6.2.1按實現技術分類

防火牆按照實現的技術分為：

1.包過濾防火牆

包過濾防火牆一般是基於源地址和目的地址、應用、協議以及每個IP包的端口來作出通過與否的判斷。一個路由器便是一個“傳統”的網絡級防火牆，大多數的路由器都能通過檢查這些信息來決定是否將所收到的包轉發，但它不能判斷出一個IP包來自何方，去向何處。防火牆檢查每一條規則直至發現包中的信息與某規則相符。如果沒有一條規則能符合，防火牆就會使用默認規則，一般情況下，默認規則就是要求防火牆丟棄該包。其次，通過定義基於TCP或UDP數據包的端口號，防火牆能夠判斷是否允許建立特定的連接，如Telnet、FTP連接。

2.代理防火牆

用來監控受信任的客戶或服務器與不受信任的主機間的TCP握手信息，這樣來決定該會話（Session）是否合法，電路級網關是在OSI模型中會話層上來過濾數據包，這樣比包過濾防火牆要高二層。它還提供一個重要的安全功能：代理服務器（ProxyServer）。代理服務器是設置在Internet防火牆網關的專用應用級代碼。這種代理服務準許網管員允許或拒絕特定的應用程序或一個應用的特定功能。包過濾技術和應用網關是通過特定的邏輯判斷來決定是否允許特定的數據包通過，一旦判斷條件滿足，防火牆內部網絡的結構和運行狀態便“暴露”在外來用戶麵前，這就引入了代理服務的概念，即防火牆內外計算機係統應用層的“鏈接”由兩個終止於代理服務的“鏈接”來實現，這就成功地實現了防火牆內外計算機係統的隔離。同時，代理服務還可用於實施較強的數據流監控、過濾、記錄和報告等功能。代理服務技術主要通過專用計算機硬件（如工作站）來承擔。

代理是企圖在應用層實現防火牆的功能。代理能提供部分與傳輸有關的狀態，能完全提供與應用相關的狀態和部分傳輸方麵的信息，代理也能處理和管理信息。

3.狀態檢測防火牆

能夠檢查進出的數據包，通過網關複製傳遞數據，防止在受信任服務器和客戶機與不受信任的主機間直接建立聯係。應用級網關能夠理解應用層上的協議，能夠做複雜一些的訪問控製，並做精細的注冊和稽核。它針對特別的網絡應用服務協議即數據過濾協議，並且能夠對數據包分析並形成相關的報告。應用網關對某些易於登錄和控製所有輸出輸入的通信的環境給予嚴格的控製，以防有價值的程序和數據被竊齲在實際工作中，應用網關一般由專用工作站係統來完成。但每一種協議需要相應的代理軟件，使用時工作量大，效率不如網絡級防火牆。應用級網關有較好的訪問控製，是目前最安全的防火牆技術，但實現困難，而且有的應用級網關缺乏“透明度”。在實際使用中，用戶在受信任的網絡上通過防火牆訪問Internet時，經常會發現存在延遲並且必須進行多次登錄（Login）才能訪問Internet或Intranet。

狀態檢查技術能獲得所有層次和與應用有關的信息，防火牆必須能夠訪問、分析和利用通信信息、通信狀態、來自應用的狀態，對信息進行處理。

4.混合型防火牆

混合型防火牆，即采用各種技術來保證安全，取長補短，結合了以上三種防火牆的特點。它同包過濾防火牆一樣，規則檢查防火牆能夠在OSI網絡層上通過IP地址和端口號，過濾進出的數據包。它也像代理防火牆一樣，能夠檢查SYN和ACK標記和序列數字是否邏輯有序。當然它也像狀態檢測防火牆一樣，可以在OSI應用層上檢查數據包的內容，查看這些內容是否能符合企業網絡的安全規則。規則檢查防火牆雖然集成前三者的特點，但是不同於一個規則檢查防火牆的是，它並不打破客戶機/服務器模式來分析應用層的數據，它允許受信任的客戶機和不受信任的主機建立直接連接。規則檢查防火牆不依靠與應用層有關的代理，而是依靠某種算法來識別進出的應用層數據，這些算法通過已知合法數據包的模式來比較進出數據包，這樣從理論上就能比代理防火牆在過濾數據包上更有效。