Internet已經(jīng)走進千家萬戶，當我們盡情地在Internet上暢游時，往往把網(wǎng)絡(luò)的安全問題拋在腦后。其實危險無處不在，防火墻是網(wǎng)絡(luò)安全的一個重要防護措施，用于對網(wǎng)絡(luò)和系統(tǒng)的保護。監(jiān)控通過防火墻的數(shù)據(jù)，根據(jù)管理員的要求，允許和禁止特定數(shù)據(jù)包的通過，并對所有事件進行監(jiān)控和記錄。

　　最簡單的防火墻配置，就是直接在內(nèi)部網(wǎng)和外部網(wǎng)之間加裝一個包過濾路由器或者應(yīng)用網(wǎng)關(guān)。為更好地實現(xiàn)網(wǎng)絡(luò)安全，有時還要將幾種防火墻組合起來構(gòu)建防火墻系統(tǒng)。目前比較流行的有以下三種防火墻配置方案：

　　1、雙宿主機網(wǎng)關(guān)(Dual Homed Gateway)

　　這種配置是用一臺裝有兩個網(wǎng)絡(luò)適配器的雙宿主機做防火墻。雙宿主機用兩個網(wǎng)絡(luò)適配器分別連接兩個網(wǎng)絡(luò)，又稱堡壘主機。堡壘主機上運行著防火墻軟件(通常是代理服務(wù)器)，可以轉(zhuǎn)發(fā)應(yīng)用程序，提供服務(wù)等。雙宿主機網(wǎng)關(guān)有一個致命弱點，一旦入侵者侵入堡壘主機并使該主機只具有路由器功能，則任何網(wǎng)上用戶均可以隨便訪問有保護的內(nèi)部網(wǎng)絡(luò)。

　　2、屏蔽主機網(wǎng)關(guān)(Screened Host Gateway)

　　屏蔽主機網(wǎng)關(guān)易于實現(xiàn)，安全性好，應(yīng)用廣泛。它又分為單宿堡壘主機和雙宿堡壘主機兩種類型。先來看單宿堡壘主機類型。一個包過濾路由器連接外部網(wǎng)絡(luò)，同時一個堡壘主機安裝在內(nèi)部網(wǎng)絡(luò)上。堡壘主機只有一個網(wǎng)卡，與內(nèi)部網(wǎng)絡(luò)連接。通常在路由器上設(shè)立過濾規(guī)則，并使這個單宿堡壘主機成為從Internet惟一可以訪問的主機，確保了內(nèi)部網(wǎng)絡(luò)不受未被授權(quán)的外部用戶的攻擊。而Intranet內(nèi)部的客戶機，可以受控制地通過屏蔽主機和路由器訪問Internet。

　　雙宿堡壘主機型與單宿堡壘主機型的區(qū)別是，堡壘主機有兩塊網(wǎng)卡，一塊連接內(nèi)部網(wǎng)絡(luò)，一塊連接包過濾路由器。雙宿堡壘主機在應(yīng)用層提供代理服務(wù)，與單宿型相比更加安全。

　　3、屏蔽子網(wǎng)(Screened Subnet)

　　這種方法是在Intranet和Internet之間建立一個被隔離的子網(wǎng)，用兩個包過濾路由器將這一子網(wǎng)分別與Intranet和Internet分開。兩個包過濾路由器放在子網(wǎng)的兩端，在子網(wǎng)內(nèi)構(gòu)成一個“緩沖地帶”(如下圖)，兩個路由器一個控制Intranet 數(shù)據(jù)流，另一個控制Internet數(shù)據(jù)流，Intranet和Internet均可訪問屏蔽子網(wǎng)，但禁止它們穿過屏蔽子網(wǎng)通信?？筛鶕?jù)需要在屏蔽子網(wǎng)中安裝堡壘主機，為內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)的互相訪問提供代理服務(wù)，但是來自兩網(wǎng)絡(luò)的訪問都必須通過兩個包過濾路由器的檢查。對于向Internet公開的服務(wù)器，像WWW、FTP、Mail等Internet服務(wù)器也可安裝在屏蔽子網(wǎng)內(nèi)，這樣無論是外部用戶，還是內(nèi)部用戶都可訪問。這種結(jié)構(gòu)的防火墻安全性能高，具有很強的抗攻擊能力，但需要的設(shè)備多，造價高。

　　當然，防火墻本身也有其局限性，如不能防范繞過防火墻的入侵，像一般的防火墻不能防止受到病毒感染的軟件或文件的傳輸;難以避免來自內(nèi)部的攻擊等等?？傊?，防火墻只是一種整體安全防范策略的一部分，僅有防火墻是不夠的，安全策略還必須包括全面的安全準則，即網(wǎng)絡(luò)訪問、本地和遠程用戶認證、撥出撥入呼叫、磁盤和數(shù)據(jù)加密以及病毒防護等有關(guān)的安全策略。