目前的防火墙防范主要是

目前的防火墙防范主要是被动防范。防火墙的系统不能主动防止病毒或者黑客来攻击自己，只能在病毒或者黑客来临时进行抵抗。防火墙无法干涉还没有到达防火墙的包，如果这个包是攻击防火墙的，只有已经发生了攻击，防火墙才可以对抗。

防火墙在网络中起到两个最基本的功能：

• 划分网络的边界

  防火墙设备的其中一个功能，就是划分网络的边界，严格地将网络分为“外网”和“内网”。“外网”则是防火墙认为的——不安全的网络，不受信任的网络；“内网”则是防火墙认为的——安全的网络，受信任的网络。

• 加固网络的安全

  防火墙的其中一个功能，就是网络流量流向的问题（内到外可以访问，外到内默认不能访问），这就从一定程度上加强了网络的安全性。另外，防火墙还能从另外一些方面来加固内部网络的安全：

  • 隐藏内部的网络拓扑

    这种情况用于互联网防火墙。因为内网一般都会使用私有IP地址，而互联网是Internet的IP地址。由于在IPv4环境下IP地址不足，内部使用大量的私有地址，转换到外部少量的Internet地址，这样的话，外部网络就不会了解到内部网络的路由，也就没法了解到内部网络的拓扑了。同时，防火墙上还会使用NAT技术，将内部的服务器映射到外部，所以从外部访问服务器的时候只能了解到映射后的外部地址，根本不会了解到映射前的内部地址。

  • 带有安全检测防御

    这种功能并不是每一款防火墙都有。安全检测系统（简称“IDS”）是一种对网络传输进行即时监视，在发现可疑传输时发出警报或者采取主动反应措施的网络安全设备。它与其他网络安全设备的不同之处便在于，IDS是一种积极主动的安全防护技术。

  • 会话日志功能

    防火墙都有“会话记录”功能，每一个数据包在经过防火墙之后，都可以在防火墙的会话表中查询到历史访问记录。如果是外部主机访问内部呢？当然，在你的内部网络遭受不安全以后，可以在防火墙上查到从外到内，到底是哪个IP地址非法闯入了。