如果你爱他，请把他圈进“防火墙”，因为那里是天堂；如果你恨他，请把他圈进“防火墙”，因为那里是地狱。

    这里所介绍的“防火墙”，包括但不限于市场上的现成产品，也不限于它们的集成系统，而是一种古老有效的安全思想；一种在未来任何时代，都将永放光芒的哲学体系。作为一本以“为百姓明心，为专家见性；为安全写简史，为学科开通论”为宗旨的高级科普，本书无论如何也不能回避“网络防火墙”；因为，它是全世界通行的，安全防御基本技术之一，并曾经与“密码”和“入侵检测”一起，在很长一段时间内，扮演着保卫网络空间安全的“三剑客”角色。

    从哲学上看，人类彼此之间的任何矛盾，都来自于“区别”。没有区别，就没有矛盾；没有矛盾，就没有人为制造的绝大部分安全问题，当然，这里不包含自然灾害引发的安全问题等。而网络空间中的主要安全问题，基本上都是人为制造的；它们都是由各种矛盾所引发；而引发这些矛盾的根源，却都是各种各样的“区别”。

    上面一段话，好像绕口令，但是，绝不多余；它告诉我们：在网络空间中，“区别”不可避免，毕竟虚拟世界只是“现实社会，在网络中的投影”而已。

    面对“区别”，如何解决相关的安全问题呢？无非两条路：其一，“修路、建桥”，将有“区别”的各方连接起来，使他们像“热熵”那样充分融合，直到最终达到“热平衡”，从而，“区别”消失，安全问题也就迎刃而解。此路的优点是，能彻底消除产生矛盾的根源；缺点是，时间长、速度慢；不过，像民族融合等大矛盾，非此路不通；比如，汉族就是由多个民族，长期融合而来。第二条路，就是“修墙、守门”，将有“区别”的各方，分别圈起来，让他们彼此隔绝，感觉不到“区别”的存在，从而，将矛盾外化，以此消灭内部安全问题。此路的优点是，见效快；缺点是，治标不治本。而“防火墙”就是第二条路的产物，它暂时隐藏了“区别”，缓解了矛盾。

    严格地说，“防火墙”这个名字是不完整的，因为，它只强调了第二条路的前半部分“修墙”，却忽略了更重要的后半部分：“守门”！所以，“防火墙”不该是拦水坝那样的死墙，而是有自己的“居庸关”，关口有结实的城门，城门有忠诚的卫兵；卫兵们严格按照指令，对来往行人进行或疏、或堵。

    （节选自《安全简史》第9章防火墙。作者系北京邮电大学信息安全中心主任）