由于传统的内部防火墙信任内网防御外网,在制定安全策略 的时候会针对内部网络和外部网络确定不同的过滤规则。而近些 年,来自内部网络的攻击数量明显增加,边界防火墙却无法抵御 这种攻击,因而主机防火墙显得非常重要。本文在对主机防火墙 的各种技术对比的基础之上,结合计算机网络安全的本质与要 求,对包过滤防火墙这一传统的防火墙体系结构进行了分析与改 进,提出一种充分利用现有技术与实验条件的包过滤防火墙系统 的设计方案,即在保留传统网络边界防火墙的同时,设计一种驻 留在内部网络终端的主机防火墙,将防火墙延伸到内部网络的终 端,从而有效防范来自网络内部的非法访问与恶意破坏。