一般来说，防火墙具有以下几种功能：

　　1、允许网络管理员定义一个中心点来防止非法用户进入内部网络。

　　2、可以很方便地监视网络的安全性，并报警。

　　3、可以作为部署NAT（Network Address Translation，网络地址变换）的地点，利用NAT技术，将有限的IP地址动态或静态地与内部的IP地址对应起来，用来缓解地址空间短缺的问题。

    4、是审计和记录Internet使用费用的一个最佳地点。网络管理员可以在此向管理部门提供Internet连接的费用情况，查出潜在的带宽瓶颈位置，并能够依据本机构的核算模式提供部门级的计费。

    两种防火墙技术的对比:

    (1)包过滤防火墙:
      >优点
        价格较低
        性能开销小，处理速度较快
      >缺点
        定义复杂，容易出现因配置不当带来问题
        允许数据包直接通过，容易造成数据驱动式攻击的潜在危险

    (2)代理防火墙
      内置了专门为了提高安全性而编制的Proxy应用程序，能够透彻地理解相关服务的命令，对来往的数据包进行安全化处理
      速度较慢，不太适用于高速网（ATM或千兆位以太网等）之间的应用

　　5、可以连接到一个单独的网段上，从物理上和内部网段隔开，并在此部署WWW服务器和FTP服务器，将其作为向外部发布内部信息的地点。从技术角度来讲，就是所谓的停火区（DMZ）。