从发展历程来看，防火墙经历了静态包过滤、应用代理、状态检测三个阶段。
   　　包过滤防火墙的优点是速度快、逻辑简单、成本低、易于安装和使用，网络性能和透明度好，它广泛地应用于Cisco、Sonic System等公司的路由器上。包过滤的缺点是配置困难，容易出现漏洞，而且为特定的服务开放的端口存在着潜在危险。
   　　应用代理防火墙是第二代产品，它使得网络内部的客户不能直接与外部的服务器通信。Wingate、Sybergen Software的Sygate、Cisco的PIX防火墙，都可以提供应用代理防火墙的技术。应用代理防火墙需要在一定范围内定制用户的系统，这取决于所使用的应用程序，而一些应用程序可能根本不支持代理连接。
   　　状态检测防火墙由Check Point率先提出，又称动态包过滤防火墙，通过检查引擎来维护一个动态的状态信息表并对后续的数据包进行检查。该类防火墙已经在国内外得到广泛应用。状态检测防火墙惟一的缺点是这种状态检测可能造成网络连接的某种迟滞，不过硬件越快，这个问题就越不易察觉。
   　　有关“胖瘦”之争
   　　从解决方式来看，目前防火墙界普遍存在两种观点。一种是分工协作，主张“瘦防火墙”。另一种则主张“胖防火墙”，他们建议把大部分网络安全功能集成在防火墙上，使其成为置于网络出口处的一个集成化的安全平台。
   　　由Check Point公司发起的OPSEC是一个产品联盟，是瘦防火墙的典型应用，它通过分工协作、安全互补，实现较为全面的安全Solution。不过，这种产品联盟是基于不同厂商来提供产品，因此难以建立起统一一致的售后服务体系，同时由于各厂商的参与联盟的出发点不同，在整体规划上有可能出现不协调的局面。所以与其说这是一个产品联盟，实质上倒更像联盟成员共享客户资源。
   　　胖防火墙将安全Solution趋向于一种注重功能大而全的单一产品体系，它的优点在于满足用户绝大部分的网络安全需要，但这种观点可以说是弊大于利。其中最突出的就是性能问题，只能着眼于小规模的网络；另外单一产品功能越多，也导致可靠性和安全性的降低；它也与用户市场需求多样化背道而驰。
   　　正如人一样，太胖了就会外强中干，中看不中用；太瘦了又会势单力薄，依赖性强。如何提供一个折中的解决办法，让用户最终满意才是最好的解决方案。
   　　防火墙的明日之路
   　　随着防火墙应用的深入普及，用户与防火墙厂商之间的信息交换不对称正逐渐趋于平衡，换言之，用户聚拢的地方，就是防火墙发展的方向。我们认为，防火墙产品的开发思路与走势最终会由过去的“策略导向”逐步转为“用户导向”。
   　　规模是用户必然考虑的问题，基于网络规模的安全需求，防火墙将逐渐趋于骨干化和小型化。目前个人防火墙正是方兴未艾，分布式防火墙也在逐步成为网络性能与安全功能的折中方案；通过设计安全指令集，构架专用芯片，是骨干型硬件防火墙一个理想的发展策略，它广泛应用于中高端市场，目前在这一领域，如Netscreen、Cisco等国外厂商占据了明显优势。
   　　防火墙是否能衍生到第四代、第五代，目前还不得而知，不过网络用户已经更注重防火墙产品的可管理和易操作性。就像一个策略控制台，通过简易灵活的配置，尽可能实现安全系统的统筹规划--联动管理，即统一策略的安全管理，通过一个安全管理中心（Network Security Center）来实现对用户的统一管理，对网络资源的统一管理，以及安全策略的一致性。从而解决目前“胖瘦不均”的防火墙系统难以避免的琐碎问题，成为防火墙发展的一个重要方向。
   　　对于整个网络来讲，防火墙只是整个安全防护的一个点，一旦被攻破，或是非法访问绕道行驶，即会直接侵向应用。尽管防火墙的内涵具有对应用的防护，但还是有很多局限性，如要构建一个安全的网络系统，单纯的防火墙是做不到的。