目前，市场上的防火墙产品可谓多种多样，无论是性能还是价格都存在着较大的差异。防火墙的分类标准也是比较复杂的，下面介绍当前比较流行的几种分类方法。

1. 按防火墙的软硬件形式分类

如果按防火墙的软、硬件形式进行分类，防火墙可分为硬件防火墙、软件防火墙。

1）基于硬件的防火墙

基于硬件的防火墙是一个已经预装有软件的硬件设备。硬件防火墙采用专用网络芯片处理数据包，以保证处理速度；采用专门的操作系统平台，从而避免通用操作系统的安全性漏洞。硬件防火墙具有高吞吐量、安全与速度兼顾的优点。

基于硬件的防火墙又可分为家庭办公型和企业型两种款式。防火墙在外观上与平常我们所见到的路由器类似，只是只有少数几个接口，分别用于连接内、外部网络。图5-6所示为华为下一代防火墙USG6330。

图5-6　华为下一代防火墙USG6330

2）基于软件的防火墙

基于软件的防火墙是能够安装在操作系统和硬件平台上的防火墙软件包。软件防火墙通过在操作系统底层来实现网络管理和防御功能的优化。如果用户的服务器装有企业级操作系统，购买基于软件的防火墙则是合理的选择。如果用户是一家小企业，并且想把防火墙与应用服务器（如WWW服务器）结合起来，配备一个基于软件的防火墙不失为明智之举。

国内外还有许多网络安全软件厂商开发出面向家庭用户的基于纯软件的防火墙，俗称为“个人防火墙”。之所以说它是“个人防火墙”，是因为它是安装在主机中，只对一台主机进行防护，而不是保护整个网络。

2. 按防火墙采用的技术分类

防火墙防范的方式与侧重点的不同，采用技术也会不同。根据防火墙采用的技术不同，可以将防火墙划分为包过滤防火墙、状态检查防火墙、应用级网关、电路级网关等。

1）包过滤防火墙（Packet Filtering Firewall）

包过滤防火墙（见图5-7）工作在OSI/RM开放系统互连参考模型的网络层与传输层，它根据数据包头中的源IP地址、目的IP地址、源端口号、目的端口号和协议类型等信息，对数据包进行过滤。只有满足过滤条件的数据包才被转发到相应的目的地，其余数据包则会被从数据流中丢弃。

包过滤方式是一种通用、廉价和有效的安全手段。通用是指它不是针对各个具体的网络服务采取特殊的处理方式，适用于所有网络服务；廉价是因为大多数路由器都提供数据包过滤功能，所以这类防火墙是由路由器集成的；有效是指它能在很大程度上满足绝大多数企业安全要求。

包过滤方式的优点是不用改动客户机和主机上的应用程序，因为它工作在网络层和传输层，与应用层无关。包过滤方式实现简单、处理快捷。

包过滤防火墙存在以下弱点：

（1）由于过滤判别的依据只是网络层和传输层的有限信息，因而对各种安全要求不能充分满足。例如，由于包过滤防火墙不对传输层之上的高层数据进行检查，包过滤防火墙不能阻止利用了特定应用的漏洞或功能所进行的攻击，也不支持高级的用户认证机制。

（2）由于缺少上下文关联信息，不能有效地过滤如UDP、RPC一类的协议。

（3）包过滤防火墙对利用TCP/IP规范和协议栈存在的问题进行的攻击没有很好的应用措施，如网络层地址假冒攻击。包过滤防火墙不能检测出包的OSI第二层地址信息的改变，入侵者通常采用地址假冒攻击来绕过防火墙平台的安全控制机制。

另外，包过滤防火墙对安全管理人员的素质要求较高，建立安全规则时，必须对协议本身及其在不同应用程序中的作用有较深入的理解。

2）状态检查防火墙（Stateful Inspection Firewalls）

状态检查防火墙（见图5-8）在包过滤防火墙的基础上，增加了对网络会话连接的跟踪与记录。例如，当一个IP地址（如一台式计算机）连接到另一个IP地址（如一台WWW服务器）上的某个具体TCP或UDP端口，防火墙会将这个会话连接的特征信息保存到内存中的一个表，从而对网络会话进行跟踪，这样使之能够阻止来自其他IP地址的中间人（man-in-middle，MITM）攻击。例如，有些状态检查防火墙通过跟踪TCP序列号，防止基于序列号的攻击，如会话劫持。有些甚至检查像FTP、IM和SIPS命令这样的一些知名协议中部分的应用数据，以便识别和跟踪相关的连接。

图5-7　包过滤防火墙

图5-8　状态检查防火墙

3）应用层网关（Application-Level Gateway）(www.daowen.com)

应用层网关（见图5-9），也叫作应用程序代理，它在应用层的通信中扮演一个消息转发器的角色。应用层网关防火墙是在OSI/RM应用层上建立协议过滤和转发功能，它针对特定的网络应用服务指定的数据过滤逻辑，并在过滤的同时，对数据包进行必要的分析、登记和统计，并形成报告提供给网络安全管理员做进一步分析。

数据包过滤和应用层网关防火墙有一个共同的特点，就是它们仅仅依靠特定的逻辑判定是否允许数据包通过。一旦满足逻辑，则防火墙内外的计算机系统建立直接联系，防火墙外部的用户便有可能直接了解防火墙内部的网络结构和运行状态，这有利于实施非法访问和攻击。

4）电路层网关（Circuit-Level Gateway）

电路层网关（见图5-10），或称为电路层代理。它是一个独立系统，或是由应用层网关为特定应用实现的功能模块。与应用层网关一样，电路层网关不允许端到端的直接TCP连接。它由网关建立两个TCP连接，一个连接位于网关与网络内部的TCP用户之间，另一个连接位于网关与网络外部的TCP用户之间。连接建立之后，网关就起着一个中继的作用，将数据段从一个连接转发到另一个连接，而不检查上下文。电路层网关监视数据包之间的TCP握手，以确定请求的会话是否合法。安全模块将决定哪些连接被允许建立。

通过电路级网关传递给远程计算机的数据包是以网关为源地址的。这对于隐藏受保护网络的信息非常有用。电路级网关相对便宜，并且具有隐藏关于它们所保护的私有网络的信息的优点。

图5-9　应用层网关

图5-10　电路层网关

3. 按操作对象分类

按操作对象不同，可分为主机防火墙和网络防火墙。

主机防火墙的主要防护对象是单个主机。主机防火墙成本低，但缺乏透明度，功能有局限性。

网络防火墙的防护对象是指定的网络，功能强大，性能高，透明度强。但成本高，内部攻击保护性相对较差。

4. 按硬件结构分类

根据防火墙的结构不同，可以将防火墙分为单一主机防火墙、路由器集成防火墙和分布式防火墙等3种。

1）单一主机防火墙

单一主机防火墙既是最传统的防火墙，也是应用最为广泛的防火墙。它独立于其他网络设备，位于网络边界。这种防火墙从结构上看，与一台普通服务器主机的内部结构差不多，同样拥有CPU、内存、硬盘、网卡等基本组件。

与普通服务器不同的是，防火墙至少集成有两个以太网卡，用于实现与内、外部网络的连接。硬盘用来存储防火墙所用的基本程序，如数据过滤程序和代理服务器程序等，有的防火墙还把日志记录也记录在硬盘上。虽然如此，也不能说它就与变通的PC一样，因为它的工作性质决定了它要具备非常高的稳定性与实用性，具备非常高的系统吞吐性能。

单一主机防火墙的主要特点是功能强大，工作效率高，但是价格也非常高，一般适用于大型的企业网络环境。

2）嵌入式防火墙

嵌入式防火墙严格来说就是路由器或路由设备（如三层交换机）的一种。为连接的网络提供路由选择才是它的本职工作。随着防火墙技术的发展及应用需求的提高，生产上开始将单一主机防火墙中的部分技术应用于路由器的开发设计当中，因此才产生了这种所谓的路由器集成防火墙。虽然功能远远不能与单一主机防火墙相提并论，但是应付一般的非法入侵的能力还是有的。最主要的是这种防火墙的价格比较便宜，非常适合于中小型企业网络。例如，华为S7700系列智能路由交换机的下一代防火墙业务处理板NGFW，就是一种高速的、集成化的防火墙，可以提供最高可达20 Gb/s的吞吐量，1 000万个并发连接。图5-11所示为华为NGWF模块。

图5-11　华为NGWF模块

3）分布式防火墙

分布式防火墙不再像单一主机防火墙那样是一个独立的硬件实体，而是由多个软、硬件系统组合而成。分布式防火墙负责对网络边界、各个子网和网络内部各节点之间的安全防护，分布式防火墙可由网络防火墙（Netwoek Firewall）、主机防火墙（Host Firewall）和中心管理系统（Central Management System）构成。

网络防火墙，用于内部网络与外部网络之间，以及内部网络各个子网之间的防护。在功能上与传统的边界式防火墙类似，但与传统边界防火墙相比，它多了一种用于对内部子网之间的安全防护层，这样整个网络的安全防护体系就显得更加全面，更加可靠。

主机防火墙，用于对网络中的服务器和桌面机进行防护，达到应用层的安全防护，比起网络层更加彻底。这是传统边界式防火墙所不具有的，是对传统边界防火墙在安全体系方面的一个完善。

中心管理系统，是分布式防火墙管理软件，负责总体安全策略的策划、管理、分发及日志的汇总。它提高了防火墙的安全防护灵活性，同时具备高可管理性。