一、防火墻的類型：防火墻是人們對網絡安全的需要而產生的。主要有三種類型的防火墻：網絡層防火墻、應用層防火墻和數據庫防火墻。

網絡層防火墻：網絡層防火墻可以看作是一個 IP 包過濾器，運行在底層的 TCP/IP 協議棧中。我們可以列舉只允許符合一定規則的數據包通過，其余的都禁止穿越防火墻（病毒除外，它不阻止病毒入侵）。這些規則通常可以由管理員定義或修改，但某些防火墻設備可能只應用內置規則。我們還可以以不同的、更寬松的方式制定防火墻規則，只要數據包不屬于任何“否定規則”。大多數操作系統和網絡設備都有內置的防火墻功能。較新的防火墻可以過濾數據包的各種屬性，例如源 IP 地址、源端口號、目標 IP 地址或端口號以及服務類型（例如 HTTP 或 FTP）。也可以通過通信協議、TTL 值、原產地域名或網段等進行過濾。

應用層防火墻：應用層防火墻在 TCP/IP 堆棧的“應用層”上工作，您在使用瀏覽器或使用 FTP 時生成的數據流屬于這一層。應用級防火墻可以阻止所有進出應用程序的數據包并阻止其他數據包（通常直接丟棄數據包）。理論上，這種類型的防火墻完全阻止了外部數據流向受保護機器。通過監控所有防火墻數據包，找出不符合規則的內容，可以防止計算機蠕蟲或木馬程序的快速傳播。但是，在實現方面，這種方法很復雜（有成千上萬的軟件！），所以大多數防火墻不會考慮這種方法來設計。XML 防火墻是一種新型的應用層防火墻。根據側重點不同，可分為：包過濾防火墻、應用層網關防火墻、服務器類防火墻。

數據庫防火墻：數據庫防火墻是一種基于數據庫協議分析和控制技術的數據庫安全系統。它基于主動防御機制，實現對數據庫訪問行為的控制、危險操作的阻斷、可疑行為的審計。數據庫防火墻通過SQL協議分析，根據預謀的禁止和許可策略，允許合法的SQL操作通過，阻斷非法操作，構建數據庫外圍防御圈，實現對SQL危險操作的主動防范和真實- 時間審計。數據庫防火墻面向外部入侵，提供禁止SQL注入和數據庫虛擬補丁功能。

二、提示：選擇防火墻時的 5 個注意事項

既然有多種類型的防火墻，哪一種最適合您的網絡？這里有一些你不能做的提示。

不要太相信實驗數據：防火墻有一些規范，例如吞吐量、抗病毒功能等。但是，我們不能太相信這些數據，因為它們只是一些實驗數據。換句話說，它是基于相對合理的干擾因素數量。但是，說實話，今天任何一家公司的網絡環境都達不到他們測試產品的水平。當業務主機數量較多時，如果碎片化不合理，就會造成網絡廣播較多，進而影響最終的有效吞吐量。

不要選擇有額外功能的防火墻：防火墻市場的競爭越來越激烈。因此，防火墻廠商為了提供自己的產品在市場上的競爭力，往往在自己的防火墻產品中集成更多的功能，以增加市場的賣點。一方面，我們需要知道是否需要這些附加功能。有一些防火墻產品會集成VPN等功能。但是，企業是否需要這個功能？網絡管理員需要考慮，因為VPN服務不僅可以在防火墻上實現，也可以在路由器上實現。另一方面，一些附加功能會消耗防火墻資源。這些額外的功能會使防火墻速度變慢。

不要忽視您公司的需求：許多網絡管理員在選擇網絡設備時都有一個壞習慣。他們不首先考慮企業到底需要實現什么，而是首先考察網絡設備。他們首先考察防火墻市場，看看各種防火墻產品之間的差異，可以實現什么等等。然而，他們忽視了公司的需求。

不要太相信評論：我們只把那些評論網站和論壇作為參考，因為這些地方可能會有一些廣告。并非所有評論都是真實的。

不要太相信品牌：毫無疑問，思科是最好的網絡產品品牌。無論是防火墻還是路由器，都是行業中的佼佼者。甚至有人將其視為網絡設備市場的指南針，在其背后發展。但是，它的價格也是業內最高的。對于一些富有的企業來說，這可能不是問題。幾十萬的網絡設備，他們眼睛都不眨一下，直接買了。但是，對于一些資金相對緊張的企業來說，價格是首先要考慮的。總之，我們需要選擇價格最優惠、功能合適的防火墻。