防火牆主要是藉助硬體和軟體的作用於內部和外部網路的環境間產生一種保護的屏障，從而實現對計算機不安全網路因素的阻斷。只有在防火牆同意情況下，使用者才能夠進入計算機內，如果不同意就會被阻擋於外；

防火牆技術的警報功能十分強大，在外部的使用者要進入到計算機內時，防火牆就會迅速的發出相應的警報，並提醒使用者的行為，並進行自我的判斷來決定是否允許外部的使用者進入到內部，只要是在網路環境內的使用者，這種防火牆都能夠進行有效的查詢；

同時把查到資訊朝使用者進行顯示，然後使用者需要按照自身需要對防火牆實施相應設定，對不允許的使用者行為進行阻斷。

透過防火牆還能夠對資訊資料的流量實施有效檢視，並且還能夠對資料資訊的上傳和下載速度進行掌握，便於使用者對計算機使用的情況具有良好的控制判斷，計算機的內部情況也可以透過這種防火牆進行檢視，還具有啟動與關閉程式的功能；

而計算機系統的內部中具有的日誌功能，其實也是防火牆對計算機的內部系統實時安全情況與每日流量情況進行的總結和整理。

防火牆是在兩個網路通訊時執行的一種訪問控制尺度，能最大限度阻止網路中的駭客訪問你的網路。是指設定在不同網路（如可信任的企業內部網和不可信的公共網）或網路安全域之間的一系列部件的組合。

它是不同網路或網路安全域之間資訊的唯一出入口，能根據企業的安全政策控制（允許、拒絕、監測）出入網路的資訊流，且本身具有較強的抗攻擊能力。它是提供資訊保安服務，實現網路和資訊保安的基礎設施。

在邏輯上，防火牆是一個分離器，一個限制器，也是一個分析器，有效地監控了內部網和Internet之間的任何活動，保證了內部網路的安全。

防火牆架構

1、主機型防火牆

此防火牆需有兩張網絡卡，一張與網際網路連線，另一張與內部網連線，如此網際網路與內部網的通道無法直接接通，所有資料包都需要透過主機發送。

2、雙閘型防火牆

此防火牆除了主機型防火牆的兩張網絡卡外，另安裝應用服務轉送器的軟體，所有網路資料包都須經過此軟體檢查，此軟體將過濾掉不被系統所允許的資料包。

3、屏障單機型防火牆

此防火牆的硬體裝置除需要主機外，還需要一個路由器，路由器需具有資料包過濾的功能，主機則負責過濾及處理網路服務要求的資料包，當網際網路的資料包進入屏障單機型防火牆時，路由器會先檢查此資料包是否滿足過濾規則，再將過濾成功的資料包，轉送到主機進行網路服務層的檢查與傳送。

4、屏障雙閘型防火牆

將屏障單機型防火牆的主機換成雙閘型防火牆。

5、屏障子網域型防火牆

此防火牆藉由多臺主機與兩個路由器組成，電腦分成兩個區塊，屏障子網域與內部網，資料包經由以下路徑，第一個路由器->屏障子網域->第二路由器->內部網，此設計因有階段式的過濾功能，因此兩個路由器可以有不同的過濾規則，讓網路資料包更有效率。

若一資料包透過第一過濾器資料包，會先在屏障子網域進行服務處理，若要進行更深入內部網的服務，則要透過第二路由器過濾。