防火墻是設計用來管控所有進出的數據包，而管控的體系因控管的程度而有所區別，我們稱之為防火墻的控管級別，這就好比城門守衛，管制進出城門的人員。如下圖所示，目前防火墻的控管級別大致上區分為三層：

防火墻的控管級別

Packet Filtering：

　　 Packet Filtering是最基本的防火墻控管，只能管控Network級別的數據包內容，因此過濾速度是三種級別中最快速的，相對的對于管控的安全性是最差的。舉例來說，這就好像H君企圖送雜志包裹給城內的A書店，Packet Filtering只檢查H君的通行證，以及查詢是否允許雜志包裹進入，如果答案是肯定的話就給予放行，否則給予阻擋。因此有可能H君所宣稱的雜志包裹，實際上是郵包炸彈；同時也可能有人從中挾持H君的通行證，企圖用偽冒身分闖關。

Stateful Inspection：

　　因為Packet Filtering不能有效地保證存取身分，因此有可能發生IP Spoofing的黑客事件，也就是偽冒身份的存取。Stateful Inspection就是為了彌補此一缺陷而改進的Packet Filtering技術，它位于MAC Layer，能持續追蹤每一個開啟端口的連線，直到連線終止。

Stateful Inspection

　
　　同前例，此時守衛在H君進入城門時驗明正身后，一路上即予以監視錄像，同時并聯絡A書店是否收到一件雜志包裹，直到H君送完包裹步出墻門后，整個監視過程才終止。因為一路上監視，因此能有效地防止H君被從中挾持而遭偽冒；雖然它能追蹤包裹是否完整送達，但也可能宣稱的雜志包裹其實是郵包炸彈！

Application Layer Gateway：

　　上述的兩種控管機制，都無法完整管控整個數據包傳遞過程，Application Layer Gateway顧名思義是能控管到達每個Application，也就是說防火墻需要了解每個Application到底在作些什么事。因此要控管HTTP，防火墻就必須為HTTP寫一個控管程序，這支程序知道HTTP實際上的運作內容為何。因為每種應用程序都有相對應的控管程序，因此Application Layer Gateway的防火墻可以完整地管控每個進出的數據包；同時與前兩種控管機制不同的是，Application Layer Gateway會將連線存取的行為，轉交由防火墻進行，而不是兩端點間的直接連線。

Application Layer Gateway

　　同前例，H君要送雜志包裹給A書店，城門守衛驗明正身后會將包裹接下，同時打開包裹檢查是否為雜志，確認后由守衛親自將包裹送達A書店。如此就不用擔心是否包裹被從中掉包，同時確認包裹內容。