防火墙只是一个旨在防止未经授权访问私有网络或从私有网络进行访问的系统。防火墙既可以在硬件和软件中实现，也可以在两者的结合中实现。防火墙通常用于防止未经授权的Internet用户访问连接到Internet的专用网络。所有进入或离开Intranet的数据都通过防火墙，防火墙检查每个数据包并阻止那些不符合指定安全标准的数据包。

通常，将防火墙配置为防止来自外部世界的未经身份验证的交互式登录。这有助于防止“黑客”登录到网络上的计算机。更复杂的防火墙阻止从外部到内部的通信，但允许内部用户更自由地与外部进行通信。

防火墙也是必不可少的，因为它们可以提供可以实施安全性和审核的单个阻止点。防火墙提供了重要的日志记录和审核功能；通常，他们向管理员提供有关通过它处理的流量的类型/数量的摘要。这一点很重要：提供此封锁点可以（在您的网络上）起到与武装警卫（用于物理场所）相同的目的。

从理论上讲，有两种类型的防火墙：

1.网络层

2.应用层

如下所述，它们并没有您想像的那么不同。

哪一个取决于防火墙使用什么机制将流量从一个安全区域传递到另一个安全区域。用于网络的国际标准组织（ISO）开放系统互连（OSI）模型定义了七个层，其中每个层提供高层依赖的服务。要认识的重要一点是，转发机制的级别越低，防火墙可以执行的检查就越少。

网络层防火墙

这种类型通常根据单个IP数据包中的源地址，目标地址和端口来做出决定。简单的路由器是传统的网络层防火墙，因为它无法对数据包实际交谈的内容或数据的真正来源做出特别复杂的决定。现代网络层防火墙已经变得越来越复杂，现在可以维护内部信息。关于随时通过它们的连接状态。

许多网络层防火墙的一个重要区别是它们直接通过它们路由流量，因此要使用一个防火墙，您要么需要有效分配的IP地址块，要么使用私有Internet地址块。网络层防火墙往往速度非常快，并且对用户几乎都是透明的。

应用层防火墙

这些主机通常是运行代理服务器的主机，这些代理服务器不允许直接在网络之间进行通信，并且会对通过它们的通信进行详细的记录和检查。由于代理应用程序只是在防火墙上运行的软件，因此是进行大量日志记录和访问控制的好地方。应用程序层防火墙可以用作网络地址转换器，因为流量在经过有效掩盖发起连接来源的应用程序之后，在一侧流入而另一侧流出。

在某些情况下以某种方式拥有应用程序可能会影响性能，并使防火墙的透明度降低。早期的应用层防火墙对最终用户不是特别透明，可能需要进行一些培训。但是，更现代的应用程序层防火墙通常是完全透明的。与网络层防火墙相比，应用层防火墙倾向于提供更详细的审核报告，并倾向于实施更为保守的安全模型。

防火墙的未来介于网络层防火墙和应用程序层防火墙之间。网络层防火墙可能会越来越了解通过它们的信息，而应用程序层防火墙将变得越来越透明。最终结果将是一种快速的数据包筛选系统，该系统可以在数据通过时记录并检查数据。