防火墙能够工作在三种模式下：路由模式、透明模式、混合模式。

路由模式：作为路由器使用

透明模式：在不改变原有网络结构的情况下，把防火墙加入网络中，即作为交换机接入。此时防火墙对于子网用户和路由器来说是完全透明的

混合模式：既当路由器又当交换机。

防火墙可以将网络划分为三个区域：

不信任区域（untrust，外网）：默认值5
信任区域（trust，内网）：默认值85
DMZ(demilitarized zone,隔离区，非军事化区域区域)：用于放置需要向外网提供服务的服务器（WWW、FTP、电子邮件服务器），默认值50
防火墙默认属于local区域（100），在划分区域后，需要把接口划分到对应的区域中。

区域以数值0~100进行安全级别划分，数值越高安全级别越高。正常情况下，低安全级别区域主动访问高安全级别区域的流量，防火墙会认为是不安全流量而进行阻断。

防火墙数据流动具有方向性

入方向（inbound）:从低安全级区域流向高安全级区域

出方向（outbound）从高安全级区域流向低安全级区域