În reţelele de calculatoare, un firewall este un dispozitiv sau o serie de dispozitive configurate în aşa fel încât să filtreze, să cripteze sau să intermedieze traficul între diferite domenii de securitate pe baza unor reguli predefinite.

Un paravan de protecţie (firewall-ul) poate ţine la distanţă traficul Internet care poate afecta sistemul calculatorului: hackeri, worms şi anumite tipuri de viruşi. Acesta mai poate împiedica participarea computerului la un atac împotriva altor calculatoare, fără cunoştinţa sau voinţa utilizatorului


Modul de funcţionare al unui firewall:




Un firewall cooperează îndeaproape cu un program de routare, care examinează fiecare pachet de date din reţea (cea locală sau cea exterioară) ce va trece prin serverul gateway, pentru a hotărî dacă va fi trimis mai departe spre destinaţie sau nu. De asemenea, un firewall include sau lucrează împreună cu un server proxy care face cereri de pachete în numele staţiilor de lucru ale utilizatorilor. În cele mai întâlnite cazuri aceste programe de protecţie sunt instalate pe calculatoare ce îndeplinesc numai această funcţie şi care sunt instalate în faţa routerelor.

Soluţiile firewall se împart în două mari categorii:

•  cele profesionale hardware sau software dedicate protecţiei întregului trafic dintre reţeaua unei întreprinderi sau instituţii

•  firewall-urile personale dedicate monitorizării traficului pe calculatorul personal.

Un firewall este folosit pentru două scopuri:

•  pentru a ţine în afara reţelei utilizatorii rău intenţionati (viruşi, worms, hackeri, crackeri)

•  pentru a deservi utilizatorii locali în reţea în mod normal, conform autorizărilor respective.

Politica firewall-ului

Înainte de a construi un firewall trebuie hotărâtă politica sa, pentru a şti exact care va fi funcţia sa şi în ce fel se va implementa această funcţie.

Politica firewall-ului se poate alege urmând câţiva paşi simpli:

•  se aleg serviciile care trebuie oferite de firewall

•  se desemnează grupurile de utilizatori care vor fi protejaţi

•  se defineşte amănunţit gradul de protecţie de care are nevoie fiecare grup de utilizatori şi cum vor fi implementate protecţiile necesare

•  se face cunoscut utilizatorilor că oricare alte forme de acces nu sunt permise.

Clasificare

Firewall-urile pot fi clasificate după:

•  Layerul (stratul) din stiva de reţea la care operează.

•  Modul de implementare.

În funcţie de layerul din stiva TCP/IP (sau OSI ) la care operează, firewall-urile pot fi:

a) Layer 2 ( MAC ) şi 3 ( datagram ): packet filtering .

b) Layer 4 ( transport ): tot packet filtering, dar se poate face diferenţa între protocoalele de transport şi există opţiunea de "stateful firewall", în care sistemul ştie în orice moment care sunt principalele caracteristici ale următorului pachet aşteptat, evitând astfel o întreagă clasă de atacuri.

c) Layer 5 ( application ): application level firewall (există mai multe denumiri). În general se comportă ca un server proxy pentru diferite protocoale, analizând şi luând decizii pe baza cunoştinţelor despre aplicaţii şi a conţinutului conexiunilor.
În funcţie de modul de implementare, firewall-urile se pot împărţi în două mari categorii:

•  dedicate, în care dispozitivul care rulează software-ul de filtrare este dedicat acestei operaţiuni şi este practic "inserat" în reţea (de obicei chiar după router); are avantajul unei securităţi sporite.

•  combinate cu alte facilităţi de networking; de exemplu, routerul poate funcţiona în acelaşi timp şi pe post de firewall, iar în cazul reţelelor mici, acelaşi calculator poate juca în acelaţi timp mai multe roluri: de firewall,