在网络中,设计防火墙的目的是将本地网络与外部网络相分离。与一个建筑中或者一个停车场用防火墙以防止火灾蔓延到其他区域一样,网络防火墙也是防止混乱蔓延到我们的网络。
防火墙用于保护内部网络中的机器以防外来攻击。它过滤和拒绝不符合标准的消息,限制防火墙之外的个人和机器的行为。
有时,防火墙也用于限制其内部的个人和机器的行为。一个防火墙可以限制用户使用的网络协议,限制他们可以连接的主机,或者迫使他们使用代理服务器以降低带宽费用。
防火墙可能是一个硬件设备,例如,具有过滤规则的路由器,或者运行于一台机器上的一个软件程序。任何情况下,防火墙都需要两个网络接口和一组规则。它可以监视所有试图从一个网络流到另一个网络的信息。如果被监视的这些信息符合规则,就将它发送到另一网络;否则,就终止它或者拒绝它。
防火墙可以根据信息包的类型、源地址、目的地址或端口信息对其进行过滤。对于一些信息包,可能只是简单地丢弃它,但是一些事件可能触发日志记录或者警告。