防火墻通常位于一個網絡的網關服務器的位置,它可以保護一個企業的私有網絡資源免受外部網絡的影響。防火墻在IT安全中扮演著一個中心的角色,它面向外部世界對企業網絡起著重要的保護作用。

雖然現在有幾種防火墻，但這個詞基本上可被定義為存儲在網關服務器上的相關安全程序的組合，這些程序共同地保護網絡資源免受其它網絡用戶的訪問或破壞。

從其形式上來看，有兩大種類，一是硬件防火墻，二是軟件防火墻。硬件防火墻是一個擁有多個端口的金屬盒子，它是一套預裝有安全軟件的專用安全設備，一般采用專用的操作系統。而軟件防火墻通常可以安裝在通用的網絡操作系統（如Windows和Linux）上。

根據數據通信發生的位置，可將防火墻分為幾種類型，一是網絡層防火墻,它也被稱為數據包過濾器，它運行在TCP/IP堆棧結構的第三層，在數據包與所建立的規則相匹配時才準許其通過。這意味著防火墻根據預先定義的規則接受或拒絕IP數據包。如下圖1所示：

通過數據過濾，這種防火墻仔細檢查每個數據包的協議和地址信息，卻不考慮其內容和上下文數據。數據包過濾防火墻的主要優點是其相對而言的簡單性、低成本、易于部署等特性。Windows某些版本中的防火墻就屬于此類型。

應用層防火墻：它運行在TCP/IP堆棧結構的最高層，它可以截獲一個應用程序的所有數據包。大體上，應用層防火墻可以阻止所有外部的惡意通信達到受保護的機器。通過這種方法，防火墻實際上代表了一個應用程序代理，它支持與遠程系統的所有數據交換。其主要觀念是要使防火墻后的服務對遠程系統不可見。

應用層防火墻根據特定的規則集接受或拒絕數據通信。例如，防火墻準許某些命令進入服務器而禁用其它命令。這種技術還可以被用于限制特定文件類型的訪問，并可以對獲得授權和未獲得授權的用戶提供不同的訪問級別。那些要求詳細的數據監視和登錄信息的用戶喜歡應用層防火墻，因為它不會影響性能。IT管理員可以設置應用層防火墻，在預先定義的條件發生后，它可以激發警告。應用層網關一般部署在一個獨立的與網絡連接的計算機上，通常它稱為一個代理服務器。代理服務器屬于一種特殊的應用層防火墻，它使得從外部網絡破壞內部資源更加困難，使得對一個內部系統的濫用或誤用不會被防火墻外部的攻擊者造成安全損害。

電路級防火墻：這種防火墻并不是簡單地接受或拒絕數據包，它還可以根據一套可配置的規則來決定一個連接是否合法。如果通過檢查，防火墻就打開一個會話，并準許與經過認證的源進行數據通信。防火墻也可以限制這種通信的時間長短。此外，防火墻還可以執行源IP地址和端口、目標IP地址和端口、使用的協議、用戶ID、口令等的驗證。它也可以執行數據包過濾。

電路防火墻的缺點是其運行在傳輸層上，因此它可能需要對傳輸功能設計的重大修改，這就會影響網絡性能。此外，這種防火墻要求一些專業性強的安裝和維護技術。

狀態檢查多級防火墻：有人稱之為最好的防火墻，這種防火墻的目的是為了將多種防火墻的最好特性結合起來。狀態檢查多級防火墻可以執行網絡層的數據包過濾，同時又可以識別和處理應用層的數據。這種防火墻可以提供更高級的網絡保護，不過其價格也相對較高。

企業一般根據其需要和喜好來選擇防火墻。通常情況下，購買防火墻會考慮：防火墻的體系結構、所需要的并發防火墻會話的數量、所需要的外部訪問的范圍和類型、所需要的VPN協議的類型和數量、需要保護的并發VPN的數量、管理用戶接口的種類（屬于命令行接口、圖形用戶接口還是Web界面），以及對高可用性特性的需要。

還要注意，多數防火墻廠商都提供了附加功能，這些附加功能可以擴展防火墻的功能。這種特性有許多，如反病毒功能、入侵防御、防火墻的使有和活動報告。有些防火墻已經具備了統一威脅管理（UTM）的特點。考慮到現在的網絡威脅層出不窮，企業最好購買一種可以升級從而增強性能又能適應新情況、具備新性能的防火墻。