Un firewall este o aplicaţie sau un echipament hardware care monitorizează şi filtrează permanent transmisiile de date realizate între PC sau reţeaua locală şi Internet, în scopul implementării unei „politici” de filtrare. Această politică poate însemna:

• protejarea resurselor reţelei de restul utilizatorilor din alte reţele similare – Internetul -> sunt identificaţi posibilii „musafiri” nepoftiţi, atacurile lor asupra PC-ului sau reţelei locale putând fi oprite.
• controlul resurselor pe care le vor accesa utilizatorii locali.

Soluţiile firewall se împart în două mari categorii: prima este reprezentată de soluţiile profesionale hardware sau software dedicate protecţiei întregului trafic dintre reţeaua unei întreprinderi (instituţii -> ex.: Universitatea „Alexandru Ioan Cuza”, Iaşi) şi Internet; iar cea de a doua categorie este reprezentată de firewall-urile personale dedicate monitorizării traficului pe calculatorul personal.

Utilizând o aplicaţie din ce-a de a doua categorie veţi putea preîntâmpina atacurile colegilor lipsiţi de fair-play care încearcă să acceseze prin mijloace mai mult sau mai puţin ortodoxe resurse de pe PC-ul dumneavoastră. În situaţia în care dispuneţi pe calculatorul de acasă de o conexiune la Internet, un firewall personal vă va oferi un plus de siguranţă transmisiilor de date. Cum astăzi majoritatea utilizatorilor tind să schimbe clasica conexiune dial-up cu modalităţi de conectare mai eficiente (cablu, ISDN, xDSL sau telefon mobil), pericolul unor atacuri reuşite asupra sistemului dumneavoastră creşte. Astfel, mărirea lărgimii de bandă a conexiunii la Internet facilitează posibilitatea de „strecurare” a intruşilor nedoriţi.

Astfel, un firewall este folosit pentru două scopuri:

• pentru a păstra în afara reţelei utilizatorii rău intenţionati (viruşi, viermi cybernetici, hackeri, crackeri)
• pentru a păstra utilizatorii locali (angajaţii, clienţii) în reţea

Politica firewall-ului se poate alege urmând câţiva paşi simpli:

• alege ce servicii va deservi firewall-ul
• desemnează grupuri de utilizatori care vor fi protejaţi
• defineşte ce fel de protecţie are nevoie fiecare grup de utilizatori
• pentru serviciul fiecărui grup descrie cum acesta va fi protejat
• scrie o declaraţie prin care oricare alte forme de access sunt o ilegalitate

Politica va deveni tot mai complicată cu timpul, dar deocamdată este bine să fie simplă şi la obiect.

• Layerul (stratul) din stiva de reţea la care operează
• Modul de implementare

În funcţie de layerul din stiva TCP/IP (sau OSI) la care operează, firewall-urile pot fi:

• Layer 2 (MAC) şi 3 (datagram): packet filtering.
• Layer 4 (transport): tot packet filtering, dar se poate diferenţia între protocoalele de transport şi există opţiunea de „stateful firewall”, în care sistemul ştie în orice moment care sunt principalele caracteristici ale următorului pachet aşteptat, evitând astfel o întreagă clasă de atacuri
• Layer 5 (application): application level firewall (există mai multe denumiri). În general se comportă ca un server proxy pentru diferite protocoale, analizând şi luând decizii pe baza cunoştinţelor despre aplicaţii şi a conţinutului conexiunilor. De exemplu, un server SMTP cu antivirus poate fi considerat application firewall pentru email.

Deşi nu este o distincţie prea corectă, firewallurile se pot împărţi în două mari categorii, în funcţie de modul de implementare:

• dedicate, în care dispozitivul care rulează software-ul de filtrare este dedicat acestei operaţiuni şi este practic „inserat” în reţea (de obicei chiar după router). Are avantajul unei securităţi sporite.
• combinate cu alte facilităţi de networking. De exemplu, routerul poate servi şi pe post de firewall, iar în cazul reţelelor mici acelaşi calculator poate juca în acelaţi timp rolul de firewall, router, file/print server, etc.

De asemeni, o aplicaţie firewall nu poate:

• interzice importul/exportul de informaţii dăunătoare vehiculate ca urmare a acţiunii răutăcioase a unor utilizatori aparţinând spaţiului privat (ex: căsuţa poştală şi ataşamentele);
• interzice scurgerea de informaţii de pe alte căi care ocolesc firewall-ul (acces prin dial-up ce nu trece prin router);
• apăra reţeaua privată de utilizatorii ce folosesc sisteme fizice mobile de introducere a datelor în reţea (USB Stick, dischetă, CD, etc.)
• preveni manifestarea erorilor de proiectare ale aplicaţiilor ce realizează diverse servicii, precum şi punctele slabe ce decurg din exploatarea acestor greşeli.