「防火牆」大概是使用最為廣泛的字詞,用來描述提供及管理網路之間的連結機制,同時還能控制其間的資料流。嚴格來說,本節中描述的機制稱為「封包過濾器」。封包過濾器根據特定標準 (如通訊協定、通訊埠和 IP 位址) 規範資料流。這樣允許您根據封包的位址,阻斷不應該送到您網路上的封包。例如,若要允許公用存取您的網頁伺服器,請明確開啟對應連接埠。不過,封包過濾器不會掃描具有正常位址的封包內容,如導向您網頁伺服器的那些封包。例如,即使內送封包意圖危害您網頁伺服器上的 CGI 程式,封包過濾器仍會讓這些封包通過。
更有效但更複雜的機制是數種系統類型的組合,如與應用程式閘道或 Proxy 互動的封包過濾器。這個時候,封包過濾器會拒絕預定給停用連接埠的任何封包。只有導向到應用程式閘道的封包才會被接受。此閘道或 Proxy 會假裝是伺服器的實際用戶端。以這種意義而言,這類 Proxy 會視為通訊協定層級上應用程式所使用的偽裝主機。這種 Proxy 的範例之一是 Squid,一種 HTTP Proxy 伺服器。若要使用 Squid,瀏覽器必須設定成透過 Proxy 進行通訊。要求的任何 HTTP 頁面會從 Proxy 快取取得,而快取中找不到的頁面會透過 Proxy 從網際網路抓取。另一個範例則是,SUSE proxy-suite (proxy-suite) 為 FTP 通訊協定提供 Proxy。
下節將焦點放在 SUSE Linux Enterprise 隨附的封包過濾器。如需有關封包過濾及防火牆的詳細資訊,請參閱 howto 套件中包含的「防火牆 HOWTO」內容。如果安裝了此套件,請使用 less/usr/share/doc/howto/en/txt/Firewall-HOWTO.gz 閱讀 HOWTO。