的每一个分组，按照分组过滤规则加以判断，符合规则的分组被转发，不符合规则的分组将被丢弃。分组过滤规则一般是基于部分或全部报头的内容，例如，对于TCP报头信息，可以是源地址、目的地址、协议类型等。实现分组过滤的关键是制定分组过滤规则。对于防火墙系统，只要在分组过滤规则中对特定的IP端口、内装协议、分组地址等不安全因素加以禁止就可以有效地防止黑客对内部网络的攻击。242应用代理技术
代理服务是另一种类型的防火墙，它通常是一个软件模块，运行在一台主机上。代理服务器与路由器合作，路由器实现内部和外部网络交互时的信息流导向，将所有的相关应用服务请求传递给代理服务器。代理服务作用在应用层，其特点是完全“阻隔”了网络通信流，通过对每种应用服务编制专门的代理程序，实现监视和控制应用层通信流的作用。应用代理技术的优点：使得受保护和未受保护的网络完全分离确保没有数据包被允许从一个网络直接发送到另一个网络。243网络地址转换NAT技术
由于接入因特网的主机数量的急剧膨胀，IPv4地址逐步面临耗尽的危机，而IPv6的实际应用还有待时日。随着高校校园网用户的增多，高校所获得的公网IP地址（全局IP地址）难以满足校园网中的实际上网设备，这种现象具有加剧的倾向。一种可能的解决方案是在校园网内部使用自定义的IP地址（称为本地IP地址），当内网用户希望访问外网时，用专门的路由器（NAT路由器）负责全局本地IP地址的映射。使用地址转换技术可以用极少公网IP地址让校园网中成千上万的用户访问因特网。通过使用地址转换技术还可以有效地隐藏内网主机的IP地址，使内网主机避免许多来自外网的攻击。25设置防火墙的必要性1集中化的安全管理，强化安全策略。由于I
ter
et上每天都有上百万人在收集信息和交换信息，不可避免地会出现个别品德不好、违反规则的人．防火墙是为了防止不良现象发生的“交通警察”，它执行站点的安全策略。仅仅容许“认可的”和符台规则的请求通过。2网络使用进行统计。因为防火墙是所有进出信息必须的通路，所以防火墙非常适用于收集关于系统和网络使用和误用的信息。作为访问的惟一点，防火墙能在被保护的网络和外部网络之问进行记录，对网络存取访问进行统计。3保护那些易受攻击的服务。防火墙能够用来隔开网络中一个网段与另一个网段的连接。这样，能够防止影响一个网段的问题通过整个网络传播。
3CiscoPIX515防火墙在校园网中的应用实例
CiscoPIX515是业界性能最高的防r