1)防火墻的主要技術

靜態包過濾：根據數據包的源地址、目的地址、源端口號、目的端口號、數據的對話協議及數據包頭中的各個標志位等因素，按照系統預先制定好的規則來決定對數據包的操作（丟棄、通過或轉發）。包過濾技術邏輯簡單、易于實現，處理速度快，但無法實現對應用層信息過濾處理，并且對于網絡服務多、結構復雜的網絡，包過濾規則配置復雜。

狀態檢測：狀態檢測也稱動態包過濾，是對靜態包過濾技術的功能擴展。狀態檢測技術通過維護一個記錄著網絡連接狀態變化的狀態表來自動生成或刪除安全過濾規則。由于使用了狀態表，狀態檢測防火墻可處理會話當前的狀態屬性、順序號、應答標記等信息，因此能有效的抵御偽造回包等類型的攻擊。狀態檢測技術的優勢在于可根據會話信息決定過濾規則，因此能提供基于無連接的協議的應用（DNS等）及基于端口動態分配的協議的應用(如NFS、NIS)的安全支持，因此具有較高的安全性。然而由于需要檢測更多內容，因此對性能提出了更高的要求。

應用代理：應用代理技術工作于應用層，起到外部網絡向一內部網絡或內部網絡向外部網絡申請服務時的轉接作用。當外部網絡向內部網絡申請服務時，內部網絡只接受代理提出的服務請求，拒絕外部網絡其他節點的直接請求。應用級代理網關防火墻的優點包括可避免內外網主機的直接連接；提供比包過濾更詳細的日志記錄，如在一個HTTP連接中，包過濾只能記錄單個的數據包，而應用網關還可以記錄文件名、URL等信息；可以隱藏內部IP地址； 可以面向用戶授權；可以為用戶提供透明的加密機制；可以與認證、授權等安全手段方便地集成。應用代理技術的缺點包括處理速度比包過濾防火墻慢，對用戶不透明，給用戶的使用帶來不便，而且這種代理技術需要針對每種協議設置一個不同的代理服務器。