I Firewall sono dispositivi hardware o software che permettono di proteggere e quindi filtrare traffico da e verso una LAN per evitare accessi non autorizzati.

Il firewall viene normalmente chiamato Bastion host, termine che indicava nel medioevo un particolare punto della fortificazione dei castelli; L'idea sarebbe quella di far passare tutto il traffico diretto a una certa rete attraverso questo dispositivo.

Siccome le architetture dei firewall sono molteplici si possono combinare vari firewall che agiscono su livelli diversi dello stack TCP/IP, vedremo successivamente come una combinazione di firewall a livello applicazione e screen routing può fornire un livello di sicurezza ragionevole.

Lo screen routing rappresenta un primo livello di filtraggio; questo tipo di firewall può lavorare solo a livello data-link e rete e quindi può filtrare pacchetti in base a numeri di porta, indirizzi IP, flag TCP etc., non presenta un meccanismo di auditing (avvertimento) e per questo deve essere affiancato da filtri del firewall che possono lavorare a livello rete di trasporto e a livello di applicazione nell'ambito dello stack TCP/IP.

Ci sono 3 punti principali che un firewall non può gestire in una progettazione di una politica della sicurezza e che quindi rappresentano dei limiti:

1.

Garantire l'integrità

dei dati.Anche se abbiamo firewall che controllano la presenza di virus nei pacchetti, è impensabile su reti di grandi dimensioni chiedere al firewall di controllare tutti i pacchetti nella ricerca di virus, è preferibile ridurre i punti della rete che possono ricevere i file in arrivo e controllare qui eventuali virus.

2.

Protezione contro disastri.Un firewall può controllare accessi elettronici, ma non fisici o derivanti da distruzioni naturali.

3.

Autenticazione delle Fonti. Un firewall non può aiutare ad autenticare le fonti, non può quindi sopperire alle debolezze dei vari protocolli, esempio TCP/IP (nella sezione sicurezza c'è una descrizione dei vari attacchi basati sulla autenticazione.)
La funzione principale di un firewall diventa quindi quella di limitare la regione a rischio, a poche macchine anziche all'intera rete, in modo che un hacker debba prima essere costretto a "bucare" un firewall (che di solito logga molte attività) per poter successivamente sferrare un attacco alla rete. Quindi tutta la politica sicurezza viene principalmente definita sulle regole di filtraggio dei pacchetti e tutti i pacchetti rivolti alla rete interna devono passare dal firewall.