也开始体现出一种分布式结构。以分布式体系进行设计的防火墙产品是以网络节点为保护对象，最大限度的覆盖需要保护的对象，从而大大提升安全防护强度，软件防火墙比较轻易实现这种分布式概念，硬件防火墙可以通过在台式机、服务器、路由器等节点设备上插接专用的接口卡来完成。
随着安全治理要求的全面提高，对防火墙日志能力的要求也越来越高。目前，防火墙应用较多的是采用文本方式的SYSLOG日志，每一个字符都需要一个字节，对防火墙的资源也是一个很大的消耗。假如使用二进制日志可以大大减小数据传送量，也方便数据库的存储、加密和事后分析。所以，支持二进制格式和日志数据库，也是对未来防火墙日志和日志服务器软件的一个基本要求。 .
鉴于目前防火墙价格比较昂贵，用户总是希望防火墙可以支持更多的功能，来满足组网和节省投资的需要，比如说支持VPN、AAA、PKI、IPSec等附加功能，甚至防病毒、入侵检测这样的主流功能，都被集成到防火墙产品中，这就对防火墙产品的性能和自身安全问题有了更高的要求。总结总之，不论从功能还是从性能来讲，防火墙技术的演进并不会放慢速度，反而产品的丰富程度和推出速度会不断的加快，这也反映了安全需求不断上升的一种趋势，但是，更值得我们关注的还是防火墙体系结构的发展以及安全产品标准的发布，这些变化不仅仅关系到某个环境的某个产品的应用情况，更关系到信息安全领域的未来。
.