防火墙可以具有排除来自指定IP地址的流量的规则。如果防火墙接收到标头中具有该IP地址的数据包，则防火墙拒绝访问。同样，防火墙可以拒绝对除已定义的受信任源之外的任何人的访问。有很多方法可以配置此安全设备。它对现有系统的保护程度取决于防火墙的类型。尽管它们都可以防止未经授权的访问，但是防火墙的操作方法和总体结构可能非常不同。

• 软件防火墙

主机设备上已安装软件防火墙。因此，这种类型的防火墙也称为主机防火墙。由于它连接到特定设备，因此必须利用其资源来工作。因此，它不可避免地要耗尽系统的某些RAM和CPU。如果有多个设备，则需要在每个设备上安装软件。由于它需要与主机兼容，因此需要对每个主机进行单独的配置。因此，主要缺点是为每个设备管理和管理防火墙所需的时间和知识。另一方面，软件防火墙的优势在于，它们可以在过滤传入和传出流量的同时区分程序。因此，他们可以拒绝访问一个程序，同时允许访问另一个程序。

• 硬件防火墙

顾名思义，硬件防火墙是安全设备，代表放置在内部和外部网络（Internet）之间的单独硬件。此类型也称为设备防火墙。与软件防火墙不同，硬件防火墙具有其资源，并且不会占用主机设备的任何CPU或RAM。它是一种物理设备，充当用于进出内部网络的流量的网关。拥有在同一网络中运行多台计算机的中型和大型组织都使用它们。在这种情况下，使用硬件防火墙比在每个设备上安装单独的软件更为实际。配置和管理硬件防火墙需要知识和技能，因此请确保有一支熟练的团队来承担这一责任。

• 包过滤防火墙

根据防火墙的操作方法来划分防火墙的类型时，最基本的类型是数据包筛选防火墙。它用作连接到路由器或交换机的内联安全检查点。顾名思义，它通过根据传入数据包携带的信息过滤来监控网络流量。

如上所述，每个数据包包括一个报头和它发送的数据。此类防火墙根据标头信息来决定是允许还是拒绝访问数据包。为此，它将检查协议，源IP地址，目标IP，源端口和目标端口。根据数字与访问控制列表的匹配方式（定义所需/不需要的流量的规则），数据包将继续传递或丢弃。

• 电路级网关

电路级网关是一种在OSI模型的会话层工作的防火墙，它遵守TCP（传输控制协议）连接和会话。它们的主要功能是确保已建立的连接是安全的。在大多数情况下，电路级防火墙内置于某种类型的软件或已经存在的防火墙中。像袖珍过滤防火墙一样，它们不检查实际数据，而是检查有关交易的信息。此外，电路级网关非常实用，易于设置，并且不需要单独的代理服务器。

• 状态检查防火墙

有状态检查防火墙通过监视TCP 3向握手来跟踪连接状态。这样，它可以跟踪整个连接-从头到尾-仅允许预期的返回流量入站。

启动连接并请求数据时，状态检查将建立数据库（状态表）并存储连接信息。在状态表中，它记下每个连接的源IP，源端口，目标IP和目标端口。使用状态检查方法，它可以动态创建防火墙规则以允许预期的流量。此类防火墙用作附加安全性。与无状态过滤器相比，它执行更多检查，并且更安全。但是，与无状态/数据包筛选不同，有状态防火墙检查跨多个数据包而不只是标头传输的实际数据。因此，它们还需要更多的系统资源。

• 代理防火墙

代理防火墙充当通过Internet通信的内部和外部系统之间的中间设备。它通过转发来自原始客户端的请求并将其掩盖为自己的网络来保护网络。代理的意思是充当替代者，因此，代理就发挥了作用。它代替了发送请求的客户端。当客户端发送访问网页的请求时，代理服务器将与该消息相交。代理将消息转发到Web服务器，假装是客户端。这样做可以隐藏客户端的标识和地理位置，从而保护其不受任何限制和潜在的攻击。然后，Web服务器做出响应，并将请求的信息提供给代理，该信息将传递给客户端。

• 下一代防火墙

下一代防火墙是结合了许多其他防火墙功能的安全设备。它合并了数据包，状态和深度数据包检查。简而言之，NGFW会检查数据包的实际有效负载，而不是仅关注标头信息。

与传统防火墙不同，下一代防火墙检查数据的整个事务，包括TCP握手，表面级别和深度包检查。使用NGFW可以充分防御恶意软件攻击，外部威胁和入侵。这些设备非常灵活，并且没有明确定义它们提供的功能。因此，请确保研究每个特定选项提供的内容。

• 云防火墙

云防火墙或防火墙即服务（Faas）是用于网络保护的云解决方案。像其他云解决方案一样，它由第三方供应商维护并在Internet上运行。客户端通常将云防火墙用作代理服务器，但是配置可以根据需求而变化。它们的主要优点是可伸缩性。它们与物理资源无关，从而可以根据流量负载扩展防火墙容量。企业使用此解决方案来保护内部网络或其他云基础架构（Iaas / Paas）。

哪种防火墙体系结构适合您的业务？

在决定选择哪种防火墙时，无需明确一种。使用不止一种防火墙类型可提供多层保护。另外，请考虑以下因素：

• 组织的规模。内部网络有多大？您可以在每台设备上管理防火墙，还是需要监视内部网络的防火墙？在决定软件和硬件防火墙之间时，这些问题很重要。此外，两者之间的决定将在很大程度上取决于指派来管理设置的技术团队的能力。

• 可用资源。通过将防火墙放置在单独的硬件甚至是云上，您能否负担得起将防火墙与内部网络分开？防火墙需要过滤的流量负载以及流量负载是否保持一致也起着重要作用。

• 所需的保护级别。防火墙的数量和类型应反映内部网络所需的安全措施。处理敏感客户端信息的企业应通过加强防火墙保护来确保数据免受黑客攻击。