從技術上，可以把防火墻分為包過濾型、應用代理(網關防火墻)和狀態監洲型防火墻三大類。

1.包過濾(Packet filtering)型

包過灘型防火墻工作在Os'網絡今考模型的網絡層和傳輸層.它根獄數據包頭湘地址、11的地址、端口兮和協議類型等標志確定是否允許通過。只有滿足過濾條件的數據包才被轉發到相應的目的地，其余數據包則被從數據流中丟棄。

包過論方式是一種通用、廉價和有效的女全手段。之所以通用，是因為它不是針對各個具體的網絡服務采取特殊的處理方式，適用于所有網絡服務:之所以賺價，是因為人多數路由器都提供數據包過漣功能，所以這類防火墉多數是由路由器染成的:之所以有效，是因為它能很大Pi度上滿足絕大多數企業安全要求。

在整個防火墻技術的發展過程中.包過濾技術出現了兩種不同版本.分別為第一代靜態包過漣和第二代動態包過濾。

第一代砂態包過濾類型防火墻幾乎是與路由器同時產生的.它足報據定義好的過濾規則審查每個數據包，以便確定其足否與某一條包過灘規則匹配。過論規則4于數據包的報頭信息進行制訂。報頭信息如圖“一所示。

第二代動態包過逮類型防火坡采用動態設置包過池規4d9的方法.遙免了靜態包過濾所產生的問脫.這種技術后來發展成為包狀態監側(Stateful Inspection)技術.采用這種技術的防火墻對通過其建立的姆一個連接都進行跟蹤.井且報據需要可動態地在過漣規則中琳加或更新條目。

包過滋方式的優點是不用改動客戶機和主機卜的應用程序，因為它工作在網絡層和傳輸層，與應用層無關。但其弱點也是明顯的:過漣到別的依據只是網絡層和傳愉層的有限信息，因而各種安全要求不可能充分滿足:在許多過灘器中.過漣規則的數目是有限制的，A隨樸規WIJ'k1C ,1的增加，性能會受到很大的形響:由于缺少上下文關聯信息，不能有效地過濾如UDP.RPC(遠程過程調用)一類的協議;另外，大多數過濾器中缺少審計和報普機制.其只能依據包頭信息，而不能對用戶身份進行毅證，很容易受到地址欺編型攻擊:對安全粉理人員素質要求高，建立安全規則時.必須對協議本身及其在不同應用程序中的作用有較深入的理解。因此.過灘器通常是和應用網關配合使用.共同組成防火墻系統。

2.應用代理(Application Proxy)型

應川代理防火墻是工作在Os'的址高層，即應川層。J〔特點是完全限隴了網絡通信流.通過對梅種應川服務編制專門的代理程序.實現監視和控制應用層通信流的作用。

在代理型防火墻技術的發展過程中，它也經歷了兩個不同的版本.即:第，t應用網關型代理防火端和第二代自適應代理防火堵.

第一代應用網關(Application Gateway)型防火墻是通過一種代理(Proxy)技術參與到一個TCP連接的全過程。從內部發出的數據包經過這樣的防火墻處理后，就好像是派于防火墻外部網P一樣.從而可以達到險藏內部網絡結構的作用。這種類型的防火墻被網絡安全專家和媒體公認為是址安全的防火墻。其核心技術就是代理服務器技術。

第二代白適應代理(Adaptive Proxy)型防火坡是近幾年才得到廣泛應川的一種新防火墻類獄 .其可以結合代理類型防火端的安全性和包過渡防火墻的高速度等優點，在毫不損失安全性的從礎之上將代理型防火境的性能褪高10倍以上。組成這種類型防火墻的從本要素有兩個:(1適應代理服務器(Adaptive Proxy Server)與動態包過漣X (Dynamic Packet Filter).

在自適應代理服務器與動態包過濾器之間存在著一個控制通通.在對防火坡進行配R時.用戶僅僅將所需要的服務類型、安全級別等信息通過相應代理的管理界面進行設置就可以了。然后，自適應代理就可以報據用戶的配叉信息.決定是使用代理服務從應用層代理請求還足從網絡層轉發包。如果是后者.其將動態地通知包過漣器埔減過灘規則.滿足用戶對速度和安個性的雙R要求。

代理類型防火坡及突出的優點就是安全。由于它工作于且高層.所以它可以對網絡中任何一層數據通信進行篩選保護，而不是像包過漣那樣，只是對網絡層的數據進行過濾。

另外代理型防火墻采取的是一種代理機制.它叮以為14一種應用脹務建立一個專門的代理，所以內外部網絡之間的通信不是直接的，而都需先經過代理瓜務器審核.通過后再山代理服務器代為連接.根本沒有給內、外部網絡計算機任何直接會話的機會.從而遺免了入授者使川數據i動類型的攻擊方式入浸內部網。

代理防火坡的址人缺點就是速度相對比較慢，當用戶對內外部網絡網關的吞吐皿要求比較商時.代理防火堵就會成為內外部網絡之間的瓶煩。那是因為防火堵需要為不同的網絡服務建立專門的代理服務，在自己的代理程序為內、外部網絡用戶建立連接時需要時間.所以給系統性能帶來了一此負I創影響.似通常不會很明枝。

3.狀態監測(Stateful Inspection )型

狀態監測是比包過論吏為有效的安全控制方法，它是綜合包過漣技術和應用代理技術而發展的防火墻技術，這種防火培技術通過一種被稱為狀態監視的模塊.在不影響網絡安全正常工作的前提下采用抽取相關數據的方法對網絡通信的各個層次實行監淵.并根據各種過灘規則做出安全決策。

狀態監側技術不僅對擬個數據包的頭部(包括協議、地址、端口、類型等)信息進行分析.同時還共有會話過論(SessionFiltering)功能.在每個連接建立時.防火墻會為這個連接構造一個會話狀態.里面包含了該連接數據包的所有信息，以后這個連接都從于這個狀態信息進行.這種檢洲的優點是能對姆個數據包的內容進行監視.一旦建立了一個會話狀態.則此后的數據傳翰都要以此會話狀態作為依據.例如一個連接的數據包渾端口是8000.那么在以后的數據傳翰過程中防火墻都會審核這個包的薄端口還是不是8000.古則這個數據包就被攔截。而It會話狀態的保留是有時間限制的.在超時的范川內如果沒有再進行數據傳輸.這個會話狀態就會被丟棄。狀態監視可以對數據包內容進行分析.從而擺脫了傳統防火姍只對數據包頭信息檢洲的局限性.而且這種防火墉不必開放過多端口，進一步杜絕了可能因為開放端口過多而帶來的安全隱患。

綜合以上3類防火墻來講.它們所擁有的特征各不相同，對比如下所述。

包過逮防火墻不檢查數據區.不建立連接狀態表，前后報文無關.應用層控制很弱。應用網關防火坡不檢查IP, TCP報頭.不建立連接狀態表，網絡層保護比較弱。狀態檢側防火坡不檢查數據區，建立連接狀態表，前后報文相關，應用層控制很弱。