防火墙是安全功能的基石，是构筑网络安全的闸门。它是处于网络边界，对多种网络对象进行有效的访问监控。

复合型防火墙实现了防火墙、入侵检测、安全评估、虚拟专用网4大功能模块。以防火墙功能为基础平台，以其他的安全模块为多层次应用环境，构筑了一套完整的立体的网络安全解决方案。

防火墙功能是其他安全功能的基石，是构筑网络安全的闸门。复合型防火墙内核采用独有的智能IP识别技术，可以对多种网络对象进行有效的访问监控，为网络安全提供高效、稳定的安全保护。

入侵检测功能是网络安全的第二道防线，它通过监视网络中的数据包来发现黑客的入侵企图。目前，复合型防火墙入侵检测产品可以实现对20多类1000多种攻击方式的鉴别。作为网络安全的重要环节，入侵检测功能可以实现和防火墙功能互动，在入侵检测发现入侵行为时立即通知防火墙自动生成规则，再第一时间封禁网络攻击。

安全评估功能模块可以主动地检测内部网络，对主机信息、端口、各种漏洞、RPC远程过程调用和服务中可能存在的弱密码进行扫描，并生成分析报告，提供给用户相应的解决办法。一方面可以帮助用户对网内的计算机进行相应调整，另一方面可以帮助用户进一步规划防火墙以及入侵检测的安全策略，提高网络的安全等级。

虚拟专用网(VPN)功能使用隧道技术(Tunneling)、加解密技术(Encryption & Decryption)、密钥管理技术(Key Management)、使用者与设备身份认证技术(Authentication)，实现了在公共网络中建立专用网络，数据通过安全的"加密通道"在公共网络中传播。虚拟专用网功能模块包括软件加密和硬件加密，例如:使用IPSEC技术进行隧道通讯，使用3DES技术等进行加密，使用IKE进行密钥管理，使用X.509进行身份认证等。它以防御防火墙为基石，在解决访问控制之后，为用户解决网络信息的传输安全的难题。

复合型防火墙智能IP识别技术是针对网络应用不断发展的需求，自行研发的高效网络检测技术，创新性地采用零拷贝流分析、特有快速搜索算法等技术，针对网络流2-7层数据进行高效识别。

复合型防火墙可控对象除了传统的IP包相关信息外，还引入时间、用户、应用及其操作等控制对象，大大扩展了防火墙的防护功能，并且在保证针对应用的细致分析和防护的同时，对产品的性能有大幅的提高，解决了目前内容分析型防火墙普遍存在的效率瓶颈问题。

秉承立体防护的概念，防火墙功能实现遭遇网络攻击前安全策略的定制，使用入侵检测功能进行攻击过程中的防范与报警，辅以日志系统完成攻击后的分析。实现事前、事中、事后的全面防护。再通过虚拟专用网功能进一步将安全延伸到数据和传输过程。更引入安全评估观念，主动对网络进行模拟攻击，检验整个网络的安全性。良好的升级机制保证了整个安全系统能够随着技术的进步不断增强。概言之，复合型防火墙涵盖了整个网络的空间范围和时间范围，从主动及被动多方面进行立体防护，真正实现全面安全。

复合型防火墙性能优异，先进的状态检测技术和独特的智能IP识别技术保证了杰出的工作效率。网络吞吐能力达到线速，支持高达100万并发连接，在多次产品测评中性能领先。使用复合型防火墙可以保证网络的实时畅通，不会像传统防火墙一样成为网络瓶颈。

作为网络关键设备，复合型防火墙对自身的稳定性提出了严格的要求。复合型防火墙采用高度集成的工业级硬件设计，适应各种复杂的环境条件。每台防火墙出厂前均在独有"网际飓风"高压力网络环境中经过100小时全负荷测试，确保产品万无一失。

复合型防火墙通过引入交换模式、路由模式和全新推出的混合模式，可以根据用户的网络环境要求，灵活的将防火墙接入用户网络中。同时防火墙支持VLAN功能，支持多种网络路由协议，能适应复杂的网络环境。

复合型防火墙除提供全面的网络安全防护功能外，还提供了包括代理服务器、带宽管理、地址转换等增值功能，使用户在实施和部署安全策略时，获得更多的网络产品功能。

人性化设计的全中文图形界面，即使非专业人员也能轻松掌握。支持远程管理和集中管理，支持SNMP管理，降低日常维护成本。可切换的路由或桥式接入方式以及新加入的混合接入方式可以轻松配合用户原有的网络环境。在一般情况下，只需不到1个小时就可以完成安全产品的实施，对客户应用的影响更是可以减少到只需几秒。

防火墙具有很好的保护作用。入侵者必须首先穿越防火墙的安全防线，才能接触目标计算机。你可以将防火墙配置成许多不同保护级别。高级别的保护可能会禁止一些服务，如视频流等，但至少这是你自己的保护选择。

在具体应用防火墙技术时，还要考虑到两个方面:

一是防火墙是不能防病毒的，尽管有不少的防火墙产品声称其具有这个功能。 二是防火墙技术的另外一个弱点在于数据在防火墙之间的更新是一个难题，如果延迟太大将无法支持实时服务请求。并且，防火墙采用滤波技术，滤波通常使网络的性能降低50%以上，如果为了改善网络性能而购置高速路由器，又会大大提高经济预算。

总之，防火墙是企业网安全问题的流行方案，即把公共数据和服务置于防火墙外，使其对防火墙内部资源的访问受到限制。作为一种网络安全技术，防火墙具有简单实用的特点，并且透明度高，可以在不修改原有网络应用系统的情况下达到一定的安全要求。

(1)设置网卡IP地址为192.168.1.234，子网掩码为255.255.255.0，网关为192.168.1.1。

(2)设置DNS为61.177.7.1。

(3)Linux防火墙设置，禁用SELinux，启用防火墙，信任WWW、FTP、SSH、SMTP端口。

(4)设置防火墙，使能信任TCP协议的POP3端口。

一个个人防火墙, 通常软件应用过滤信息进入或留下。一台电脑和一个传统防火墙通常跑在一台专用的网络设备或电脑被安置在两个或更多网络或DMZs (解除军事管制区域) 界限。 这样防火墙过滤所有信息进入或留下被连接的网络。 后者定义对应于"防火墙" 的常规意思在网络, 和下面会谈谈这类型防火墙。

以下是两个主要类型防火墙: 网络层防火墙和 应用层防火墙。 这两类型防火墙也许重叠; 的确, 单一系统会两个一起实施。

网络层防火墙

网络层防火墙可视为一种 IP 封包过滤器，运作在底层的 TCP/IP 协议堆栈上。我们可以以枚举的方式，只允许符合特定规则的封包通过，其余的一概禁止穿越防火墙。这些规则通常可以经由管理员定义或修改，不过某些防火墙设备可能只能套用内置的规则。

我们也能以另一种较宽松的角度来制定防火墙规则，只要封包不符合任何一项"否定规则"就予以放行。现在的操作系统及网络设备大多已内置防火墙功能。

较新的防火墙能利用封包的多样属性来进行过滤，例如:来源 IP 地址、来源端口号、目的 IP 地址或端口号、服务类型(如 WWW 或是 FTP)。也能经由通信协议、TTL 值、来源的网域名称或网段...等属性来进行过滤。

应用层防火墙

应用层防火墙是在 TCP/IP 堆栈的"应用层"上运作，您使用浏览器时所产生的数据流或是使用 FTP 时的数据流都是属于这一层。应用层防火墙可以拦截进出某应用程序的所有封包，并且封锁其他的封包(通常是直接将封包丢弃)。理论上，这一类的防火墙可以完全阻绝外部的数据流进到受保护的机器里。

防火墙借由监测所有的封包并找出不符规则的内容，可以防范电脑蠕虫或是木马程序的快速蔓延。不过就实现而言，这个方法既烦且杂(软件有千千百百种啊)，所以大部分的防火墙都不会考虑以这种方法设计。

XML 防火墙是一种新型态的应用层防火墙。

代理服务

代理服务设备(可能是一台专属的硬件，或只是普通机器上的一套软件)也能像应用程序一样回应输入封包(例如连接要求)，同时封锁其他的封包，达到类似于防火墙的效果。

代理由外在网络使窜改一个内部系统更加困难, 并且一个内部系统误用不一定会导致一个安全漏洞可开采从防火墙外面(只要应用代理剩下的原封和适当地被配置) 。 相反地, 入侵者也许劫持一个公开可及的系统和使用它作为代理人为他们自己的目的; 代理人然后伪装作为那个系统对其它内部机器。 当对内部地址空间的用途加强安全, 破坏狂也许仍然使用方法譬如IP 欺骗试图通过小包对目标网络。

防火墙经常有网络地址转换(NAT) 的功能, 并且主机被保护在防火墙之后共同地使用所谓的"私人地址空间", 依照被定义在[RFC 1918] 。 管理员经常设置了这样情节在努力(无定论的有效率) 假装内部地址或网络。

防火墙的适当的配置要求技巧和智能。 它要求管理员对网络协议和电脑安全有深入的了解。 因小差错可使防火墙不能作为安全工具.