(1)网络级防火墙

　　网络级防火墙是基于源地址和目的地址、应用或协议以及每个IP包的端口作出是否允许通过判断的防火墙。路由器是传统的网络级防火墙，大多数的路由器都是通过这些信息来决定是否将所有收到的包转发，但是它不能判断出一个IP包来自何方，去向何方。包过滤防火墙检查每一条规则直至发现包中的信息与某规则相符。如果没有一条规则能符合，防火墙就会使用默认规则，一般情况下，默认规则就是要求防火墙丢弃该包。其次，通过定义基于TCP或UDP数据包的端口号，防火墙能判断是否允许建立特定的连接，如TELNET、FTP连接。

　　(2)应用级网关

　　应用级网关能够检查进出的数据包，通过网关复制传递数据，防止在受信任服务器和客户机与不受信任的主机间直接建立联系。应用级网关能够理解应用级上的协议，能够做较为复杂的访问控制，并做精细的注册。但每一种协议需要相应的代理软件，使用时工作量大，效率不如网络级防火墙。

　　应用级网关有较好的访问控制，是目前最安全的防火墙技术，但是实现起来比较困难，而且通常对用户缺乏透明。另外，用户在受信任的网络上通过防火墙访问Internet或Intranet时，经常会发现存在延迟，并且必须进行多次登录才能访问Internet或Intranet，令人感到未免有些美中不足。

　　(3)电路级网关

　　电路级网关用来监控受信任的客户或服务器与不受信任的主机间的TCP握手信息，并以此决定该会话(Session)是否合法。电路级网关是在OSI模型中的会话层上进行数据包的过滤，包过滤防火墙则是在网络层过滤。

　　电路级网关不是一个独立产品存在，而是与其他的应用级网关结合在一起。另外，电路级网关还提供一个重要的安全功能--代理服务器(Proxy Server)。代理服务器也是一种类型的防火墙，在上面运行一个叫做"地址转移"的进程，将所有内部的IP地址映射到一个"安全"的、有防火墙使用的IP地址。当然，作为电路级网关也存在缺陷，由于该网关是在会话层工作，所以也就无法检查应用层的数据包了。