防火墙系统的组成

　　在确定了防火墙的姿态、安全策略、以及预算问题之后，就能够确定防火墙系统的特定组件。典型的防火墙有一个或多个构件组成：

　　· 包过滤路由器
　　· 应用层网关（或代理服务器）
　　· 电路层网关

　　 在后面我们将讨论每一种构件，并描述其如何一起构成一个有效的防火墙系统。

　　构件：包过滤路由器

　　包过滤路由器（图4）对所接收的每个数据包做允许拒绝的决定。路由器审查每个数据报以便确定其是否与某一条包过滤规则匹配。过滤规则基于可以提供给IP转发过程的包头信息。包头信息中包括IP源地址、IP目标端Ｆ地址、内装协（ICP、UDP、ICMP、或IP Tunnel）、TCP/UDP目标端口、ICMP消息类型、包的进入接口和出接口如果有匹配并且规则允许该数据包，那么该数据包就会按照路由表中的信息被转发。如果匹配并且规则拒绝该数据包，那么该数据包就会被丢弃。如果没有匹配规则，用户配置的缺省参数会决定是转发还是丢弃数据包。