根据防火墙支持的功能的不同，可以使用一些技术来允许或者阻止通信。这些技术会根据防火墙的功能提供各种不同级别的保护。下面的防火墙功能是按照复杂程度递增的顺序列出的：

通常，提供复杂功能的防火墙也支持更简单的功能。但是，选择防火墙时您应该仔细阅读供应商信息，因为它所包含的功能和实际的功能之间可能存在细微的差别。选择防火墙时，您需要询问有关功能的信息，并对功能进行测试，确保该产品确实具有规格说明书中所述的功能。

网络适配器输入筛选器

网络适配器输入筛选检查传入数据包中的源地址或目标地址及其他信息，然后阻止数据包通过或者允许它通过。它只适用于外来的通信，不能控制外出的通信。它会对 IP 地址、UDP 和 TCP 的端口号，以及通信的协议、TCP、UDP 和通用路由封装 (GRE) 进行匹配检查。

对于保护 Web 服务器的外围防火墙来说，合法的外来通信应当只能访问该 Web 服务器 IP 地址，通常还可以访问一个有限范围的端口号，如用于 HTTP 的 80 或者用于 HTTPS 的 443。虽然外围防火墙应该具有这种控制，但是还应该在边界路由器中实现这种控制。

网络适配器输入筛选能够对满足该防火墙上所配置规则条件的标准外来数据包进行快速和有效的拒绝。但是，这种形式的筛选可能会轻易地被规避，因为它只会对 IP 通信的标头进行匹配检查，并且是基于下面的基本假设运行的，即认为正在筛选的通信符合 IP 标准，而且没有故意规避筛选。

静态数据包筛选器

静态数据包筛选也只是检查 IP 标头来确定是否允许通信穿过该接口，在这个意义上与网络适配器输入筛选是相似的。但是，静态数据包筛选器能够对接口的出站通信和入站通信都进行控制。另外，静态数据包筛选器通常还允许使用一个网络适配器筛选没有的附加功能，即检查 IP 标头上是否设置了已确认 (ACK) 标志位。ACK 标志位提供了有关该数据包是一个新请求还是一个从原始请求返回的请求的信息。它不会验证该数据包是否是由接收它的接口最初发送的；它只根据 IP 标头的约定检查进入该接口的通信看起来是否是返回通信。

这种技术只适用于 TCP 协议，而不适用于 UDP 协议。与网络适配器输入筛选类似，静态数据包筛选非常快，但是其功能受到限制并且特别精心制作的通信可以躲避它。

与网络适配器输入筛选一样，除了在外围防火墙实现之外，静态数据包筛选也应该在边界路由器上实现。

网络地址转换

在全球 IP 地址范围内，某些地址范围被指定为“专用地址”。这些地址旨在用于组织内部，在 Internet 上没有意义。目标为任何这样的 IP 地址的通信都不能通过 Internet 进行路由，因此为您的内部设备指定专用地址会为它们提供一些入侵保护。但是，这些内部设备本身通常需要访问 Internet，因此网络地址转换 (NAT) 会将专用地址转换为 Internet 地址。

虽然 NAT 并不是严格的防火墙技术，但是隐藏服务器的真正 IP 地址会防止黑客获取有关该服务器的有价值的指印信息。

状态检查

在状态检查中，所有外出通信都会记录在一个状态表中。当连接通信返回接口时，就会检查该状态表以确保该通信是从此接口发起的。状态检查比静态数据包筛选稍微慢些，但是，它确保了只有通信符合外出通信的要求时才允许它通过。状态表包含了一些项目如目标 IP 地址、源 IP 地址、正在调用的端口以及发起主机。

某些防火墙在状态表中存储的信息可能比其他防火墙存储的信息要多（如发送和接收的 IP 碎片）。防火墙可以在所有或者只是部分碎片信息返回时验证通信是否已处理。不同供应商的防火墙实现状态检查的方式也不同，因此您应该仔细阅读防火墙文档。

状态检查功能通常有助于降低由网络侦察和 IP 欺骗引起的风险。

线路层检查

使用线路级筛选可以检查会话（与连接或数据包相对）。只是为了响应用户请求才会建立会话，会话可能包括多个连接。线路层筛选为次级连接提供了协议的内置支持，如 FTP 和流式媒体。它通常有助于减轻网络侦察、DoS 和 IP 欺骗攻击带来的危险。

代理防火墙

代理防火墙代表客户端请求信息。与上面讨论的防火墙技术不同，这种通信不会直接发生在客户端和承载该服务的服务器之间。实际上，代理防火墙代表客户端收集信息，并返回它从返回客户端的服务那里接收的数据。因为代理服务器会为一个客户端收集此信息，它还会将这些内容缓存到磁盘或内存，因此如果另一个客户端作出同样的数据请求，该请求就可以从缓存得到满足，从而减少网络通信和服务器处理时间。

对于非加密会话，如 FTP 只读会话和 HTTP 会话，代理防火墙实际上会为客户端和服务器创建单独的会话，因此两者之间从来不会有直接的连接。另一方面，对于加密的会话，代理服务器则会验证标头信息是否符合安全套接字层 (SSL) 通信的标准，然后才会允许该通信通过。但是，代理不能影响只是经过的数据，因为它是由客户端和服务器进行端到端加密的。

代理服务器相对于防火墙技术的优点包括：

代理服务器的主要缺点在于，它要求更多的处理能力来执行协议检查。但是，处理能力是随时都在增加的，因此这已经越来越不是个问题。还有，代理服务器没有状态筛选防火墙或者数据包筛选防火墙的吞吐量。可以断言，协议检查的这些其他优点由于以下情形而成为必要：世界上用于本地用户的高速网络数量巨大，Internet 连接正在越来越多地可用于不受信任的节点，这些节点是由几乎没有或者根本没有提供受信任 Internet 服务的合法权利的 ISP 连接的。

代理功能通常有助于降低网络侦察、DoS、IP 欺骗攻击、病毒/特洛伊木马以及某些应用程序层攻击造成的危险。

应用程序层筛选

应用程序层筛选是复杂级别最高的防火墙通信检查。较好的应用程序筛选器可使您能够为某个特定的应用程序分析数据流以及提供应用程序特定的处理，其中包括检查、筛选或阻止、重定向以及在它通过防火墙时修改数据。

这种机制可用于防护诸如不安全的 SMTP 命令或针对内部域名系统 (DNS) 服务器的攻击之类的内容。通常情况下，可以向防火墙添加用于内容筛选的第三方工具，如病毒检测、词法分析以及站点分类。

应用程序层防火墙能够基于通过它的通信检查很多不同协议。与代理防火墙不同，应用程序层防火墙对于通信通过防火墙的路径具有更加强大的控制能力，而前者通常只是检查 Internet 通信（如 HTTP、FTP 下载和 SSL）。例如，一个应用程序层防火墙能够只允许从防火墙边界内部发起的 UDP 通信通过。如果某个 Internet 主机要对一个状态防火墙进行端口扫描，以查看是否允许DNS 通信进入该环境，该端口扫描则可能会显示与 DNS 相关联的已知端口为打开状态，但是一旦发起了攻击，该状态防火墙就会拒绝这些请求，因为它们不是从内部发起的。应用程序层防火墙则可能会基于通信是否是从内部发起的来动态打开端口。

应用程序层防火墙功能通常有助于降低 IP 欺骗、DoS、某些应用程序层攻击、网络侦察以及病毒/特洛伊木马攻击造成的危险。应用程序层防火墙的缺点在某种意义上与代理防火墙相似，即它也要求更多的处理能力，通常比状态筛选防火墙或者静态筛选防火墙处理通信的速度要慢得多。使用应用程序层防火墙时最重要的考虑因素为确定防火墙是否能够在应用程序层运行。

应用程序层功能确保了通过端口的通信是合适的。与只是查看端口以及源 IP 地址和目标 IP 地址的数据包筛选器或者状态检查防火墙不同，支持应用程序层筛选功能的防火墙能够检查在两个方向通过防火墙的数据和命令。

大多数支持应用程序层功能的防火墙只具有对于明文通信的应用程序层筛选，如对代理敏感的消息传递服务、HTTP 和 FTP。要记住的重要一点是，支持此功能的防火墙可以对进出该环境的通信都进行控制。此功能的另一个优点是，当 DNS 通信通过该防火墙查找 DNS 特定的命令时，它能够对该 DNS 通信进行检查。此附加的保护层确保用户或攻击者无法在通信的允许类型中隐藏信息。

如果您的组织有一个在线商店，它收集客户的信用卡号码和其他个人信息，则应该采取最高级别的防范措施来保护这些信息。这种情况下，有必要使用安全套接字层 (SSL) 协议对用户 PC 和您的 Web 服务器之间的这种高安全性数据进行加密。

应当区分应用程序层功能与 SSL 一起使用的情况。SSL 是加密的，防火墙无法理解这些协议命令，这是因为它们位于加密的数据包中。每个支持应用程序层功能的防火墙处理这种情况的方式都是不同的，因此请务必阅读您所选择的防火墙的打印文档。

问题在于，一旦建立了 SSL 会话并协商了加密，没有设备能够检查数据。例如，一个客户端，它使用的是支持代理类型应用程序层功能的防火墙，该客户端要求防火墙代表它启动一个到安全 Web 服务器的连接。防火墙和服务器进行 TCP 连接的初始设置，防火墙将该连接转交给该客户端以设置与服务器之间的加密。连接转交非客户端之后，防火墙就不能检查数据了。

当应用程序层功能用于公开展示 Internet 服务时，可以使用下列选项：

这些选项提供了很多方法用来控制允许加密的会话可通过隧道进入该环境的程度。通常，使得加密通信离环境边缘越近越好，因为两者之间的任何位置都无法真正看到隧道内部。