在计算机运算中,防火墙是一块硬件或软件,在联网环境中发挥作用,以避免安全策略中禁止的一些通信,与建筑中的防火墙功能相似。它有控制信息基本的任务在不同信任的区域。 典型信任的区域包括因特网(一个没有信任的区域) 和一个内部网络(一个高信任的区域) 。 最终目标是提供受控连通性在不同水平的信任区域通过安全政策的执行和连通性模型之间根据最少特权原则。网络安全分析人员之间区别:一个个人防火墙, 通常软件应用过滤信息进入或留下一台电脑; 和: 一个传统防火墙, 通常跑在一台专用的网络设备或计算机被安置在两个或更多网络或DMZs (解除军事管制区域) 界限。 这样防火墙过滤所有信息进入或留下被连接的网络。 后者定义对应于"防火墙" 的常规意思在网络, 和下面会谈谈这类型防火墙。 以下是两个主要类别防火墙:网络层防火墙和 应用层防火墙。 这两类型防火墙也许重迭; 的确, 单一系统会两个一起实施。 防火墙的种类 网络层防火墙 网络层防火墙运作在(比较低)水平的TCP/IP协议堆栈作为IP封包过滤器,不准许封包去通过防火墙除非它们符合规则。防火墙管理员可以规定一些规则,或者缺省固定规则也许实施(在一些不可改变的防火墙系统)。一个宽容的方案可以容许任何封包去通过过滤器只要它不匹配一个或多个「负面规则」或者「否定规则」。今日的网络防火墙是建立在多数的计算机运作系统或网络设备。 应用层防火墙 应用层防火墙应用水平研究在TCP/ IP的堆栈(即所有浏览器交通, 或所有telnet 或ftp 交通), 并且愿拦截所有小包移动到或从应用。 他们阻拦其它小包(通常阻拦他们没有由发令者承认) 。 原则上, 应用防火墙可能防止所有不需要的外部流量到达被保护的机器。 由检查所有小包不正当的内容, 防火墙可能甚至防止像计算机病毒的传播。 但是实践上, 这成为因此全面防火墙设计一般不试图这种方法的复合体和很难试图(给应用品种和内容变化每个也许允许在它的小包流量) 。 XML 防火墙举例证明一种最近应用层防火墙。代理设备(运行或在热忱的硬件或作为软件在一个通用机器) 也许作为防火墙由反应输入小包(连接请求, 例如) 以应用的方式, 阻拦其它小包。代理由外在网络使窜改一个内部系统更加困难, 并且一个内部系统误用不一定会导致一个安全漏洞可开采从防火墙外面(只要应用代理剩下的原封和适当地被配置) 。 相反地, 入侵者也许劫持一个公开可及的系统和使用它作为代理人为他们自己的目的; 代理人然后伪装作为那个系统对其它内部机器。 当对内部地址空间的用途加强安全, 破坏狂也许仍然使用方法譬如IP 欺骗试图通过小包对目标网络。防火墙经常有网络地址转换(NAT) 的功能, 并且主机被保护在防火墙之后共同地使用所谓的「私人地址空间」, 依照被定义在[RFC] 。 管理员经常设定了这样情节在努力(无定论的有效率) 假装内部地址或网络。防火墙的适当的配置要求技巧和机智。 它要求对网络协议的可观的理解和对计算机安全。 小差错可能使防火墙不值得作为安全工具。