防火墻可以使用多種方法來識別并阻止惡意流量。以下是一些常見的方法：

1、基于規則的防火墻：這種防火墻根據預先定義的規則集來過濾流量。管理員可以設置規則，指定允許或阻止特定類型的流量，如IP地址、端口、協議等。

2、狀態檢查（Stateful Inspection）：狀態檢查防火墻會監視網絡連接的狀態，并根據連接的狀態來過濾流量。它會跟蹤網絡會話的狀態，只允許相關的流量通過，從而防止一些常見的攻擊，比如SYN Flood。

基于簽名的檢測：這種方法使用已知的攻擊簽名或模式來識別惡意流量。防火墻會與已知的攻擊特征進行比較，如果流量匹配某些特征，則會被阻止或報警。

3、深度數據包檢查（Deep Packet Inspection，DPI）：DPI分析數據包的內容，并根據應用層協議對其進行檢查。它可以檢測到隱藏在數據包中的惡意內容，如病毒、惡意代碼等。

4、行為分析：一些高級防火墻使用行為分析來檢測異常流量模式。它們可以分析流量的行為，例如流量的頻率、源和目的地之間的關系等，以檢測潛在的威脅。

5、黑名單和白名單：管理員可以創建黑名單和白名單，分別用于阻止已知的惡意IP地址或允許已知的受信任IP地址。

以上方法是防火墻識別并阻止惡意流量通常會結合使用的方法，以提供更強大的安全性保護。