12.3.3 防火墻

防火墻是指設置在不同網絡或網絡安全域之前的由軟件和硬件設備組合而成的部件。它是不同網絡或網絡安全域之間信息的唯一出入口，能根據企業的安全政策控制（允許、拒絕、監測）出入網絡的信息流，且本身具有較強的抗攻擊能力。它是提供信息安全服務，實現網絡和信息安全的基礎設施。

防火墻主要由服務訪問規則、驗證工具、包過濾和應用網關4個部分組成。在邏輯上，防火墻是一個分離器，一個限制器，也是一個分析器，有效地監控了內部網和外部網之間的任何活動，保證了內部網絡的安全。

如果從防火墻的軟、硬件組成結構來分的話，防火墻可以分為軟件防火墻和硬件防火墻以及芯片級防火墻。