Pe lângă protejarea calculatoarelor individuale și serverelor atașate la rețea, este important să controlați traficul care trece din și către rețea.
Un firewall este unul dintre cele mai eficiente instrumente de securitate disponibile pentru protejarea utilizatorilor rețelei interne de amenințările externe. Un paravan de protecție se află între două sau mai multe rețele, controlează traficul dintre acestea și ajută la prevenirea accesului neautorizat. Paravanele de protecție folosesc diferite tehnici pentru a determina ce acces este sau nu permis la un segment al rețelei. Aceste tehnici sunt:
- Filtrarea pachetelor - Împiedică sau permite accesul în funcție de adresele MAC și IP
- Filtrarea aplicației - Împiedică sau permite accesul prin anumite tipuri de aplicații în funcție de numărul porturilor.
- Filtrarea URL-ului - Împiedică sau permite accesul la site-urile web în funcție de anumite URL-uri sau cuvinte cheie.
- SPI (Stateful packet inspection - Inspectarea pachetelor pe baza informațiilor de stare) - pachetele de intrare trebuie să reprezinte răspunsuri normale la solicitările de la hosturile interne. Pachetele nesolicitate sunt blocate dacă nu li se permite altfel. SPI poate include și capacitatea de a recunoaște și filtra anumite tipuri de atacuri precum DoS.
Produsele firewall pot suporta una sau mai multe capacități de filtrare. În plus, firewall-urile efectuează deseori NAT (Network Address Translation). NAT traduce o adresă IP internă sau grup de adrese IP într-o adresă IP publică, externă care este trimisă în rețea. Astfel se permite adreselor IP externe să fie ascunse de utilizatorii externi.
Produsele firewall vin sub diferite forme, așa cum se arată în figură.
- Firewall bazat pe Dispozitiv - Un astfel de firewall este încorporat într-un hardware dedicat cunoscut ca echipament de securitate.
- Firewall-uri bazate pe servere - Constă într-o aplicație firewall care rulează într-un NOS (sistem de operare de rețea), precum UNIX sau Windows.
- Firewall-uri integrate - Sunt implementate prin adăugarea funcționalității firewall-ului la un echipament existent, cum ar fi un router.
- Firewall-uri personale - Acestea se află pe calculatoare care nu sunt proiectate pentru implementări de LAN. Ar putea fi disponibile în mod implicit din sistemul de operare sau ar putea veni de la un furnizor extern.