在電腦運算領域中，防火牆(英文：firewall)是一項協助確保資訊安全的裝置，會依照特定的規則，允許或是限制傳輸的資料通過。防火牆可能是一台專屬的硬體或是架設在一般硬體上的一套軟體。

• 一種安全機制，用來隔離兩個安全信任度不同的網路。
• 可由軟體或硬體來實作，利用系統所建立的安全性規則，有效的控制對內與對外流量。

1. 形成內部網路與網際網路的咽喉點(Choke Point)，落實安全性政策。
2. 有效的控管非必要或有安全性疑慮的封包。
3. 記錄及監控內部與網際網路活動。
4. 偵測與避免非經授權者存取組織單位網路資源。
5. 避免耗費大量公開位址。
6. 避免內部網路資訊直接暴露在外。

• 封包過濾防火牆(Packet-filtering Firewall)

封包過濾防火牆為第一代防火牆，提供網路層封包篩選的基本功能。依據定義好的存取規則，應用到每個流入或流出的IP封包上，以決定是否允許或阻止封包的進出。

• 狀態檢視防火牆(Stateful Inspection Firewall)

是一種動態封包過濾的防火牆技術，能夠更細部(more granularly) 的檢視封包及連線工作階段的防火牆類型。

• 代理防火牆(Proxy)

1. 強調用戶端程式必需與代理伺服器接洽，再透過它來與目的機器連通，而非直接讓用戶端連接真正的目的地。
2. 可以評估來自用戶端程式的請求並決定是否代其服務，如用戶請求被允許，代理伺服器會將其請求傳至真正的伺服器，並將回應回傳至用戶端程式。

• 混合型防火牆(Hybrid Firewall)

1. 許多防火牆均可同時提供封包過濾、狀態檢視和代理閘道器的功能稱之。
2. 利用混合型防火牆以循序性的方式套用多種過濾篩選方式，將可加強安全性。

• 封包過濾防火牆(Packet-filtering Firewall)
  • 優點

1. 建置簡單便宜
2. 效率佳。
3. 具透通性，用戶端機器無需作任何設定。

• • 缺點

1. 難以設計出一組長期有效又正確的無誤過濾規則。
2. 無法處理應用層協定，所以對於封包資料段或特定
3. 應用服務弱點的攻擊方式無能為力。
4. 缺乏驗證能力。
5. 安全性較差。

• 狀態檢視防火牆(Stateful Inspection Firewall)
  • 優點

1. 狀態檢視防火牆可以透過連線狀態來判斷是否為合法授權的封包，所以安全性較靜態封包過濾防火牆為高。

• • 缺點

1. 效能較封包過濾稍差
2. 無法處理應用層協定

• 代理防火牆(Proxy)
  • 電路層閘道器
    • 優點

1. 通常比另一種應用層代理閘道器快速。
2. 為一般目的的共用型代理服務，可支援許多應用層協定的代理存取功能。
3. 提供比封包過濾防火牆較佳的記錄功能。

• • • 缺點

1. 需要修改用戶端應用程式或TCP/IP協定堆疊。
2. 無法處理應用層協定。
3. 除了TCP、UDP外，並無法限制其它協定(如ICMP) 。

• • 應用層閘道
    • 優點

1. 支援代理存取，可避免內外直接連線並隱藏內部位址。
2. 可過濾封包內容(Contents) 與命令來阻斷針對應用協定弱點的攻擊。
3. 若閘道器中沒有包含某種特定程式的代理程式碼的話，則此種類型的封包將無法進出防火牆。
4. 對於應用層協定的流量進出，可以作較詳盡的記錄或稽核。

• • • 缺點

1. 效能較差 : 需針對特定應用層的連線或作內容或命令篩選。
2. 擴充性差 : 需針對每個應用類型撰寫對應的代理程式，不僅擴充性差且代理程式價錢高。
3. 管理及系統資源負荷較高 : 應用層閘道器設定複雜度較高，較可能因設定不當而造成存取問題，此外，也比較耗費系統資源。

簡而言之，防火牆為組織單位連接網際網路必要的防禦系統，也是組織集中落實安全性政策的機制 ; 不同的防火牆類型不僅提供了不同的封包篩選及檢視方式，也具備不同的安全度、效率、用戶端透通性與成本 ; 不同的防火牆架構也擁有不同的成本與安全度 ; 近年防火牆發展趨勢己是逐漸整合其它入侵偵測、VPN、內容過濾等其它防禦功能形成具備防禦縱深與多層次保護的系統。

請參考考教育部數位教學資源入口網(ISP):https://isp.moe.edu.tw/resources/search_content.jsp?rno=1442438