فايروال وسيله اي است كه كنترل دستي و به يك شبكه با بنا بر سياست امنيتي شبكه تعريف مي كند. علاوه بر آن از آنجايي كه معمولاً يك فايروال بر سر راه ورودي يك شبكه مي نشيند لذا براي ترجمه آدرس شبكه نيز بكار گرفته مي شود. 

مشخه هاي مهم يك فايروال قوي و مناسب جهت ايجاد يك شبكه امن عبارتند از: 

1 – توانايي ثبت و اخطار: ثبت وقايع يكي از مشخصه هاي بسيار مهم يك فايروال به شمار مي شود و به مديران شبكه اين امكان را مي دهد كه انجام حملات را كنترل كند. همچنين مدير شبكه مي تواند با كمك اطلاعات ثبت شده به كنترل ترافيك ايجاد دشه توسط كاربران مجاز بپردازد. در يك روال مناسب، مدير مي تواند براحتي به بخشهاي مهم از اطلاعات ثبت شده دسترسي پيدا كند. همچنين يك فايروال خوب بايد بتواند علاوه بر ثبت وقايع، در شرايطي بحراني، مدير شبكه را از وقايع مطلع كند و بر وي اخطار بفرستد. 

2 – بازديد از حجم بالايي از بسته هاي اطلاعات: يكي از تستهاي يك فايروال، توانايي آن در بازديد حجم بالايي از بسته هاي اطلاعاتي بدون كاهش چشمگيري كارايي شبكه است. حجم داده ه اي كه يك فايروال مي تواند كنترل كند براي شبكه هاي مختلف متفاوت است اما يك فايروال قطعاً نبايد به گلوگاه شبكه تحت حفاظتش تبديل شود. عوامل مختلفي در سرعت پردازش اطلاعات توسط فايروال نقش دارند، بيشترين محدوديتها از طرف سرعت پردازنده و بهينه سازي كه نرم افزار بركارايي فايروال تحميل مي شوند، عامل محدودكننده ديگر مي تواند كارتهاي واسطي باشد كه بر روي فايروال نصب مي شوند. فايروالي كه بعضي كارها مانند صدور اخطار، كنترل دسترسي مبتني بر URL و بررسي وقايع ثبت شده را به نرم افزارهاي ديگر مي سازد از سرعت و كارايي بيشتر و بهتري برخوردار است.

3 – سادگي و پيكربندي: سادگي و پيكربندي شامل امكان راه اندازي سريع فايروال و مشاهده سريع خطاها و مشكلات است. در واقع بسياري از مشكلات امنيتي كه دامنگير شبكه هاي مي شود به پيكربندي غلط فايروال بر مي گردد. لذا پيكربندي سريع و ساده يك فايروال، امكان بروز خطا را كم مي كند. براي مثال امكان نمايش گرافيكي معماري شبكه و يا ابزاري كه بتواند سياستهاي امنيتي شبكه را به پيكربندي ترجمه كند، براي يك فايروال بسيار مهم است. 

4 – امنيت و افزودگي فايروال: امنيت فايروال خود يكي از نكات مهم در يك شبكه امن است. فايروالي كه نتواند امنيت خود را تامين كند، قطعاً اجازه ورود هكرها و مهاجمان را به ساير بخشهاي شبكه نيز خواد داد. در دو بخش از فايروال، تامين كننده امنيت و شبكه است: 

الف: امنيت سيستم عامل فايروال: اگر نرم افزار فايروال بر سيستم عامل جداگانه اي كار مي كند، نقاط ضعف امنيتي سيستم عامل، مي تواند نقاط ضعف فايروال نيز به حساب بيايد. بنابراين امنيت و استحكام سيستم عامل فايروال و بروزرساني آن از نكات مهم در امنيت فايروال است. 

ب: دسترسي امن به فايروال جهت مقاصد مديريتي: يك فايروال بايد مكانيزمهاي امنيتي خاصي را براي دسترسي مديران شبكه در نظر بگيرد. اين روشها مي تواند رمزنگاري را همراه با روشهاي مناسب تعيين هويت بكار گيرد تا بتواند در مقابل نفوذگران تاب بياورد. 

انواع فايروال: 

انواع مختلف فايروال كم و بيش از كارهايي را كه اشاره كرديم، انجام مي دهند، اما روش انجام كار توسط انواع مختلف، متفاوت است كه اين امر منجر به تفاوت در كارايي و سطح امنيت پيشنهادي فايروال مي شود. بر اين اساس فايروال ها را به 5 گروه تقسيم مي كنند. 

1 – فايروال هاي سطح مدار (Circuit-Level): اين فايروالها به عنوان يك رله براي ارتباطات TCP عمل مي كنند. آنها ارتباط TCP را با رايانه پشتشان قطع مي كنند و خود به جاي آن رايانه به پاسخگويي اوليه مي پردازند. تنها پس از برقراري ارتباط است كه اجازه مي دهند تا داده به سمت رايانه مقصد جريان پيدا كند و تنها به بسته هاي داده اي مرتبط اجازه عبور مي دهند. اين نوع از فايروالها هيچ داده برون بسته هاي اطلاعات را مورد بررسي قرار نمي دهند و لذا سرعت خوبي دارند. ضمناً امكان ايجاد محدوديت بر روي ساير پروتكلها (غير از TCP) را نيز نمي دهند. 

2 – فايروالهاي پروكسي سرور: فايروالهاي پروكسي سرور به بررسي بسته هاي اطلاعات در لايه كاربرد مي پردازند. يك پروكسي سرور درخواست ارائه شده توسط برنامه هاي كاربردي پشتش را قطع مي كند و خود به جاي آنها درخواست ارسال مي كند. نتيجه درخواست را نيز ابتدا خود دريافت و سپس براي برنامه هاي كاربردي ارسال مي كند. اين روش با جلوگيري از ارتباط مستقيم برنامه با سرورها و برنامه هاي كاربردي خارجي امنيت بالايي را تامين مي كند. از آنجايي كه اين فايروالها پروتكلهاي سطح كاربرد را مي شناسند، لذا مي توانند بر مبناي اين پروتكها محدوديتهايي را ايجاد كنند. همچنين آنها مي توانند با بررسي محتواي بسته هاي داده اي به اجاد محدوديتهاي لازم بپردازند. البته اين سطح بررسي مي تواند به كندي اين فايروالها بيانجامد. همچنين از آنجايي كه اين فايروالها بايد ترافيك ورودي و اطلاعات برنامه هاي كاربردي كاربر انتهايي را پردازش كند، كارايي آنها بيشتر كاهش مي يابد. اغلب اوقات پروكسي سرورها از ديد كاربر انتهاي شفاف نيستند و كاربر مجبور است تغييراتي را در برنامه خود ايجاد كند تا بتوان داين فايروالها به كار بگيرد. هر برنامه جديدي كه بخواهد از اين نوع فايروال عبور كند، بايد تغييراتي را در پشته پروتكل فايروال ايجاد كرد. 

3 – فيلترهاي Nosstateful packet: اين فيلترها روش كار ساده اي دارند. آنها بر مسير يك شبكه مي نشينند و با استفاده از مجموعه اي از قواعد، به بعضي بسته ها اجازه عبور مي دهند و بعضي از ديگر را بلوكه مي كنند، اين تصميمها با توجه به اطلاعات آدرس دهي موجود در پروتكلهاي لايه شبكه مانند IP و در بعضي موارد با توجه به اطلاعات موجود در پروتكلهاي لايه انتقال مانند سرآيندهاي TCP و UDP اتخاذ مي شود. اين فيلترها سرويسهاي مورد نياز شبكه جهت محافظت داشته باشند، همچنين اين فيتلرها مي توانند سريع باشند چون همانند پروكسي ها عمل نمي كنند و اطلاعاتي درباره پروتكلهاي لايه كاربرد ندارند.