Firewall tek bilgisayarınıza veya yerel ağınıza internet ten veya diğer ağlardan erişimi kısıtlayıp bilgisayarınızın veya yerel ağınızın internet ten veya diğer ağlardan gelecek saldırılara karşı koruyan bir bilgisayar ve üzerindeki yazılıma verilen genel addır. Firewall İnternet ile Yerel ağınızın arasında bulunarak ağınıza giriş çıkışları kontrol eder. Firewall`lar WAN (Wide area network) üzerinden LAN'a (Local area network), Lan üzerinden Wan`a veya birbirine bağladığı iki Lan arasındaki trafiği kontrol ederek istenmeyen protokol giriş çıkışlarını engeller.
Paket filtreleme kernel(çekirdek) içerisine gömülmüş durumdadır ve TCP/IP protokolünün Network Layer(Ağ Katmanı) da çalışır. Bu sayede sadece firewall kurallarının izin verdiği paketlerin geçişine izin verilir. Paketler tipine, kaynak adresine(source address), hedef adresine (destination address) ve portlara göre filtrelenir. Paket aynı zamanda Router görevi yapan firewall makinesine geldiği zaman paketin başlık (header) kısmı açılır ve paket başlığındaki bilgilere göre pakete izin verilir veya engellenir. Paketin başlık kısmında aşağıdaki bilgiler bulunur:
Kaynak (source) IP adresi
Hedef (destination) IP adresi
TCP/IP Kaynak Portu
TCP/IP Hedef Portu
ICMP Mesaj Türü
Protokol Türü
İki türlü Firewall dizaynı vardır.
İzin verilen tarik dışındaki tüm trafiği engellemek
En iyi firewall dizayndır. Burada nelere izin verilip verilmediği bellidir. Dahiliniz dışında herhangi bir pakete izin verilmez.
Kapatılan trafik dıiındaki tüm trafiğe izin vermek
Burada güvenlik açığı olabilecek uygulamaları tek tek kapatmak zorundasınız ve diğerlerine izin vermelisiniz. Bu durumda bazı gözden kaçırdığınız durumlar olabilir. Bu yüzden güvenlik açısından çok iyi bir yöntem değildir.
Günümüzde Firewall sistemleri genel olarak 2 ayrı yapı ile birbirlerinden ayrılmaktadırlar. Bu yapılar Firewall'lara çeşitli artılar ve eksiler kazandırmaktadır.
Bu mimari eskimiş olmasına rağmen halen Linux IPChains gibi bazı Firewall sistemlerinde kullanılmaktadır. Gelen ve giden paketleri sadece geldiği yer, erişmek istediği port numarası, protokolü gibi değerleri ile inceler ve bu değerlerden paketin erişimine izin olup olmadığının saptamasını yapar.
Örneğin bir http isteği eline geldiğinde erişmek isteği portun 80, protokolün TCP ve geldiği yerin 1.2.3.4 IP'si olduğunu görür ve içerideki sunucuya ulaşmasına izin verilmişse, bu paketin içerideki sunucuya gitmesine izin verir. Basit bir mimaridir. Günümüzde ticari Firewall sistemlerinde kullanılmamaktadır.
En büyük zayıflığı paketleri ilk gönderen sistemi yani oturumu ilk başlatan sistemi saptayamıyor olmasıdır. Bu durum ciddi riskler oluşturmaktadır, kaynak portu taramaları ve bağlantıları bu risklere örnektir. Bir örnek ile incelemek gerekirse ağdaki bir çalışanın FTP portundan iletişim kurabilmesi için izin verilmiştir. Oturumun işleyişi ise önce çalışanın 21/TCP portunu hedef port olarak belirleyerek bir sisteme dosya isteği göndermesi ile başlar, hedef sistem, kaynağı portu 20/TCP olan paketler ile çalışana dosya transferi yapar. Böyle bir durumda saldırgan ağa kaynak portu 20/TCP olan bir paket gönderdiğinde Firewall sistemi bu paketi görecek ve içeriden bu pakete istek gelmeseydi bu paket gönderilmezdi mantığına dayanacak ve paketin içeriye girmesine izin verecektir. Firewall'un paketin hedef portuna bakmaması sebebiyle saldırgan kaynak portu 20/TCP olan paketlerle içerideki herhangi bir sistemin örneğin 139/TCP portuna ulaşabilecektir. Böylece Firewall üzerindeki erişim kontrol listeleri etkisiz kalacaktır. Bu sebeple oturumun baştan sona takip edilmesi, kimin ne istediği ve kimin ne gönderdiği bir tabloda tutulacak ve karşılaştırılacak bir sistem yaratılmıştır; Dinamik paket filtreleme sistemi - Stateful inspection.
Dinamik paket filtreleme mimarisindeki Firewall'larda yukarıdaki örnekte anlatıldığı gibi klasik paket filtrelemenin yanısıra oturumu takip etme özelliğide vardır. Checkpoint firmasının ürettiği bu teknoloji yine bu firmanın tescilli markası olan Stateful Inspection ismiyle anılmaktadır. Günümüz Firewall sistemleri genelde bu sistem ile çalışmaktadırlar.