Tűzfalak Olyan szoftveres és/vagy hardveres technika, amellyel az intézmények a helyi hálózatukat megvédhetik a külsőhálózatról (jellemzően az Internetről) érkező betörések ellen, a bejövő és kimenőadatforgalom figyelésével, megszűrésével és korlátozásával.
Fajták és Típusok(1) Csomagszűrés Állapot szerinti szűrés Alkalmazás-szintűtűzfal Proxy Tartalomszűrés Behatolás felismerő és behatolás megelőző rendszerek Fajták és Típusok(2) Hálózati címfordítás Internet Connection Firewall Demilitarizált zóna (DMZ) Port szűrés, port kezelés
Csomagszűrés Az adatcsomagok egyszerűszűrése a cél-port, valamint forrás- és célcím, egy a tűzfaladminisztrátor által történik. Ez minden hálózatitűzfal alapfunkciója. A vizsgálat eredményeképp a csomagokat megsemmisíti vagy továbbítja. A fejlett tűzfalak jelzés nélkül dobhatják a csomagokat. Gyorsan dolgozik, de nagy szaktudást igényel. Ez a tűzfalak leggyakrabban használt fajtája, ezekkel az alapvetőszűrésekkel rendelkeznek manapság a legtöbb router, és a vállalati switchek. Állapot szerinti szűrés Ez a csomagszűrés egy kibővített formája, ami a 7. OSI-rétegen egy rövid vizsgálatot hajt végre, hogy minden hálózati-csomagról egyfajta állapottáblát hozzon létre. Ezáltal felismeri ez a tűzfal a csomagok közti összefüggéseket és az aktív kapcsolathoz tartozó munkafolyamatokat leállíthatja. Így szűri ki mikor kommunikál a gép külső hálózattal és ha olyan adatot talál akkor a tűzfal már önmaga blokkolja az átvitelt. Ez különbözteti meg ezt a tűzfalat egy szokásos csomagszűréstől.
Alkalmazás-szintűtűzfal Egy alkalmazás-szintűtűzfal a tisztán csak a forgalomhoz tartozó, mint a forrás, cél és szolgáltatás adatokon kívül a hálózati csomagok tartalmát is figyeli. Ez lehetővéteszi az ún. dedikált proxy-k alkalmazását is, amik egy specializált tartalomszűrést vagy egy Malware-szkennelést is lehetővé tesznek. Egy népszerű félreértéssel ellentétben egy alkalmazás-szintű tűzfal alapszintű feladata nem abból áll, hogy meghatározott alkalmazások (programok) hálózathoz valóhozzáférését engedélyezze vagy megtiltsa. Egyébként egy áramkör szintűproxy-t lehet egy ilyen tűzfalra létesíteni, ami egy protokollfüggetlen port-és címszűrés mellett egy lehetséges hitelesítés a kapcsolat felépítésének támogatásához. E nélkül egy alkalmazás számára nem lehetséges egy külső hálózattal (internettel) történő kommunikálás. Proxy Az alkalmazás-szintűtűzfal integrált proxyt használ, ami a munkamenetének helytállósága alapján építi fel a kliensekkel és a célrendszerekkel a kapcsolatot. A szervernek csak a proxy IPcíme lesz láthatómint feladó, nem pedig a kliensé. Így a helyi hálózat struktúrája nem lesz felismerhetőaz Internet felől.közvetítő szerepet játszik a kettő között: a belülről érkező kéréseket feldolgozza, majd kérést küld a külsőszerver felé, az azokra érkezőválaszokat pedig ugyanilyen módon továbbítja a belsőhálózat felé. Elég biztonságosnak mondhatóés általában egyszerűen konfigurálható. Hátránya viszont, hogy kizárólag olyan kommunikációra használható, melynek értelmezésére képes. Tartalmazhat magában gyorsítótárat is.
Tartalom szűrés Egy tűzfal a tartalomszűrőhasználatával egy kapcsolat adatait ellenőrizheti és szűrheti azokat. A legtöbb rendszer csak nagyon egyszerű szabálydefiníciókat enged meg. Az elsődleges probléma nagyon bonyolult és előfordulhat, hogy a koncepciómeg sem valósíthatótechnikailag. Mert kikell szűrnie bizalmas vagy a kódolt információkat. Ez sokféleképpen kivitelezhető. Gyakran külön csomagokat kell összefűzni, amivel a vizsgált adatforgalom egészként felismerhető, átvizsgálhatóés alkalmanként megváltoztatható. Végül az adatforgalmat ismét különálló csomagokra kell bontani és továbbküldeni. Behatolás felismerőés behatolás megelőző rendszerek A behatolás felismerőrendszer -t (IDS) és behatolás megelőzőrendszer -t (IPS) manapság már egyre gyakrabban integrálják a tűzfalakba. Mindkettőfelismer egy behatolási próbát a kommunikációs minták alapján. A különbség az, hogy egy IDS a támadást csak felismeri, míg az IPS megpróbálja blokkolni. Az egyes rendszerek ideiglenes tűzfal-szabályt hoznak létre, ami egy támadó IPcím felől érkezőösszes további kapcsolódási próbálkozást blokkolja. Ha viszont a támadóhamis küldő-címmel ellátott csomagokat küld a rendszernek, akkor ezzel el tudja érni, hogy ne legyen hozzáférés a hamis címűklienshez. Ezzel egymás után le tudja választani az összes címet a rendszerről, amelyekre épp szükség lenne a működéshez (DNS-szerver, stb.).
Hálózati címfordítás Lehetővéteszi belsőhálózatra kötött saját nyilvános IP cím nélküli gépek közvetlen kommunikációját tetszőleges protokollokon keresztül külsőgépekkel. Vagyis, hogy több számítógépet egy routeren keresztül kössünk az internetre. Az elsődleges cél ez esetben az, hogy egy nyilvános IPcímen keresztül több privát IP-címűszámítógép csatlakozhasson az internethez. A belső gépekről érkező csomagok feladójaként saját magát tünteti fel a tűzfal, így elrejthető a host igazi címe a válaszcsomagok is hozzá kerülnek továbbításra, amiket a belsőhálózaton elhelyezkedőeredeti feladórészére továbbít. Egy proxy-val ellentétben itt a csomagokat csak továbbküldik és nem analizálják a tartalmukat. Internet Connection Firewall (ICF) A Windows XP és a Windows Server 2003 beépített tűzfalprogramja, amely az Internetre kapcsolódó számítgépeket védi a külső támadások ellen.
Demilitarizált zóna (DMZ) A személyes vagy vállalati hálózatok megbízhatatlan külső, és a megbízható belső része között elhelyezkedőrész. A benne elhelyezkedőhálózati eszközökhöz és erőforrásokhoz mind a megbízhatóbelső, mind a megbízhatatlan külsőterületről engedélyezi a hozzáférést, de megakadályozza, hogy a külsőterületről bármilyen kérés vagy hozzáférési kísérlet eljusson a belsőhálózatra. Otthoni és kisirodai router-ek is rendelkeznek DMZ funkcióval. Port szűrés, port kezelés A tűzfalnak figyelnie kell az egyes portokon folyóforgalomra. Érzékelnie kell, ha valaki végigpásztázza a nyitott portokat (ún. port scanning), képesnek kell lennie az egyes portok lezárására, valamint fel kell tudni figyelnie az egyes portokon jelentkező gyanús forgalomra is.