防火墻是設(shè)計用來管控所有進(jìn)出的數(shù)據(jù)包，而管控的體系因控管的程度而有所區(qū)別，我們稱之為防火墻的控管級別，這就好比城門守衛(wèi)，管制進(jìn)出城門的人員。如下圖所示，目前防火墻的控管級別大致上區(qū)分為三層：

防火墻的控管級別

Packet Filtering：

　　 Packet Filtering是最基本的防火墻控管，只能管控Network級別的數(shù)據(jù)包內(nèi)容，因此過濾速度是三種級別中最快速的，相對的對于管控的安全性是最差的。舉例來說，這就好像H君企圖送雜志包裹給城內(nèi)的A書店，Packet Filtering只檢查H君的通行證，以及查詢是否允許雜志包裹進(jìn)入，如果答案是肯定的話就給予放行，否則給予阻擋。因此有可能H君所宣稱的雜志包裹，實(shí)際上是郵包炸彈；同時也可能有人從中挾持H君的通行證，企圖用偽冒身分闖關(guān)。

Stateful Inspection：

　　因?yàn)镻acket Filtering不能有效地保證存取身分，因此有可能發(fā)生IP Spoofing的黑客事件，也就是偽冒身份的存取。Stateful Inspection就是為了彌補(bǔ)此一缺陷而改進(jìn)的Packet Filtering技術(shù)，它位于MAC Layer，能持續(xù)追蹤每一個開啟端口的連線，直到連線終止。

Stateful Inspection

　
　　同前例，此時守衛(wèi)在H君進(jìn)入城門時驗(yàn)明正身后，一路上即予以監(jiān)視錄像，同時并聯(lián)絡(luò)A書店是否收到一件雜志包裹，直到H君送完包裹步出墻門后，整個監(jiān)視過程才終止。因?yàn)橐宦飞媳O(jiān)視，因此能有效地防止H君被從中挾持而遭偽冒；雖然它能追蹤包裹是否完整送達(dá)，但也可能宣稱的雜志包裹其實(shí)是郵包炸彈！

Application Layer Gateway：

　　上述的兩種控管機(jī)制，都無法完整管控整個數(shù)據(jù)包傳遞過程，Application Layer Gateway顧名思義是能控管到達(dá)每個Application，也就是說防火墻需要了解每個Application到底在作些什么事。因此要控管HTTP，防火墻就必須為HTTP寫一個控管程序，這支程序知道HTTP實(shí)際上的運(yùn)作內(nèi)容為何。因?yàn)槊糠N應(yīng)用程序都有相對應(yīng)的控管程序，因此Application Layer Gateway的防火墻可以完整地管控每個進(jìn)出的數(shù)據(jù)包；同時與前兩種控管機(jī)制不同的是，Application Layer Gateway會將連線存取的行為，轉(zhuǎn)交由防火墻進(jìn)行，而不是兩端點(diǎn)間的直接連線。

Application Layer Gateway

　　同前例，H君要送雜志包裹給A書店，城門守衛(wèi)驗(yàn)明正身后會將包裹接下，同時打開包裹檢查是否為雜志，確認(rèn)后由守衛(wèi)親自將包裹送達(dá)A書店。如此就不用擔(dān)心是否包裹被從中掉包，同時確認(rèn)包裹內(nèi)容。