除了加密技術和反病毒技術外，防火墻技術也是網絡上常用的安全技術。古時候，人們常在寓所之間砌起一道磚墻，一旦火災發生，它能夠防止火勢蔓延到別的寓所，自然，這種墻因此而得名“防火墻”?，F在，如果一個網絡連接到了Internet上，它的用戶就可以訪問外部世界并與之通信，但同時，外部世界也同樣可以訪問該網絡并與之交互。為安全起見，可以在該網絡和Internet之間插入一個中介系統，豎起一道安全屏障。這道屏障的作用是阻斷來自外部網絡對內部網絡的威脅和入侵，提供扼守本網絡的安全和審計的惟一關卡。這種中介系統也叫做“防火墻”，或“防火墻系統”。

簡言之，防火墻（FireWal）就是內部網絡和外部網絡之間的一個屏障，它主要可以防止外部網絡對內部網絡的未授權訪問。假如沒有防火墻，一個網絡就暴露在不那么安全的In-ternet諸協議和設施面前，面臨來自Internet其他主機的探測和攻擊的危險。而如果一個內部網絡擁有一個堅強的防火墻系統，那么無論外部世界是多么錯綜復雜、充滿多少敵意的攻擊，經過防火墻的過濾，內部網絡大可隔岸觀火，不受影響。準確地講，防火墻是一個由軟件或和硬件設備組合而成，處于企業或網絡群體計算機與外界通道之間，限制外界用戶對內部網絡訪問及管理內部用戶訪問外部網絡的權限，是外部網絡（Internet）與內部網絡（Internet）之間建立起一個安全網關，從而保護內部網絡免受非法用戶的侵入

網絡層防火墻 實際上就是一個工作在網絡層上的包過濾路由器，它審查每個接收的數據包，確定其是否與某一條包過濾規則匹配，然后做允許或拒絕通過的決定。其中過濾規則主要依靠每個數據包的包頭信息：包括IP源地址、IP目標端地址、內裝協議（ICP、UDP、ICMP或IPTunnel）、TCP/UDP目標端口、ICMP消息類型、包的進入接口和轉出接口等。如果數據包的以上信息符合某一允許轉發的規則（比如數據包來自一個被認為是安全的IP地址），該數據包就會被轉發到內部網絡中；如果符合某一拒絕轉發的規則（比如數據包來自一個危險的IP地址），該數據包就會被丟棄，無法進入內部網絡；如果沒有規則匹配，防火墻的缺省參數會決定是轉發還是丟棄數據包。