常见防火墙的类型主要有三种：包过滤、电路层网关、应用层网关，每种都有各自的优缺点。

　　包过滤是第一代防火墙技术，它按照安全规则，检查所有进来的数据包，而这些安全规则大都是基于低层协议的，如IP、TCP。如果一个数据包满足以上所有规则，过滤路由器把数据向上层提交，或转发此数据包，否则就丢弃此包。

　　包过滤的优缺点

　　优点：一个过滤路由器能协助保护整个网络;数据包过滤对用户透明;过滤路由器速度快、效率高。

　　缺点：不能彻底防止地址欺骗;一些应用协议不适合于数据包过滤;正常的数据包过滤路由器无法执行某些安全策略。

　　代理是一种较新型的防火墙技术，这种防火墙有时也被称为应用层网关，这种防火墙的工作方式和过滤数据包的防火墙、以路由器为基础的防火墙的工作方式稍有不同。它是基于软件的。

　　电路层网关是建立应用层网关的一个更加灵活和一般的方法。虽然它们可能包含支持某些特定TCP/IP应用程序的代码，但通常要受到限制。如果支持应用程序，那也很可能是TCP/IP应用程序。在电路层网关中，可能要安装特殊的客户机软件，用户可能需要一个可变用户接口来相互作用或改变他们的工作习惯。

　　代理技术的优缺点

　　优点：代理易于配置;代理能生成各项记录;代理能灵活、完全地控制进出的流量、内容;代理能过滤数据内容;代理能为用户提供透明的加密机制;代理可以方便地与其他安全手段集成。

　　缺点：代理速度较路由器慢;代理对用户不透明;对于每项服务代理可能要求不同的服务器;代理服务不能保证你免受所有协议弱点的限制;代理不能改进底层协议的安全性。

　　新型防火墙技术

　　我们的目标是设计并实现一种新型防火墙。这种防火墙既有包过滤的功能，又能在应用层进行代理。较前面分析的防火墙来说，具有先进的过滤和代理体系，能从数据链路层到应用层进行全方位安全处理。TCP/IP协议和代理的直接相互配合，使本系统的防欺骗能力和运行的健壮性都大大提高。

　　设计目标

　　我们设计新型防火墙的目标是综合包过滤和代理技术，克服二者在安全方面的缺陷;能从数据链路层一直到应用层施加全方位的控制;实现TCP/IP协议的微内核，从而在TCP/IP协议层能进行各项安全控制;基于上述微内核，使速度超过传统的包过滤防火墙;提供透明代理模式，减轻客户端的配置工作;支持数据加密、解密(DES和RSA)，提供对虚拟网VPN的强大支持;内部信息完全隐藏;产生一个新的防火墙理论。

　　TCP/IP协议处理

　　TCP/IP协议处理是本系统的难点和重点之一，非常复杂与庞大。实现TCP/IP的第一步必须能正确地理解定义、实现TCP/IP各协议的数据包格式。

　　数据链路层是TCP/IP协议的最低层，它的常规功能是对上层数据(IP或ARP)进行物理帧的封装与拆封，当然还包括硬件寻址、管理等功能。在本系统中，数据链路层除了实现上述功能外，还增加了监听网上数据、记录硬件地址和直接读写网卡的功能。