防火牆具有很好的保護作用，入侵者必須首先穿越防火牆的安全防線，才能接觸目標計算機。 從實現原理上分，防火牆的技術包括四大類：網路級防火牆（也叫包過濾型防火牆）、應用級閘道器、電路級閘道器和規則檢查防火牆。

1、網路級防火牆 一般來說，它是根據源地址和目的地址、應用程式、協議和每個IP包的埠來決定是否透過。路由器是“傳統的”網路級防火牆。大多數路由器可以透過檢查這些資訊來確定是否轉發接收到的資料包，但無法確定IP資料包從何而來，從何而去。 防火牆檢查每個規則，直到發現數據包中的資訊與規則匹配為止。如果沒有可以滿足的規則，防火牆將使用預設規則。通常，預設規則是要求防火牆丟棄資料包。其次，透過定義基於TCP或UDP包的埠號，防火牆可以確定是否允許建立特定的連線，如telnet和FTP連線。

2、應用級閘道器 應用級閘道器可以檢查傳入和傳出的資料包，透過閘道器複製和傳輸資料，防止可信伺服器和客戶端與不可信主機直接建立聯絡。應用層閘道器可以理解應用層的協議，進行更復雜的訪問控制，並進行精細的註冊和審計。 它針對特定的網路應用服務協議，即資料過濾協議，能夠對資料包進行分析並形成相關的報表。應用閘道器對一些易於登入和控制所有輸出和輸入通訊的環境進行嚴格控制，以防止有價值的程式和資料被盜。在實際應用中，應用閘道器通常由一個專用的工作站系統來完成。 然而，每一個協議都需要相應的代理軟體，由於其工作量大，效率不如網路防火牆。應用層閘道器具有較好的訪問控制能力，是目前最安全的防火牆技術，但實現起來比較困難，一些應用層閘道器缺乏“透明性”。 實際上，當用戶透過可信網路上的防火牆訪問Internet時，他們經常發現存在延遲，必須多次登入才能訪問Internet或intranet。

3、電路級閘道器 電路級閘道器用於監控可信客戶端或伺服器與不可信主機之間的TCP握手資訊，以確定會話是否合法。在OSI模型中，電路級閘道器過濾會話層上的包，這比包過濾防火牆高兩層。電路級閘道器還提供了一個重要的安全功能：代理伺服器。 代理伺服器是Internet防火牆閘道器中設定的一種特殊的應用程式級程式碼。此代理服務允許管理員允許或拒絕特定應用程式或應用程式的特定功能。包過濾技術和應用閘道器透過特定的邏輯判斷來決定是否允許特定的資料包透過。 一旦滿足判斷條件，防火牆內網的結構和執行狀態就會“暴露”給國外使用者，這就引入了代理服務的概念，即防火牆內外計算機系統應用層的“鏈路”被兩個代理服務“鏈路”終止，從而實現成功實現了防火牆內外計算機系統的隔離。 同時，代理服務還可以實現強大的資料流監控、過濾、記錄和報告功能。代理服務技術主要由專用計算機硬體（如工作站）承擔。

4、規則檢查防火牆 防火牆結合了包過濾防火牆、電路級閘道器和應用級閘道器的特點。與包過濾防火牆一樣，規則檢查防火牆可以透過OSI網路層上的IP地址和埠號過濾傳入和傳出的包。與電路級閘道器一樣，它可以檢查syn和ACK標記以及序列號是否按邏輯順序排列。 當然，和應用層閘道器一樣，它可以檢查OSI應用層上的包內容，看看這些內容是否符合企業網路的安全規則。儘管規則檢查防火牆集成了前三種防火牆的特性，但它不同於應用層閘道器，因為它不會破壞客戶機/伺服器模式來分析應用層中的資料。 它允許受信任的客戶端和不受信任的主機建立直接連線。規則檢查防火牆不依賴於與應用層相關的代理，而是依賴於某種演算法來識別傳入和傳出的應用層資料。這些演算法通過了解合法資料包的模式來比較傳入和傳出的資料包，從而在理論上比應用程式級代理更有效地過濾資料包。

防火牆指的是一個由軟體和硬體裝置組合而成,位於計算機和它所連線的網路之間的軟體或硬體。該計算機流入流出的所有網路通訊和資料包均要經過此防火牆。 防火牆的作用: 　　

1、網路安全的屏障 　　防火牆能極大的提高電腦網路的安全性，過濾一些不安全的因素，從而提高電腦的安全性。防火牆會阻止一些沒有透過應用協議的軟體，這樣網路環境就會變的更加安全。 　　

2、強化網路安全策略 　　透過以防火牆為中心的安全方案配置，能將所有安全軟體(如口令、加密、身份認證、審計等)配置在防火牆上。與將網路安全問題分散到各個主機上相比，防火牆的集中安全管理更經濟。 　　

3、監控網路存取和訪問 　　電腦的一些實用情況都會有防火牆監控，並且防火牆會及時的做出一些日誌記錄，同時也能提供網路實用情況的統計資料。當發現可以動作的時候，防火牆會及時的進行報警處理，並提供一些資料供分析。 　　

4、放置內部資訊的外洩 　　防火牆不止是阻止外部不良的資訊流入，同時也阻止內部了內部重要的資訊被別人獲取。