防火墻的基本功能

防火墻基本的功能是確保網(wǎng)絡(luò)流量的合法性，并在此前提下將網(wǎng)絡(luò)的流量快速的從一條鏈路轉(zhuǎn)發(fā)到另外的鏈路上去。早的防火墻模型開始談起，原始的防火墻是一臺“雙穴主機(jī)”，即具備兩個網(wǎng)絡(luò)接口，同時擁有兩個網(wǎng)絡(luò)層地址。防火墻將網(wǎng)絡(luò)上的流量通過相應(yīng)的網(wǎng)絡(luò)接口接收上來，按照OSI協(xié)議棧的七層結(jié)構(gòu)順序上傳，在適當(dāng)?shù)膮f(xié)議層進(jìn)行訪問規(guī)則和安全審查，然后將符合通過條件的報文從相應(yīng)的網(wǎng)絡(luò)接口送出，而對于那些不符合通過條件的報文則予以阻斷。因此，從這個角度上來說，防火墻是一個類似于橋接或路由器的、多端口的（網(wǎng)絡(luò)接口>=2）轉(zhuǎn)發(fā)設(shè)備，它跨接于多個分離的物理網(wǎng)段之間，并在報文轉(zhuǎn)發(fā)過程之中完成對報文的審查工作。

過濾型防火墻

在Linux系統(tǒng)下,過濾功能是內(nèi)建于核心的（作為一個核心模塊，或者直接內(nèi)建），同時還有一些可以運(yùn)用于數(shù)據(jù)包之上的技巧，不過常用的依然是查看包頭以決定包的命運(yùn)。 過濾防火墻將對每一個接收到的包做出允許或拒絕的決定。具體地講，它針對每一個數(shù)據(jù)包的包頭，按照過濾規(guī)則進(jìn)行判定，與規(guī)則相匹配的包依據(jù)路由信息繼續(xù)轉(zhuǎn)發(fā)，否則就丟棄。過濾是在IP層實現(xiàn)的，過濾根據(jù)數(shù)據(jù)包的源IP地址、目的IP地址、協(xié)議類型（TCP包、UDP包、ICMP包）、源端口、目的端口等包頭信息及數(shù)據(jù)包傳輸方向等信息來判斷是否允許數(shù)據(jù)包通過。

基于服務(wù)器的防毒防火墻

服務(wù)器是網(wǎng)絡(luò)的核心，一旦服務(wù)器被病毒，就會使服務(wù)器無法啟動，整個網(wǎng)絡(luò)陷于癱瘓，造成災(zāi)難性后果。目前基于服務(wù)器的防毒方法大都采用了NLM(NetWare Load Module)技術(shù)以NLM模塊方式進(jìn)行程序設(shè)計，以服務(wù)器為基礎(chǔ)，提供實時掃描病毒能力。市場上的產(chǎn)品如Central Point公司的AntiVirus for Networks，Intel公司的LANdesk Virus Protect以及南京威爾德電腦公司的Lanclear for NetWare等都是采用了以服務(wù)器為基礎(chǔ)的防病毒技術(shù)。