这是一种应用最广，也是最重要的防火墙应用环境

控制来自互联网对内部网络的访问

这是一种应用最广，也是最重要的防火墙应用环境。在这种应用环境下，防火墙主要保护内部网络不遭受互联网用户（主要是指非法的黑客）的攻击。目前绝大多数企业、特别是中小型企业，采用防火墙的目的就是防止此类攻击。

在这种应用环境中，一般情况下防火墙网络可划分为3个不同级别的安全区域：

内部网络　这是防火墙要保护的对象，包括全部的企业内部网络设备及用户主机。这个区域是防火墙的可信区域（这是由传统边界防火墙的设计理念决定的）。

外部网络　这是防火墙要防护的对象，包括外部互联网主机和设备。这个区域为防火墙的非可信网络区域（也是由传统边界防火墙的设计理念决定的）。

DMZ　它是从企业内部网络中划分的一个小区域，在其中包括内部网络中用于公众服务的外部服务器，如Web服务器、邮件服务器、FTP服务器、外部DNS服务器等，它们都是为互联网提供某种信息服务。

在以上3个区域中，用户需要对不同的安全区域制定不同的安全策略。虽然内部网络和DMZ区都属于企业内部网络的一部分，但它们的安全级别（策略）是不同的。对于要保护的大部分内部网络，一般情况下禁止所有来自互联网用户的访问；而由企业内部网络划分出去的DMZ区，因需为互联网应用提供相关的服务，所以在一定程度上，没有内部网络限制那么严格，如Web服务器通常是允许任何用户进行的正常的访问。