防火牆

在電腦運算領域中，防火牆(英文：firewall)是一項協助確保資訊安全的裝置，會依照特定的規則，允許或是限制傳輸的資料通過。防火牆可能是一台專屬的硬體或是架設在一般硬體上的一套軟體。

功能:

防火牆最基本的功能就是隔離網路，透過將網路劃分成不同的區域（通常情況下稱為ZONE），制定出不同區域之間的存取控制策略來控制不同任程度區域間傳送的資料流。例如網際網路是不可信任的區域，而企業網路絡是高度信任的區域。以避免安全策略中禁止的一些通訊。它有控制資訊基本的任務在不同信任的區域。 典型信任的區域包括網際網路(一個沒有信任的區域) 和一個企業網路絡(一個高信任的區域) 。 最終標的是提供受控連通性在不同水平的信任區域透過安全政策的執行和連通性模型之間根據最少特權原則。

防火牆類型:

網路層防火牆

網路層防火牆可視為一種 IP 封包過濾器，運作在底層的TCP/IP協定堆疊上。我們可以以列舉的方式，只允許符合特定規則的封包通過，其餘的一概禁止穿越防火牆。這些規則通常可以經由管理員定義或修改，不過某些防火牆設備可能只能套用內建的規則。

應用層防火牆

防火牆的視察軟體介面範例，紀錄IP進出情況與對應事件

應用層防火牆是在TCP/IP堆疊的「應用層」上運作，使用瀏覽器時所產生的資料流或是使用 FTP 時的資料流都是屬於這一層。應用層防火牆可以攔截進出某應用程式的所有封包，並且封鎖其他的封包(通常是直接將封包丟棄)。理論上，這一類的防火牆可以完全阻絕外部的資料流進到受保護的機器裡。

代理服務

代理服務（Proxy）設備（可能是一台專屬的硬體，或只是普通電腦上的一套軟體）也能像應用程式一樣回應輸入封包(例如連線要求)，同時封鎖其他的封包，達到類似於防火牆的效果。

缺點:

正常狀況下，所有網際網路的封包軟體都應經過防火牆的過濾，這將造成網路交通的瓶頸，例如在攻擊性封包出現時，攻擊者會不時寄出封包，讓防火牆疲於過濾封包，而使一些合法封包軟體，亦無法正常進出防火牆。

防火牆雖然可以過濾網際網路的封包，但卻無法過濾內部網路的封包，因此若有人從內部網路攻擊時，防火牆是毫無用武之地的。而電腦本身作業系統，亦可能一些系統漏洞，使入侵者可以利用這些系統漏洞來繞過防火牆的過濾，進而入侵電腦。防火牆無法有效阻擋病毒的攻擊，尤其是隱藏在資料中的病毒。