防止內(nèi)部信息的外泄

通過利用防火墻對內(nèi)部網(wǎng)絡的劃分，可實現(xiàn)內(nèi)部網(wǎng)重點網(wǎng)段的隔離，從而限制了局部重點或敏感網(wǎng)絡安全問題對全局網(wǎng)絡造成的影響。再者，隱私是內(nèi)部網(wǎng)絡非常關(guān)心的問題，一個內(nèi)部網(wǎng)絡中不引人注意的細節(jié)可能包含了有關(guān)安全的線索而引起外部攻擊者的興趣，甚至因此而暴漏了內(nèi)部網(wǎng)絡的某些安全漏洞。使用防火墻就可以隱蔽那些透漏內(nèi)部細節(jié)如Finger，DNS等服務。Finger顯示了主機的所有用戶的注冊名、真名，登錄時間和使用shell類型等。但是Finger顯示的信息非常容易讓攻擊者所獲悉。攻擊者可以知道一個系統(tǒng)使用的頻繁程度，這個系統(tǒng)是否有用戶正在連線上網(wǎng)，這個系統(tǒng)是否在讓攻擊時引起注意等等。防火墻可以同樣阻塞有關(guān)內(nèi)部網(wǎng)絡中的DNS信息，這樣一臺主機的域名和IP地址就不會被外界所了解。除了安全作用，防火墻還支持具有Internet服務性的企業(yè)內(nèi)部網(wǎng)絡技術(shù)體系VPN（虛擬網(wǎng)）。

過濾型防火墻

在Linux系統(tǒng)下,過濾功能是內(nèi)建于核心的（作為一個核心模塊，或者直接內(nèi)建），同時還有一些可以運用于數(shù)據(jù)包之上的技巧，不過常用的依然是查看包頭以決定包的命運。 過濾防火墻將對每一個接收到的包做出允許或拒絕的決定。具體地講，它針對每一個數(shù)據(jù)包的包頭，按照過濾規(guī)則進行判定，與規(guī)則相匹配的包依據(jù)路由信息繼續(xù)轉(zhuǎn)發(fā)，否則就丟棄。過濾是在IP層實現(xiàn)的，過濾根據(jù)數(shù)據(jù)包的源IP地址、目的IP地址、協(xié)議類型（TCP包、UDP包、ICMP包）、源端口、目的端口等包頭信息及數(shù)據(jù)包傳輸方向等信息來判斷是否允許數(shù)據(jù)包通過。

對個人用戶直接威脅的蠕蟲病毒防火墻

在以上分析的蠕蟲病毒中，只對安裝了特定的微軟組件的系統(tǒng)進行攻擊，而對廣大個人用戶而言，是不會安裝iis(微軟的因特網(wǎng)服務器程序，可以使允許在網(wǎng)上提供web服務)或者是龐大的數(shù)據(jù)庫系統(tǒng)的！因此上述病毒并不會直接攻擊個個人用戶的電腦(當然能夠間接的通過網(wǎng)絡產(chǎn)生影響)，但接下來分析的蠕蟲病毒，則是對個人用戶威脅較大，造成的損失也更大的一類蠕蟲病毒。