وقتي قرار باشد از يك ساختمان و وسايل داخل آن محافظت كنيم، اولين كاري كه انجام می دهيم، كنترل مبادي ورود و خروج ساختمان است. به بيان ديگر فقط به افراد منتخبي ، اجازه وارد شدن (و يا خارج شدن) از ساختمان را می دهيم. معيار انتخاب افراد براي كسي كه مامور كنترل ورود و خروج است بايستي در چارچوب يك خط مشي امنيتي، از قبل مشخص باشد.

در مورد شبكه‌هاي كامپيوتري نيز بطور مشخص، همين روال را پيش می گيريم. يعني مرزهاي شبكه داخلي خود را كنترل مي‌كنيم. منظور از مرز شبكه، لبه تماس شبكه داخلي با شبكه(هاي) خارجي نظير اينترنت، شبكه يكي از شعب سازمان و يا شبكه يك سازمان ديگر است.

براي كنترل اين مرزها از Firewall استفاده مي‌شود

با پياده‌سازي تكنيك‌هاي  Packet Filtering، بخشي از وظايف يك Firewall را می توان به Routerهاي لب مرز واگذار كرد. ولي  Router ها به تنهايي قادر به انجام كل وظايف يك Firewall نيستند و استفاده از  Firewallها امري اجتناب ناپذير است. دليل ناكافي بودن  Packet Filtering در Router لب مرز دو چيز است: يكي اينكه اصولا" تمامي تكنيك‌هايي كه در Firewallها پياده سازي مي‌شوند، در Router قابل اجرا نيست و گذشته از آن، اصل دفاع لايه به لايه (يا دفاع در عمق) ميگويد كه محافظت بايستي در بيش از يك لايه انجام شود. (مانند دژهاي قديمي كه با لايه‌هاي مختلف (خندق، دروازه اصلي، دروازه‌هاي فرعي، برجها و ...) از آنها محافظت مي‌شد.

در شكل‌هاي زير يك نمونه از پياده سازي Firewallها را مشاهده می كنيد.

این هم دو مطلب کامل تر در این زمینه 

دانلود مقاله اول                دانلود مقاله دوم