防火墻是防御網絡入侵者的最有效機制，阻擋基于網絡的攻擊的功能也日益完善。防火墻的發展階段包括訪問控制列表、應用代理服務、狀態檢測三個階段。訪問控制列表――路由器和網關基于來源和目標IP地址以及連接所用協議作出決策。每種協議與不同的端口號相關聯，譬如端口80用于HTTP，端口110用于郵局協議（POP）。除了用于Web訪問的HTTP和用于電子郵件的簡單郵件傳輸協議（SMTP）等標準協議外，許多網關阻擋其它各種訪問。

    應用代理服務――應用代理防火墻是一種應用軟件，在網絡和代理服務器之間的服務器上運行，譬如代理Web服務器的HTTP防火墻。從外面來看，代理防火墻所運行的HTTP服務器如同目標服務器；從里面來看，它又如同提出請求的客戶瀏覽器。這種“中間服務器”為安全管理員提供了對接受或阻擋哪種流量確定規則的機會。健壯的應用代理防火墻需要運行它所防御的每種應用的實例，包括Web服務器、數據庫服務、IRC、FTP、Telnet、電子郵件、Morpheus及企業的定制應用。應用代理服務在防火墻市場未能獲得成功是因為需要處理眾多的應用。此外，調用應用會大大增加時延，因而無法實現線速網絡處理。將來，企業多半不再使用基于軟件的應用代理防火墻。

    狀態檢測――網關防火墻面臨的其中一個挑戰就是吞吐量。開發狀態檢測功能是為了讓規則能夠運用到會話發起過程，從而提高吞吐量。狀態檢測防火墻查看包頭后，根據規則集作出決定。阻擋或允許訪問的決定適用于該會話后來的所有包（會話則由來源、目標地址、協議和時間因素確定）。狀態檢測防火墻是一種包處理器，這種網絡設備能夠擴展，以適應因特網數據中心及某些企業所需的千兆速率。然而，應用防御需要識別有效載荷內容的更強功能及線速檢測功能。Web服務將需要高速分析XML及簡單對象訪問協議（SOAP）對象。對這種應用實施安全策略就需要全面檢測包有效載荷的功能。狀態防火墻技術唯有不斷發展才能滿足這種新需求。

    深度包檢測將成為防火墻發展的下一個階段。近期最具破壞性的網絡攻擊如紅色代碼和尼姆達都利用了應用存在的漏洞，這加大了對應用防火墻的需求。說到保護系統免受類似尼姆達的攻擊，眾多的應用代理收效甚微。將來，只依靠代理或狀態包檢測防火墻的企業遭到應用層攻擊破壞的機率兩倍于采用先進的深度包檢測防火墻方案的企業。

    Gartner認為，代理系統對阻擋將來的攻擊并非至關重要。將來防火墻需要更加深入監控信息包流，查出惡意行為，并加以阻擋。市場上的包檢測解決方案必須增添功能（如特征檢測）尋找已知攻擊，并知道什么是“正常”流量（基于行為的系統），以及阻擋協議的異常行為。

    最近防火墻廠商的動態表明，防火墻的這個發展階段已經到來。譬如說，Check Point的SmartDefense使Firewall-1能夠查找常見攻擊，并丟棄與之有關的會話。NetScreen收購OneSecure后，把深度包檢測功能集成到了其應用特定的集成電路防火墻設備。TippingPoint、NetContinuum、Fortinet和iPolicy等新興廠商也在利用分析包有效載荷以實施安全規則的功能。

    Web服務將迫使邊界防御機制提高識別允許哪類流量以代碼如SOAP元素或控制消息如XML語句等形式通過端口80訪問網絡的能力。防火墻廠商就要提供能控制這種流量的解決方案。