定义为：“设置在两个或多个网络之间的安全阻隔，用于保证本地网络资源的安全，通常是包含软件部分和硬件部分的一个系统或多个系统的组合”。 

基本工作原理是在可信任网络的边界（即常说的在内部网络和外部网络之间，我们认为内部网络是可信任的，而外部网络是不可信的）建立起网络控制系统，隔离内部和外部网络，执行访问控制策略，防止外部的未授权节点访问内部网络和非法向外传递内部信息，同时也防止非法和恶意的网络行为导致内部网络的运行被破坏。 

基本思想不是对每台主机系统进行保护，而是让所有对系统的访问通过某一点，并且保护这一点，并尽可能地对外界屏蔽被保护网络的信息和结构。 

防火墙在网络中的位置 

防火墙的基本需求

保证内部网的安全性。

保证内部网同外部网间的连通性。 

设计实现的重点为：

安全性能；

处理速度。

防火墙的功能

实施网间访问控制，强化安全策略。 

有效地纪录因特网上的活动。 

隔离网段，限制安全问题扩散。 

防火墙自身有一定的抗攻击能力。 

综合运用各种安全措施，使用先进健壮的信息安全技术。 

人机界面良好，用户配置方便，易管理。 

防火墙的不足

它能保护网络系统的可用性和系统安全，但由于无法理解数据内容，不能提供数据安全。

对用户不透明，可能带来传输延迟、瓶颈和单点失效等问题。 

不能防范不经过它的连接。 

当使用端到端加密时，其作用会受到很大限制。 

过于依赖于拓扑结构。 

防火墙不能防范病毒。 

是一种静态防御技术。

防火墙的分类

按网络体系结构分类

       工作在OSI参考模型中的不同位置。

按应用技术分类

       包过滤防火墙；

       代理服务器；

       电路级网关。。 

按拓扑结构分类

       双宿主主机防火墙； 

      屏蔽主机防火墙； 

      屏蔽子网防火墙