在网络中，设计防火墙的目的是将本地网络与外界网络相分离。与一个建筑中或者一个停车场用防火墙以防止火灾蔓延到其他区域一样，网络防火墙也是防止混乱蔓延到我们的网络。

       防火墙用于保护内部网络中的机器以防外来攻击。它过滤和拒绝不符合标准的消息，限制防火墙之外的个人和机器的行为。

       有时，防火墙也用于限制其内部的个人和机器的行为。一个防火墙可以限制用户使用的网络协议，限制他们可以连接的主机，或者迫使他们使用代理服务器以降低带宽费用。

       防火墙可能是一个硬件设备，例如，具有过滤规则的路由器，或者运行于一台机器上的一个软件程序。任何情况下，防火墙都需要两个网络接口和一组规则。它可以监视所有试图从一个网络流到另一个网络的信息。如果被监视的这些信息符合规则，就将它发送到另一网络；否则，就终止它或拒绝它。

       防火墙可以根据信息包的类型、源地址、目的地址或端口信息对其进行过滤。对于一些信息包，可能只是简单地丢弃它，但是一些事情可能触发日志记录或者警告。

       审计与日志记录

       操作系统允许把各种各样的事件记入到日志文件中。从安全的角度考虑，我们可能关心的事件包括网络错误，对待定数据文件（例如，配置文件或NT注册表）的访问，对于一些特定的程序（例如，在UNIX系统中使用su命令，可用来将自己变成另一个用户，通常是root用户）的调用。

       日志文件可以帮助我们在出错的时候检测错误或者恶意操作。如果在注意到问题之后检查它们，它们还可以告诉我们一个问题或者非法入侵是如何发生的。日志文件有两个主要问题：大小和准确性。

       如果将检测和记录问题的条件设置为最极端的情况，最终将得到庞大的日志文件而难以检查。要帮助整理庞大的日志文件，可能需要使用一个现存的工具或者从安全政策中得到的审计脚本，这样就可以在日志中搜索“感兴趣”的事件，审计过程可以实时发生，也可以定期发生。

       特别情况下，日志文件容易受到攻击。如果入侵者拥有系统的root用户权限或管理员权限，他就可以随意修改日志文件以掩饰行踪。UNIX可以将事件记录到一个独立的机器中。

       这意味着一个入侵者必须控制至少两台机器才能掩饰行踪。类似的功能在NT中也可以实现，但是没有在UNIX下实现容易。

       系统管理员可以进行定期审计。但是我们可能还要一个外部的审计人员定期检查管理员的操作。