防火墙是一项协助确保信息安全的设备，会依照特定的规则，允许或是限制传输的数据通过。下面本文就给大家介绍下防火墙的主要类型以及ICF工作原理，想要学习的小伙伴可以和本小编一起来看下！

 主要类型

 网络层防火墙

网络层防火墙可视为一种 IP 封包过滤器，运作在底层的TCP/IP协议堆栈上。我们可以以枚举的方式，只允许符合特定规则的封包通过，其余的一概禁止穿越防火墙（病毒除外，防火墙不能防止病毒侵入）。这些规则通常可以经由管理员定义或修改，不过某些防火墙设备可能只能套用内置的规则。

我们也能以另一种较宽松的角度来制定防火墙规则，只要封包不符合任何一项“否定规则”就予以放行。操作系统及网络设备大多已内置防火墙功能。

较新的防火墙能利用封包的多样属性来进行过滤，例如：来源 IP地址、来源端口号、目的 IP 地址或端口号、服务类型(如 WWW 或是 FTP)。也能经由通信协议、TTL 值、来源的网域名称或网段...等属性来进行过滤。

 应用层防火墙

应用层防火墙是在 TCP/IP 堆栈的“应用层”上运作，您使用浏览器时所产生的数据流或是使用 FTP 时的数据流都是属于这一层。应用层防火墙可以拦截进出某应用程序的所有封包，并且封锁其他的封包(通常是直接将封包丢弃)。理论上，这一类的防火墙可以完全阻绝外部的数据流进到受保护的机器里。

防火墙借由监测所有的封包并找出不符规则的内容，可以防范电脑蠕虫或是木马程序的快速蔓延。不过就实现而言，这个方法既烦且杂(软件有千千百百种啊)，所以大部分的防火墙都不会考虑以这种方法设计。

XML 防火墙是一种新型态的应用层防火墙。

根据侧重不同，可分为：包过滤型防火墙、应用层网关型防火墙、服务器型防火墙。

 ICF工作原理

ICF被视为状态防火墙，状态防火墙可监视通过其路径的所有通讯，并且检查所处理的每个消息的源和目标地址。为了防止来自连接公用端的未经请求的通信进入专用端，ICF保留了所有源自ICF计算机的通讯表。在单独的计算机中，ICF将跟踪源自该计算机的通信。与ICS一起使用时，ICF将跟踪所有源自ICF/ICS计算机的通信和所有源自专用网络计算机的通信。所有Internet传入通信都会针对于该表中的各项进行比较。只有当表中有匹配项时（这说明通讯交换是从计算机或专用网络内部开始的），才允许将传入Internet通信传送给网络中的计算机。

源自外部源ICF计算机的通讯（如Internet）将被防火墙阻止，除非在“服务”选项卡上设置允许该通讯通过。ICF不会向你发送活动通知，而是静态地阻止未经请求的通讯，防止像端口扫描这样的常见黑客袭击。