網(wǎng)絡(luò)安全的屏障

防火墻（作為阻塞點(diǎn)、控制點(diǎn)）能極大地提高一個(gè)內(nèi)部網(wǎng)絡(luò)的安全性，并通過(guò)過(guò)濾不安全的服務(wù)而降低風(fēng)險(xiǎn)。由于只有經(jīng)過(guò)精心選擇的應(yīng)用協(xié)議才能通過(guò)防火墻，所以網(wǎng)絡(luò)環(huán)境變得更安全。如防火墻可以禁止諸如眾所周知的不安全的NFS協(xié)議進(jìn)出受保護(hù)網(wǎng)絡(luò)，這樣外部的攻擊者就不可能利用這些脆弱的協(xié)議來(lái)攻擊內(nèi)部網(wǎng)絡(luò)。防火墻同時(shí)可以保護(hù)網(wǎng)絡(luò)免受基于路由的攻擊，如IP選項(xiàng)中的源路由攻擊和ICMP重定向中的重定向路徑。防火墻應(yīng)該可以拒絕所有以上類型攻擊的報(bào)文并通知防火墻管理員。

過(guò)濾型防火墻

在Linux系統(tǒng)下,過(guò)濾功能是內(nèi)建于核心的（作為一個(gè)核心模塊，或者直接內(nèi)建），同時(shí)還有一些可以運(yùn)用于數(shù)據(jù)包之上的技巧，不過(guò)常用的依然是查看包頭以決定包的命運(yùn)。 過(guò)濾防火墻將對(duì)每一個(gè)接收到的包做出允許或拒絕的決定。具體地講，它針對(duì)每一個(gè)數(shù)據(jù)包的包頭，按照過(guò)濾規(guī)則進(jìn)行判定，與規(guī)則相匹配的包依據(jù)路由信息繼續(xù)轉(zhuǎn)發(fā)，否則就丟棄。過(guò)濾是在IP層實(shí)現(xiàn)的，過(guò)濾根據(jù)數(shù)據(jù)包的源IP地址、目的IP地址、協(xié)議類型（TCP包、UDP包、ICMP包）、源端口、目的端口等包頭信息及數(shù)據(jù)包傳輸方向等信息來(lái)判斷是否允許數(shù)據(jù)包通過(guò)。

防火墻的兼容性與可融合性

兼容性是選購(gòu)防病毒軟件時(shí)需要考慮的事。防病毒軟件的一部分常駐程序如果跟其它軟件不兼容將會(huì)帶來(lái)很多問(wèn)題，比如說(shuō)引起某些第三方控件的無(wú)法使用，影響系統(tǒng)的運(yùn)行。在選購(gòu)安裝時(shí)，應(yīng)該經(jīng)過(guò)嚴(yán)密的測(cè)試，以免影響正常系統(tǒng)的運(yùn)行。對(duì)于機(jī)器操作系統(tǒng)千差萬(wàn)別的企業(yè)，還應(yīng)該要求網(wǎng)絡(luò)版防病毒能適應(yīng)不同的操作系統(tǒng)平臺(tái)。