防火牆作為內部網與外部網之間的一種訪問控制裝置， 常常安裝在內部網和外部網交界點上。防火牆具有很好的網路安全保護作用。入侵者必須首先穿越防火牆的安全防線，才能接觸目標計算機。你可以將防火牆配置成許多不同保護級別。高級別的保護可能會禁止一些服務，如影片流等，但至少這是你自己的保護選擇。主要作用：（1）Internet防火牆可以防止Internet上的危險(病毒、資源盜用)傳播到網路內部。（2）能強化安全策略；（3）能有效記錄Internet上的活動；（4）可限制暴露使用者點；（5）它是安全策略的檢查點。

防火牆的主要型別按照防火牆實現技術的不同可以將防火牆為以下幾種主要的型別。1.包過濾防火牆資料包過濾是指在網路層對資料包進行分析、選擇和過濾。選擇的資料是系統內設定的訪問控制表（又叫規則表），規則表制定允許哪些型別的資料包可以流入或流出內部網路。透過檢查資料流中每一個IP資料包的源地址、目的地址、所用埠號、協議狀態等因素或它們的組合來確定是否允許該資料包透過。包過濾防火牆一般可以直接整合在路由器上，在進行路由選擇的同時完成資料包的選擇與過濾，也可以由一臺單獨的計算機來完成資料包的過濾。資料包過濾防火牆的優點是速度快、邏輯簡單、成本低、易於安裝和使用，網路效能和通明度好，廣泛地用於Cisco和SonicSystem等公司的路由器上。缺點是配置困難，容易出現漏洞，而且為特定服務開放的埠存在著潛在的危險。例如：“天網個人防火牆”就屬於包過濾型別防火牆，根據系統預先設定的過濾規則以及使用者自己設定的過濾規則來對網路資料的流動情況進行分析、監控和管理，有效地提高了計算機的抗攻擊能力。2、應用代理防火牆應用代理防火牆能夠將所有跨越防火牆的網路通訊鏈路分為兩段，使得網路內部的客戶不直接與外部的伺服器通訊。防火牆內外計算機系統間應用層的連線由兩個代理伺服器之間的連線來實現。有點是外部計算機的網路鏈路只能到達代理伺服器，從而起到隔離防火牆內外計算機系統的作用；缺點是執行速度慢，作業系統容易遭到攻擊。代理服務在實際應用

在網路中，所謂“防火牆”，是指一種將內部網和公眾訪問網(如Internet)分開的方法，它實際上是一種隔離技術。防火牆是在兩個網路通訊時執行的一種訪問控制尺度，它能允許你“同意”的人和資料進入你的網路，同時將你“不同意”的人和資料拒之門外，最大限度地阻止網路中的駭客來訪問你的網路。換句話說，如果不透過防火牆，公司內部的人就無法訪問Internet，Internet上的人也無法和公司內部的人進行通訊。

防火牆的功能

防火牆是網路安全的屏障：

一個防火牆（作為阻塞點、控制點）能極大地提高一個內部網路的安全性，並透過過濾不安全的服務而降低風險。由於只有經過精心選擇的應用協議才能透過防火牆，所以網路環境變得更安全。如防火牆可以禁止諸如眾所周知的不安全的NFS協議進出受保護網路，這樣外部的攻擊者就不可能利用這些脆弱的協議來攻擊內部網路。防火牆同時可以保護網路免受基於路由的攻擊，如IP選項中的源路由攻擊和ICMP重定向中的重定向路徑。防火牆應該可以拒絕所有以上型別攻擊的報文並通知防火牆管理員。

防火牆可以強化網路安全策略：

透過以防火牆為中心的安全方案配置，能將所有安全軟體（如口令、加密、身份認證、審計等）配置在防火牆上。與將網路安全問題分散到各個主機上相比，防火牆的集中安全管理更經濟。例如在網路訪問時，一次一密口令系統和其它的身份認證系統完全可以不必分散在各個主機上，而集中在防火牆一身上。

對網路存取和訪問進行監控審計：

如果所有的訪問都經過防火牆，那麼，防火牆就能記錄下這些訪問並作出日誌記錄，同時也能提供網路使用情況的統計資料。當發生可疑動作時，防火牆能進行適當的報警，並提供網路是否受到監測和攻擊的詳細資訊。另外，收集一個網路的使用和誤用情況也是非常重要的。首先的理由是可以清楚防火牆是否能夠抵擋攻擊者的探測和攻擊，並且清楚防火牆的控制是否充足。而網路使用統計對網路需求分析和威脅分析等而言也是非常重要的。

防止內部資訊的外洩：

透過利用防火牆對內部網路的劃分，可實現內部網重點網段的隔離，從而限制了局部重點或敏感網路安全問題對全域性網路造成的影響。再者，隱私是內部網路非常關心的問題，一個內部網路中不引人注意的細節可能包含了有關安全的線索而引起外部攻擊者的興趣，甚至因此而暴漏了內部網路的某些安全漏洞。使用防火牆就可以隱蔽那些透漏內部細節如Finger，DNS等服務。Finger顯示了主機的所有使用者的註冊名、真名，最後登入時間和使用shell型別等。但是Finger顯示的資訊非常容易被攻擊者所獲悉。攻擊者可以知道一個系統使用的頻繁程度，這個系統是否有使用者正在連線上網，這個系統是否在被攻擊時引起注意等等。防火牆可以同樣阻塞有關內部網路中的DNS資訊，這樣一臺主機的域名和IP地址就不會被外界所瞭解。

除了安全作用，防火牆還支援具有Internet服務特性的企業內部網路技術體系VPN（虛擬專用網）。

防火牆的分類

根據防火牆的分類標準不同，防火牆可以分為N多種型別，這裡我們遵循的，當然是根據網路體系結構來進行的分類了，按這樣的標準，可以有以下幾種型別的防火牆：

1.網路級防火牆

先進的網路級防火牆可以判斷這一點，它可以提供內部資訊以說明所透過的連線狀態和一些資料流的內容，把判斷的資訊同規則表進行比較，在規則表中定義了各種規則來表明是否同意或拒絕包的透過。包過濾防火牆檢查每一條規則直至發現包中的資訊與某規則相符。如果沒有一條規則能符合，防火牆就會使用預設規則，一般情況下，預設規則就是要求防火牆丟棄該包。其次，透過定義基於TCP或UDP資料包的埠號，防火牆能夠判斷是否允許建立特定的連線，如Telnet、FTP連線。

下面是某一網路級防火牆的訪問控制規則：

(1)允許網路123.1.0使用FTP(21口)訪問主機150.0.0.1；

(2) 允許IP地址為202.103.1.18和202.103.1.14的使用者Telnet(23口)到主機150.0.0.2上；

(3)允許任何地址的E-mail(25口)進入主機150.0.0.3；

(4)允許任何WWW資料（80口）透過；

(5)不允許其他資料包進入。

網路級防火牆簡潔、速度快、費用低，並且對使用者透明，但是對網路的保護很有限，因為它只檢查地址和埠，對網路更高協議層的資訊無理解能力。

2.應用級閘道器

應用級閘道器就是我們常常說的“代理伺服器”，它能夠檢查進出的資料包，透過閘道器複製傳遞資料，防止在受信任伺服器和客戶機與不受信任的主機間直接建立聯絡。應用級閘道器能夠理解應用層上的協議，能夠做複雜一些的訪問控制，並做精細的註冊和稽核。但每一種協議需要相應的代理軟體，使用時工作量大，效率不如網路級防火牆。

常用的應用級防火牆已有了相應的代理伺服器， 例如： HTTP、 NNTP、 FTP、Telnet、rlogin、X-Windows等，但是，對於新開發的應用，尚沒有相應的代理服務，它們將透過網路級防火牆和一般的代理服務。

應用級閘道器有較好的訪問控制，是目前最安全的防火牆技術，但實現困難，而且有的應用級閘道器缺乏"透明度"。在實際使用中，使用者在受信任的網路上透過防火牆訪問Internet時， 經常會發現存在延遲並且必須進行多次登入（Login） 才能訪問Internet或Intranet。

3.電路級閘道器

電路級閘道器用來監控受信任的客戶或伺服器與不受信任的主機間的TCP握手資訊,這樣來決定該會話(Session) 是否合法,電路級閘道器是在OSI模型中會話層上來過濾資料包,這樣比包過濾防火牆要高二層。

實際上電路級閘道器並非作為一個獨立的產品存在，它與其他的應用級閘道器結合在一起， 如TrustInformationSystems公司的GauntletInternetFirewall；DEC公司的AltaVistaFirewall等產品。 另外，電路級閘道器還提供一個重要的安全功能：代理伺服器（ProxyServer） ，代理伺服器是個防火牆，在其上執行一個叫做"地址轉移"的程序，來將所有你公司內部的IP地址對映到一個"安全"的IP地址，這個地址是由防火牆使用的。但是，作為電路級閘道器也存在著一些缺陷，因為該閘道器是在會話層工作的，它就無法檢查應用層級的資料包。

4.規則檢查防火牆

該防火牆結合了包過濾防火牆、電路級閘道器和應用級閘道器的特點。它同包過濾防火牆一樣， 規則檢查防火牆能夠在OSI網路層上透過IP地址和埠號，過濾進出的資料包。它也象電路級閘道器一樣，能夠檢查SYN和ACK標記和序列數字是否邏輯有序。當然它也象應用級閘道器一樣， 可以在OSI應用層上檢查資料包的內容，檢視這些內容是否能符合公司網路的安全規則。

規則檢查防火牆雖然整合前三者的特點，但是不同於一個應用級閘道器的是，它並不打破客戶機/服務機模式來分析應用層的資料， 它允許受信任的客戶機和不受信任的主機建立直接連線。規則檢查防火牆不依靠與應用層有關的代理，而是依靠某種演算法來識別進出的應用層資料，這些演算法透過已知合法資料包的模式來比較進出資料包，這樣從理論上就能比應用級代理在過濾資料包上更有效。

目前在市場上流行的防火牆大多屬於規則檢查防火牆，因為該防火牆對於使用者透明，在OSI最高層上加密資料，不需要你去修改客戶端的程式，也不需對每個需要在防火牆上執行的服務額外增加一個代理。如現在最流行的防火牆之一OnTechnology軟體公司生產的OnGuard和CheckPoint軟體公司生產的FireWall-1防火牆都是一種規則 檢查防火牆。

綜上所述，從趨勢上看，未來的防火牆將位於網路級防火牆和應用級防火牆之間，也就是說，網路級防火牆將變得更加能夠識別透過的資訊，而應用級防火牆在目前的功能上則向“透明”、“低階”方面發展。最終防火牆將成為一個快速註冊稽查系統，可保護資料以加密方式透過，使所有組織可以放心地在節點間傳送資料。

網路防火牆就是為了網路安全設在計算機中和網路之間的軟體，是保護電腦的一個重要環節，防火牆對流經它的網路通訊進行掃描，能夠過濾掉一些攻擊，雙向、立體和多層次的防護可以讓計算機免受各類網路安全隱患和攻擊的影響，有效保護我們的計算機。

主要作用

1、網路安全屏障

我們知道，想了解世界，就需要網路，那麼計算機是人們不錯的選擇，當我們開啟計算機時，沒有裝防毒軟體，就會透過網路攻擊我們的系統或者植入病毒，癱瘓系統。只有裝了防毒軟體，即防火牆，來之外部的攻擊就會及時制止，立刻報告防火管理員。

2、防止內部資訊外洩

透過利用防火牆對內部網路的劃分，可實現內部網重點網段的隔離，從而限制了局部重點或敏感網路安全問題對全域性網路造成的影響，防止內部資訊外洩，保護隱私。

3、審計監控功能

透過防火牆，我們每天上網的情況，防火牆就能記錄下這些訪問並作出日誌記錄，同時也能提供網路使用情況的統計資料，當發生可疑情況時，就會報警，如果強制執行，那麼就會對我們的網路安全不保證，防止釣魚網站。

4、網路安全保障

防火牆將所有的安全軟體，囊在自己的懷中，為我們的網路安全提供保障。

型別

1、過濾型防火牆

通常安裝在路由器上，過濾規則以IP包資訊為基礎，對IP源地址、目標地址、封裝協議、埠號等進行篩選。包過濾在網路層進行。

2、代理伺服器型防火牆

伺服器端程式和客戶端程式兩部門組成，客戶端程式與中間節點連線，中間節點再與提供服務的伺服器實際連線。與包過濾防火牆不同的是，內網路間不存在直接的連線，而且代理伺服器提供日誌和審計服務。

3、複合型防火牆

前兩種型別結合起來，形成新的防火牆，由堡壘主機提供代理服務。

防火牆作為內部網與外部網之間的一種訪問控制裝置， 常常安裝在內部網和外部網交界點上。防火牆具有很好的網路安全保護作用。

入侵者必須首先穿越防火牆的安全防線，才能接觸目標計算機。你可以將防火牆配置成許多不同保護級別。高級別的保護可能會禁止一些服務，如影片流等，但至少這是你自己的保護選擇。

網路防火牆的主要作用如下：

（1）Internet防火牆可以防止Internet上的危險(病毒、資源盜用)傳播到網路內部；（2）能強化安全策略；

（3）能有效記錄Internet上的活動；

（4）可限制暴露使用者點；

（5）它是安全策略的檢查點。

網路防火型別有以下：

1、網路層防火牆：網路層防火牆保護整個網路不受非法入侵；

2、應用級閘道器防火牆：應用級閘道器防火牆控制對應用程式的訪問, 即允許訪問某些應用程式而阻止訪問其他應用程式；

3、監測型防火牆：監測型防火牆是新一代的產品, 這一技術實際已經超越了最初的防火牆定義。

防火牆按照位置分，分兩大類，網路防火牆和主機防火牆。

主機防火牆主要就是我們常見的可以安裝到作業系統的軟體，比如Linux的iptables，比如Windows自帶的防火牆，都可以基於五元組進行簡單的包過濾，特點是成本低，效能也低。

網路防火牆一般指硬體防火牆，，效能高，成本高，一般部署在網路入口，服務於防火牆背後的本地區域網。

目前硬體防火牆國內市場份額排名前三的廠商是天融信，華為，新華三，去人家官網看看就知道網路防火牆的作用和分類了。

沒想到吧，雖然現在普通老百姓只知道華為手機，華為鴻蒙系統，華為HMS，可人家最牛的地方根本就不在這裡，主營業務是向運營商賣網路裝置。網路裝置當然包括硬體防火牆，我們直接拿華為防火牆舉例來描述硬體防火牆的作用和種類吧，我們上官網看一下華為賣的防火牆吧，看上去還是蠻多的，就進入最新的USG6600看一下它有哪些功能。

具體引數我就不說了，專業安全運維可能才能理解，我們直接看一體化防護一欄：集傳統防火牆、VPN、入侵防禦、防病毒、資料防洩漏、頻寬管理、Anti-DDoS、URL過濾、反垃圾郵件等多種功能於一身，全域性配置檢視和一體化策略管理。

我說這麼多的目的是什麼，主要是想說現在很多廠商力推下一代防火牆已經綜合了很多傳統防火牆功能，題主所問的傳統防火牆的分類（包過濾防火牆，應用閘道器防火牆，狀態檢測防火牆）在現在沒有任何意義，全部集成了，統稱為NGFW（Next Generation Firewall）。

防火牆是系統的第一道防線，能夠有效防止非法使用者侵入。

防火牆型別

1.網路層防火牆

2.應用層防火牆

3.資料庫防火牆