防火墙的分类：

（1）包过滤防火墙：通过查看数据包的源地址、目的地址或端口来实现的，由此不难看出这个层次的防火墙的优点和弱点，由于防火墙只是工作在OSI的第三层（网络层）和第四层（传输层），因此包过滤的防火墙的一个非常明显的优势就是速度，这是因为防火墙只是去检查数据报的报头，而对数据报所携带的内容没有任何形式的检查，因此速度非常快。与此同时，这种防火墙的缺点也是显而易见的，由于无法对数据报的内容进行核查，一次无法过滤或审核数据报的内容、无法提供描述细致事件的日志系统。

（2）代理型防火墙：应用型代理防火墙的优点是安全性较高。可以针对应用层进行侦测和扫描，对付基于应用层的侵入和病毒都十分有效。其缺点是对系统的整体性能有较大的影响，而且代理服务器必须针对客户机可能产生的所有应用类型逐一进行设置，大大增加了系统管理的复杂性。

（3）状态检测防火墙使用基于连接状态的检测机制，将通信双方之间交互的属于同一连接的所有报文都作为整个的数据流来对待。在状态检测防火墙看来，同一个数据流内的报文不再是孤立的个体，而是存在联系的。例如，为数据流的第一个报文建立会话，数据流内的后续报文就会直接匹配会话转发，不需要再进行规则的检查，提高了转发效率。

防火墙的体系结构：

配置的原则也就是靠近互联网的防火墙实行宽松政策（除了非禁止不可的都被许可），靠近内网的防火墙实行严格政策（除了非允许不可的都被禁止）。一般建议两台防火墙不是同一公司的产品，进一步增加安全性。

防火墙的工作模式：

防火墙能够工作在三种模式下：路由模式、透明模式、混合模式。如果防火墙以第三层对外连接（接口具有IP 地址），则认为防火墙工作在路由模式下；若防火墙通过第二层对外连接（接口无IP 地址），则防火墙工作在透明模式下；若防火墙同时具有工作在路由模式和透明模式的接口（某些接口具有IP 地址，某些接口无IP 地址），则防火墙工作在混合模式下。

另外注意大多情况下防火墙以直路方式连接到网络环境中，与直路部署方式相比，防火墙旁挂部署的优点主要在于：

1. 可以在不改变现有网络物理拓扑的情况下，将防火墙部署到网络中。

2. 可以有选择地将通过汇聚交换机的流量引导到防火墙上，即对需要进行安全检测的流量引导到防火墙上进行处理，对不需要进行安全检测的流量直接通过汇聚交换机转发到核心交换机。

防火墙的区域：

在华为防火墙中，每个安全区域都有一个安全级别，用1-100表示，数字越大，代表这个区域越可信。默认情况下，LOCAL区域安全级别100、Trust区域为85，DMZ为50，Untrust区域为5。

安全域间的数据流动具有方向性，包括入方向(Inbound)和出方向(Outbound)。

入方向：数据由低优先级的安全区域向高优先级的安全区域传输。

出方向：数据由高优先级的安全区域向低优先级的安全区域传输。