“虽然防火墙的体系结构和技术多种多样，但防火墙产品基本上可分成两类：包过滤防火墙和应用级防火墙”（参见国标gb/t 18020-1999）。它们各有所长，具体选用哪一种类型或是选择它们的混合型，要看具体需要。

    1.包过滤防火墙

    一般是基于源地址和目的地址、应用或协议以及每个ip 包的端口来作出通过与否的判断。

    一个路由器便是一个"传统"的包过滤防火墙。大多数的路由器都能通过检查这些信息来决定是否将所收到的包转发，但它不能根据一个ip 包的前后文进行判断。

    先进的状态检查包过滤防火墙可以判断这一点，它可以判断连接状态和一些数据流的内容，把判断的信息同规则表进行比较，检查每一条规则直至发现包中的信息与某规则相符。如果没有一条规则能符合，防火墙就会使用默认规则。一般情况下，默认规则就是要求防火墙丢弃该包。

    下面是某一包过滤防火墙的访问控制规则：

    (i) 允许网络123.0.0.1 使用ftp(21 口)访问主机150.0.0.1；

    (ii) 允许ip 地址为202.103.1.18 和202.103.1.14 的用户telnet(23 口)到主机150.0.0.2

    (iii) 允许任何地址的e-mail(25 口)进入主机150.0.0.3；

    (iv) 允许任何www 数据（80 口）通过；

    (v) 不允许其他数据包进入。

    包过滤防火墙简洁、速度快，并且对用户和应用透明，但是因为它只检查地址和端口，对网络更高协议层的信息无理解能力, 对网络的保护受到限制。

    2.应用级防火墙

    应用级防火墙能够检查进出的数据包，通过网关复制传递数据，防止在受信任服务器和客户机与不受信任的主机间直接建立联系。应用级防火墙能够理解应用层上的协议，能够做复杂一些的访问控制，并做精细的认证和审核。应用级防火墙可以雇佣代理服务器筛选数据包。但每一种协议需要相应的代理软件，使用时工作量大，效率不如包过滤防火墙。

    应用级防火墙有较好的访问控制，是目前最为安全的防火墙技术。但实现较为困难，而且有的应用级防火墙缺乏“透明度”，经常成为网络速度瓶颈。在实际使用中，用户在受信任的网络上通过防火墙访问internet 时，经常会发现存在延迟并且必须进行多次登录（login）才能访问internet 或intranet。应用级防火墙通常与包过滤控制配合使用。

    3.混合型防火墙

    该防火墙结合了包过滤防火墙和应用级防火墙的特点。它同包过滤防火墙一样能够通过ip地址和端口号，过滤进出的数据包，也能够检查syn 和ack标记和序列数字是否逻辑有序。

    另一方面，它也能象应用级防火墙一样，在应用层上检查数据包的内容，查看这些内容是否能符合既定的网络安全规则。

    目前在市场上技术领先的防火墙大多属于混合型防火墙，因为该防火墙对于用户透明，在应用层上加密数据，不需要修改客户端的程序，也不需对每个需要在防火墙上打开的服务额外

    增加代理。

    另外，也可以从防火墙表现形式上进行分类。专用型防火器和软件防火墙是两类不同的表现形式。前者表现为硬件形式，自带操作系统和标准配置，开机即可工作；后者表现为软件形式的分发包，管理员需要首先在选定作为防火墙的计算机上面安装操作系统，然后安装防火墙软件，然后进行相应的配置。一般来说，前者的安装过程较为简单直观，对管理员要求较低；后者的安装过程较为费时复杂，对管理员的技术水平要求较高。

    专用防火墙又可以根据实现的方式分为固态防火墙和硬盘式防火墙。前者是用固态形式的快速eeprom 或flash 作为系统载体，机械装置很少；而后者使用标准计算机构成，使用传统的硬盘作为系统载体，出现硬件故障的机会较大。