防火墙的设计目标是：

　　1 进出内部网的通信量必须通过防火墙。

　　2 只有那些在内部网安全策约中定义了的合法的通信量才能进出防火墙。

　　3 防火墙自身应该防止渗透。

　　防火墙能有效的防止外来的入侵，它在网络系统中的作用是：

　　1 控制进出网络的信息流向和信息包。

　　2 提供使用和流量的日志和审记。

　　3 隐藏内部IP以及网络结构细节。

　　4 提供虚拟专用网功能。

　　通常有两种设计策约：允许所有服务除非被明确禁止；禁止所有服务除非被明确允许。

　　防火墙实现站点安全策约的技术：

　　3 服务控制。确定在围墙外面和里面可以访问的INTERNET服务类型。

　　4 方向控制。启动特定的服务请求并允许它通过防火墙，这些操作具有方向性。

　　5 用户控制。根据请求访问的用户来确定是或提供该服务。

　　6 行为控制。控制如何使用某种特定的服务。

　　影响防火墙系统设计，安装和使用的网络策约可以分为两级：

　　高级的网络策约定义允许和禁止的服务以及如何使用服务。

低级的网络策约描述了防火墙如何限制和过滤在高级策约中定义的服务。