防火墙是一个或一组系统，它在网络之间执行访问控制策略。实防火墙的实际方式各不相同，但是在原则上，防火墙可以被认为是这样一对机制:一种机制是拦阻传输流通行，另一种机制是允许传输流通过。一些防火墙偏重拦阻传输流的通行，而另一-些防火墙则偏重允许传输流通过。了解有关防火墙的最重要的概念可能就是它实现了一种访问控制策略。如果你不太清楚你需要允许或否决那类访问，你可以让其他人或某些产品根据他(它)们认为应当做的事来配置防火墙，然后他(它)们会为你的机构全面地制定访问策略。

防火墙可以分为软件防火墙、硬件防火墙和包过滤防火墙 软件防火墙软件防火墙是寄生于操作平台上的，软件防火墙是通过软件去实现隔离内部网与外部网之间的一种保护屏障。由于它连接到特定设备，因此必须利用其资源来工作。所以，它不可避免地要耗尽系统的某些RAM和CPU。并且如果有多个设备，则需要在每个设备上安装软件。由于它需要与主机兼容，因此需要对每个主机进行单独的配置。主要缺点是需要花费大量时间和知识在每个设备管理和管理防火墙。另一方面，软件防火墙的优势在于，它们可以在过滤传入和传出流量的同时区分程序。因此，他们可以拒绝访问一个程序，同时允许访问另一个程序。 硬件防火墙顾名思义，硬件防火墙是安全设备，代表放置在内部和外部网络(Internet)之间的单独硬件。此类型也称为设备防火墙。与软件防火墙不同，硬件防火墙具有其资源，并且不会占用主机设备的任何CPU或RAM。它是一种物理设备，充当用于进出内部网络的流量的网关。拥有在同一网络中运行多台计算机的中型和大型组织都使用它们。在这种情况下，使用硬件防火墙比在每个设备上安装单独的软件更为实际。配置和管理硬件防火墙需要知识和技能，因此请确保有一支熟练的团队来承担这一责任。 包过滤防火墙根据防火墙的操作方法来划分防火墙的类型时，最基本的类型是数据包筛选防火墙。它用作连接到路由器或交换机的内联安全检查点。顾名思义，它通过根据传入数据包携带的信息过滤来监控网络流量。

现在市面上的防火墙厂商有许多像天融信、启明星辰、思科、杭州迪普、梭子鱼等等。 根据我的查找目前市面上防火墙的产品线从百兆到万兆高低不等。 举个例子：天融信的产品线招数越高功能越多，端口号越少，性能越好，也就越安全。以下是找到的一部分截图

包括对诸如ICMP Flood、UDP Flood、SYS Flood、分片攻击等Dos拒绝服务攻击方式进行检测，丢弃攻击报文，保护网络内部的主机不受侵害。

防火墙一般应该支持对IP地址欺骗、WinNuke、Land攻击、Tear Drop等常见的网络攻击行为，主动发现丢弃报文。 WinNuke也称为“蓝色炸弹”,它是导致你所与之交流用户的 Windows 操作系统突然的崩溃或终止。“蓝色炸弹”实际上是一个带外传输网络数据包,其中包括操作系统无法处理的信息;这样便会导致操作系统提前崩溃或终止。 land 攻击是一种使用相同的源和目的主机和端口发送数据包到某台机器的攻击。结果通常使存在漏洞的机器崩溃。 Tear drop类的攻击利用UDP包重组时重叠偏移(假设数据包中第二片IP包的偏移量小于第一片结束的位移,而且算上第二片IP包的Data,也未超过第一片的尾部,这就是重叠现象。)的漏洞对系统主机发动拒绝服务攻击,最终导致主机菪掉。

通过一些畸形报文，如果超大的ICMP报文，非法的分片报文，TCP标志混乱的报文等，可能会造成比较验证的危害，防火墙应该可以识别出这些报文。