(1)防火墙的姿态

　　肪火墙的姿态从根本上阐述了一个机构对安全的看法。internet防火墙可能会扮演两种截然相反的姿态。其一，允许没有特别拒绝的任何事情。这种姿态假定防火墙应该转发所有的信息，任何可能存在危害的服务都应在Case—By—Case的基础上关掉。这种方案建立的是个非常灵活不易使用，因为这种方式限制了门户的选择范围。

　　(2)机构的安全策略

　　如前所述，hc巳丌-d防火墙并不是独立的，它是机构总体安全策略的一部分。机构总体安全策略定义安全防御的方方面面。机构知道具所保护的是什么．安全策略必须建立在精心进行的安全分析、风险r平估以及商业需求分析的基础之上。如果机构没有详细的安全策略，无论如何精心构建的防火墙都会被绕过去，从而使整个内部网络都暴露在攻击面下。

　　机构能够负担起什么样的防火墙?简单的分组过滤防火墙费用最低，因为机构至少需要一个路由器才能进入Interne!，并且分组过滤功能包括在标准的路由器配置之中。商业的防火墙系统提供了附加的安全功能，具体的价格要看系统的复杂程度和需要保护的系统数量。如果一个机构有自己的专业人员，也可以构建自己的防火墙系统，但是有开发时间和部署防火墙系统的费用问题，还有防火墙系统的管理和维护等，这些都要增加费用。

　　应给予特别注意的是，Intemet防火墙不仅仅是路由器、堡垒主机或任何提供网络安全的设备的组合，它也是安全策略的个部分，安全策略建立了全方位的防御体系来保护机构的信息资源，所有可能受到网络攻击的地方都必须以同样的安全级别加以保护。仅设立防火墙系统，而没胄全面的安全策略，那么防火墙就形同虚设。

　　(3)防火墙系统的组件

　　在确定丁防火墙的姿态、安全策略以及经费预算问题之后，就能够确定防火墙系统的特定组件了。典型的防火墙由一个或多个组件构成：阻过滤路由器、应用层网关(或代理服务器)和电路层网关。