21世紀是網絡經濟時代，Internet已經走進千家萬戶，當我們盡情地在Internet上暢游時，往往把網絡的安全問題拋在腦后。其實危險無處不在，防火墻是網絡安全的一個重要防護措施，用于對網絡和系統的保護。監控通過防火墻的數據，根據管理員的要求，允許和禁止特定數據包的通過，并對所有事件進行監控和記錄。

最簡單的防火墻配置，就是直接在內部網和外部網之間加裝一個包過濾路由器或者應用網關。為更好地實現網絡安全，有時還要將幾種防火墻技術組合起來構建防火墻系統。目前比較流行的有以下三種防火墻配置方案。

1、雙宿主機網關(Dual Homed Gateway)

這種配置是用一臺裝有兩個網絡適配器的雙宿主機做防火墻。雙宿主機用兩個網絡適配器分別連接兩個網絡，又稱堡壘主機。堡壘主機上運行著防火墻軟件(通常是代理服務器)，可以轉發應用程序，提供服務等。雙宿主機網關有一個致命弱點，一旦入侵者侵入堡壘主機并使該主機只具有路由器功能，則任何網上用戶均可以隨便訪問有保護的內部網絡(如圖1)。

2、屏蔽主機網關(Screened Host Gateway)

屏蔽主機網關易于實現，安全性好，應用廣泛。它又分為單宿堡壘主機和雙宿堡壘主機兩種類型。先來看單宿堡壘主機類型。一個包過濾路由器連接外部網絡，同時一個堡壘主機安裝在內部網絡上。堡壘主機只有一個網卡，與內部網絡連接(如圖2)。通常在路由器上設立過濾規則，并使這個單宿堡壘主機成為從Internet惟一可以訪問的主機，確保了內部網絡不受未被授權的外部用戶的攻擊。而Intranet內部的客戶機，可以受控制地通過屏蔽主機和路由器訪問Internet。

雙宿堡壘主機型與單宿堡壘主機型的區別是，堡壘主機有兩塊網卡，一塊連接內部網絡，一塊連接包過濾路由器(如圖3)。雙宿堡壘主機在應用層提供代理服務，與單宿型相比更加安全。

3、屏蔽子網(Screened Subnet)

這種方法是在Intranet和Internet之間建立一個被隔離的子網，用兩個包過濾路由器將這一子網分別與Intranet和Internet分開。兩個包過濾路由器放在子網的兩端，在子網內構成一個“緩沖地帶”(如圖4)，兩個路由器一個控制Intranet數據流，另一個控制Internet數據流，Intranet和Internet均可訪問屏蔽子網，但禁止它們穿過屏蔽子網通信。可根據需要在屏蔽子網中安裝堡壘主機，為內部網絡和外部網絡的互相訪問提供代理服務，但是來自兩網絡的訪問都必須通過兩個包過濾路由器的檢查。對于向Internet公開的服務器，像WWW、FTP、Mail等Internet服務器也可安裝在屏蔽子網內，這樣無論是外部用戶，還是內部用戶都可訪問。這種結構的防火墻安全性能高，具有很強的抗攻擊能力，但需要的設備多，造價高。

當然，防火墻本身也有其局限性，如不能防范繞過防火墻的入侵，像一般的防火墻不能防止受到病毒感染的軟件或文件的傳輸;難以避免來自內部的攻擊等等。總之，防火墻只是一種整體安全防范策略的一部分，僅有防火墻是不夠的，安全策略還必須包括全面的安全準則，即網絡訪問、本地和遠程用戶認證、撥出撥入呼叫、磁盤和數據加密以及病毒防護等有關的安全策略。