数据包嗅探器
嗅探器指的是与 LAN 相连并从以太网帧获取信息的应用程序软件或硬件设备。这些系统的最初意图在于对以太网通信进行故障排除和分析，或者深入了解帧以检查单个的 IP 数据包。嗅探器以混合模式运行，即它们侦听物理线路上的每个数据包。很多应用程序（如 Telnet）都会以明文形式发送用户名和密码信息，这些内容可以被嗅探器产品读取，因此使用嗅探器的黑客就可能会得到对于很多应用程序的访问权限。

通过防火墙可以阻止进行嗅探，因为嗅探器不会产生网络通信。有很多措施可用来对付嗅探，主要是通过确保使用强加密的密码，但是此内容不在本模块讲述范围之内。

IP 欺骗
IP 欺骗是指对 IP 数据包的源地址进行更改以隐藏发送方的身份。因为 Internet 中的路由操作只使用目标地址将数据包发送到它的路径上，而会忽略源地址，所以黑客可能会伪装这个源地址向您的系统发送破坏性的数据包，而您不了解它来自何处。欺骗不一定具有破坏性，但是它表明入侵随时会出现。该地址可能位于您的网络之外（来隐藏入侵者的身份），也可能是一个具有特许权限的受信任内部地址。欺骗通常用于进行拒绝服务攻击，这部分内容将在本模块后面部分讲述。

通过实现下面任一机制或者同时实现这两个机制可能会防止 IP 欺骗：

拒绝服务攻击
拒绝服务攻击是最难阻止的攻击。这些攻击与其他类型的攻击不同，因为它们不会对网络产生永久性破坏，而是通过对某个特定的计算机（服务器或者网络设备）发起攻击，或者将网络链路的吞吐量降低到足以造成客户厌烦和业务损失的程度，从而停止网络的运行。分布式 DoS (DDoS) 攻击是这样一种攻击，即从很多其他计算机发起，集中攻击您的系统。攻击计算机本身不一定发起了这个攻击，但是由于它们自身的安全漏洞，使得它们自身被黑客渗透，黑客指示它们向您的网络发送大量数据，从而造成您的 ISP 拥塞或者您的某个设备拥塞。

应用程序层攻击
应用程序层攻击通常是最引人注意的攻击，通常利用应用程序（如 Web 服务器和数据库服务器）中众所周知的弱点。这些应用程序的问题在于它们被设计为供公共用户访问，这些用户是未知的并且不可信任，尤其对于 Web 服务器来说更是这样。大多数攻击是针对产品中的已知缺陷的，因此最好的防护是安装生产商提供的最新更新。臭名昭著的结构化查询语言 (SQL) Slammer 蠕虫病毒曾经在 2003 年 1 月份它发布的很短时间内影响了 35,000 个系统。这个蠕虫病毒就是利用了 Microsoft® SQL Server® 2000 中的一个已知问题（对于这个问题，Microsoft 早在四个月前，即 2002 年 8 月份就已经发布了一个修复程序），因此它利用了很多管理员既没有应用推荐的更新也没有安装适当的防火墙（防火墙本来可以阻止数据包发送到该蠕虫病毒所使用的端口）这一事实。请注意，防火墙在这些情况下只是起到一个后方屏障的作用；生产商建议对于所有产品都应该应用升级，尤其用来防止应用程序层的攻击。

网络侦察
网络侦察指的是对网络进行扫描以发现有效的 IP 地址、域名系统 (DNS) 名称和 IP 端口，然后发起攻击。虽然网络侦察本身没有什么害处，但是可以发现哪些地址正在使用可能会帮助某些人发起恶意的攻击。实际上，如果查看防火墙的日志，则会发现大多数入侵都具有这种特征；典型的探询包括扫描传输控制协议 (TCP) 和用户数据报协议 (UDP) 侦听端口，以及一些其他的已知侦听端口，如 Microsoft SQL Server、NetBIOS、HTTP 和 SMTP 使用的端口。所有这样的探询都会寻求一个响应，该响应将告知黑客服务器的存在并且在运行这些服务中的一种。很多这样的探询可通过边界路由器或者防火墙阻止。默认情况下存在很多服务，但是应关闭不必要的服务，而关闭其中的某些服务可能会限制您的网络诊断功能。

病毒/特洛伊木马
一般说来，防火墙不能检测病毒，因为病毒通常嵌在电子邮件附件中。传统病毒只是要破坏它们感染的设备，但是现代的病毒通常会尝试复制并破坏其他本地计算机或者通过发送多个附加了病毒的电子邮件在 Internet 上进行传播。很多这样的病毒都会在感染的设备上安装一个特洛伊木马程序。特洛伊木马程序可能不会进行任何直接的损坏，但是会将信息从它安装的设备通过 Internet 发送到黑客那里，然后这个黑客了解它正在运行什么软件以及哪些位置易于攻击，就可以对该设备发起一个有目标的攻击了。虽然针对病毒的主要防护是在设备上总是保持最新的防病毒软件，但是外围防火墙也可能有助于限制特洛伊木马程序的影响。