具有让世界上任何地方任何计算机相连的能力是一件喜忧参半的事。对于坐在家中环游因特网的人来说，是乐趣无穷；但对于公司的安全性主管，这是一个噩梦。大多数公司在网上都有大量的机密信息------商务秘密、产品开发计划、商场战略、经济分析等。让竞争者知道这些信息会产生难以预料的后果。
一、防火墙技术
除了信息外泄的危险，还有信息渗入的危险。特别是，病毒等各种数字害虫（Kaufman）会破坏机密，毁掉有价值的数据，并浪费管理员大量的时间清理它们留下的垃圾。一种方法是加密，这种办法可以保护数据在两个安全点之间的传送。但是，加密并不能防止数字害虫和黑客的入侵。要达到这一目的，我们要用要防火墙。对于拥有多个LAN的公司的内部网络可以任意连接，但进出该公司的通信量必须经过防火墙。防火墙通常由两个组成部分：两个用作分组筛选的路由器和一个应用程序网关。也有更简单的配置，但这种设计的优点在于，每个进出的分组都必须经过两个筛选器和一个应用程序网关，不再有其他的路由器。每个分组筛选器（packet filter）是一个装备有额外功能的标准路由器，这些额外功能用来检查每个进出的分组。符合某种标准的分组被正常转发，不能通过检查的就被丢弃。


如上图所示,很有可能位于内部LAN的分组筛选器检查外出分组，而位于外部LAN的分组筛选器检查进入分组。通过第一道关卡的分组再送入应用程序网关作进一步的检查。将两个分组筛选器分别放到两个网络上的原因，是为了保证没有进出分组能不经过应用程序网关，也就是说没有可绕过它的路由可走。
应用程序网关除了只查看纯分组，还在应用程序级对其进行操作。例如，一个邮件网关可用来检查每条进出的信息。对于每条信息，它根据头信息字段、消息长度、甚至内容来决定是传送还是丢弃(例如，在军事应用中，“原子弹”或“炸弹”字眼的出现可能会导致某些特别行为)。
可以为特殊的应用程序安装一个或多个应用程序网关，但往往谨慎的机构只允许电子函件的进出和使用万维网，其他的应用被认为太危险而禁止使用。结合加密和分组筛选，可提供有限的安全性，其代价是有些不方便。值得一提的是设计一个逻辑上完全安全的系统很容易，但实际上可能像筛子一样漏洞百出。如果有些机器是无线上网的，并且使用微波通信，正好从两个方向上绕过了防火墙，就会出现上述情形。