隨著電腦網路技術的突飛猛進，網路安全的問題已經日益突出地擺在各類用戶的面前。僅從筆者掌握的資料表明，目前在互聯網上大約有將近20%以上的用戶曾經遭受過駭客的困擾。儘管駭客如此猖獗，但網路安全問題至今仍沒有能夠引起足夠的重視，更多的用戶認為網路安全問題離自己尚遠，這一點從大約有40%以上的用戶特別是企業級用戶沒有安裝防火牆(Firewall)便可以窺見一斑，而所有的問題都在向大家證明一個事實，大多數的駭客入侵事件都是由於未能正確安裝防火牆而引發的。

防火牆的本義原是指古代人們房屋之間修建的那道牆，這道牆可以防止火災發生的時候蔓延到別的房屋。而這堜珨〞漕黎儺薸穔M不是指物理上的防火牆，而是指隔離在本地網路與外界網路之間的一道防禦系統，是這一類防範措施的總稱。應該說，在互聯網上防火牆是一種非常有效的網路安全模型，通過它可以隔離風險區域(即Internet或有一定風險的網路)與安全區域(局域網)的連接，同時不會妨礙人們對風險區域的訪問。防火牆可以監控進出網路的通信量，從而完成看似不可能的任務；僅讓安全、核准了的資訊進入，同時又抵制對企業構成威脅的資料。隨著安全性問題上的失誤和缺陷越來越普遍，對網路的入侵不僅來自高超的攻擊手段，也有可能來自配置上的低級錯誤或不合適的口令選擇。因此，防火牆的作用是防止不希望的、未授權的通信進出被保護的網路，迫使單位強化自己的網路安全政策。一般的防火牆都可以達到以下目的：一是可以限制他人進入內部網路，過濾掉不安全服務和非法用戶；二是防止入侵者接近你的防禦設施；三是限定用戶訪問特殊站點；四是為監視Internet安全提供方便。由於防火牆假設了網路邊界和服務，因此更適合於相對獨立的網路，例如Intranet等種類相對集中的網路。防火牆正在成為控制對網路系統訪問的非常流行的方法。事實上，在Internet上的Web網站中，超過三分之一的Web網站都是由某種形式的防火牆加以保護，這是對駭客防範最嚴，安全性較強的一種方式，任何關鍵性的伺服器，都建議放在防火牆之後。
防火牆的架構與工作方式
防火牆可以使用戶的網路劃規劃更加清晰明瞭，全面防止跨越許可權的資料訪問（因為有些人登錄後的第一件事就是試圖超越許可權限制）。如果沒有防火牆的話，你可能會接到許許多多類似的報告，比如單位內部的財政報告剛剛被數萬個Email郵件炸爛，或者用戶的個人主頁被人惡意連接向了Playboy，而報告鏈結上卻指定了另一家色情網站......一套完整的防火牆系統通常是由遮罩路由器和代理伺服器組成。遮罩路由器是一個多埠的IP路由器，它通過對每一個到來的IP包依據組規則進行檢查來判斷是否對之進行轉發。遮罩路由器從包頭取得資訊，例如協定號、收發報文的IP位址和埠號、連接標誌以至另外一些IP選項，對IP包進行過濾。代理伺服器是防火牆中的一個伺服器進程，它能夠代替網路用戶完成特定的TCP/TP功能。一個代理伺服器本質上是一個應用層的閘道，一個為特定網路應用而連接兩個網路的閘道。用戶就一項TCP/TP應用，比如Telnet或者FTP，同代理伺服器打交道，代理伺服器要求用戶提供其要訪問的遠端主機名。當用戶答復並提供了正確的用戶身份及認證資訊後，代理伺服器連通遠端主機，為兩個通信點充當中繼。整個過程可以對勝戶完全透明。用戶提供的用戶身份及認證資訊可用於用戶級的認證。最簡單的情況是：它只由用戶標識和口令構成。但是，如果防火牆是通過Internet可訪問的，應推薦用戶使用更強的認證機制，例如一次性口令或回應式系統等。
遮罩路由器的最大優點就是架構簡單且硬體成本較低，而缺點則是建立包過濾規則比較困難，加之遮罩路由器的管理成本及用戶級身份認證的缺乏等。好在路由器生產商們已經認識到並開始著手解決這些問題，他們正在開發編輯包過濾規則的圖形用戶介面，制訂標準的用戶級身份認證協定，以提供遠端身份認證撥入用戶服務(REDIUS)。
D 　　代理伺服器的優點在於用戶級的身份認證、日誌記錄和帳號管理。其缺點關係到這樣一個事實；要想提供全面的安全保證，就要對每一項服務都建立對應的應用層閘道。這個事實嚴重地限制了新應用的采綱。D
　　遮罩路由器和代理伺服器通常組合在一起構成混合系統，其中遮罩路由器主要用來防止IP欺騙攻擊。目前採用最廣泛的配置是Dualhomed防火牆、被遮罩主機型防火牆以及被遮罩子網型防火牆。