文档介绍：（一）防火墙概念 防火墙不只是一种路由器、主系统或一批向网络提供安全性的系统。相反，防火墙是 一种获取安全性的方法；它有助于实施一个比较广泛的安全性政策，用以确定允许提供 的服务和访问。就网络配置、一个或多个主系统和路由器以及其他安全性措施列 出当前使用者名单， 他们上次登录的时间，以及是否读过邮件等等。但finger 同时会不经意地告诉攻击者该系统的使用频率，是否有用户正在使用，以及是否可能发 动攻击而不被发现。
防火墙也能封锁域名服务信息，从而是Internet外部主机无法获取站点名和Ip地 址。通过封锁这些信息，可以防止攻击者从中获得另一些有用信息。
有关网络使用、滥用的记录和统计
如果对Internet的往返访问都通过防火墙，那么，防火墙可以记录各次访问，并
提供有关网络使用率的有价值的统计数字。如果一个防火墙能在可疑活动发生时发出音 响报警，则还提供防火墙和网络是否受到试探或攻击的细节。
采集网络使用率统计数字和试探的证据是很重要的，这有很多原因。最为重要的是 可知道防火墙能否抵御试探和攻击，并确定防火墙上的控制措施是否得当。网络使用率 统计数字也很重要的，因为它可作为网络需求研究和风险分析活动的输入。
政策执行
最后，或许最重要的是,防火墙可提供实施和执行网络访问政策的工具。事实上，
防火墙可向用户和服务提供访问控制。因此，网络访问政策可以由防火墙执行，如果没 有防火墙，这样一种政策完全取决于用户的协作。网点也许能依赖其自己的用户进行协
作，但是，它一般不可能，也不依赖Internet用户。
（二）防火墙的构成
防火墙的主要组成部分有：
*网络政策；
*先进的验证工具；
*包过滤；
*应用网关；

有两级网络政策会直接影响防火墙系统的设计、安装和使用。高级政策是一种发
布专用的网络访问政策，它用来定义那些有受限制的网络许可或明确拒绝的服务，如何 使用这些服务以及这种政策的例外条件。低级政策描述防火墙实际上如何尽力限制访问 ,并过滤在高层政策所定义的服务。以下是这些政策的描述。

服务访问政策应集中与上面定义的Internet专用的使用问题，或许也应集中与所
有的外部网络访问问题（即拨入政策以及SLIP和PPP连接）。这种政策应当是整个机构有关 保护机构信息资源政策的延伸。要使防火墙取得成功，服务访问政策必须既切合实际， 又稳妥可靠，而且应当在实施防火墙前草拟出来。切合实际的政策是一个平衡的政策， 既能防护网络免受已知风险，而且仍能使用户利用网络资源。如果防火墙系统拒绝或限 制服务，那么，它通常需要服务访问政策有力量来防止防火墙的访问控制措施不会受到 带针对的修改。只有一个管理得当的稳妥可靠政策才能做到这一点。
防火墙可以实施各种不同的服务访问政策，但是，一个典型的政策可以不允许从
Internet访问网点，但要允许从网点访问Interneto另一个典型政策是允许从Internet 进行某些访问，但是或许只许可访问经过选择的系统，如信息服务器和电子邮件服务器 。防火墙常常实施允许某些用户从Internet访问经过选择的内部主系统的服务访问政策， 但是，这种访问只是在必要时，而且只能与先进的验证措施组合时才允许进行。

防火墙设计政策是防火墙专用的。它定义用来实施服务访问政策的规则。一个人
不可能在完全不了解防火墙能力和限制以及与TCP/IP相关联的威胁和易受攻击性等问题 的真空条件下设计这一政策。防火墙一般实施两个基本设计方针之一：
拒绝访问除明确许可以外的任何一种服务；也即是拒绝一切未予特许的东西
允许访问除明确拒绝以外的任何一种服务；也即是允许一切未被特别拒绝的东西
如果防火墙采取第一种安全控制的方针，那么，需要确定所有可以被提供的服务以及 它们的安全特性，然后，开放这些服务，并将所有其它未被列入的服务排斥在外，禁止 访问。如果防火墙采取第二中安全控制的方针，则正好相反，需要确定那些认为是不安全 的服务，禁止其访问；而其它服务则被认为是安全的，允许访问。
比较这两种政策，我们可以看到，第一种比较保守，遵循”我们所不知道的都会伤害
我们”的观点，因此能提供较高的安全性。但是，这样一来，能穿过防火墙为我们所用的 服务，无论在数量上还是类型上，都受到很大的限制。第二种则较灵活，虽然可以提供 较多的服务，但是，所存在的风险也比第一种大。对于第二种政策，还有一个因素值得 考虑，即受保护网络的规模。当受保护网络的规模越来越大时，对它进行完全监控就会 变得越来越难。因此，如果网络中某成员绕过防火墙向外提供以被防火墙所禁止的服务 ,网络管理员就很难发现。For example :有一用户，他有权不从标