Брандмауэр (brandmauer, firewall) — средство защиты работающих в Интернете серверов и сетей от несанкционированного доступа; предохраняет от попадания в защищаемый объект или выхода из него пакетов данных, которые не отвечают установленным правилам безопасности. На корпоративные брандмауэры возложена организация множественных шифрованных соединений или виртуальных частных сетей VPN (Virtual Private Network). Брандмауэры отличаются от средств индивидуальной защиты тем, что допускают возможность программирования и контроля, как входящих, так и исходящих пакетов. Примерами могут служить: ППП Axent Technologies, Check Point, Cisco Firewall/Plus, Network Associates, Secure Computing. Разработка в данной области фирмы Microsoft — Internet Security and Acceleration Server 2000 (также ISA Server 2000).
Для защиты небольших сетей (домашних и малых офисов) распространение получили брандмауэры, выполненные в виде отдельных модулей, либо являющиеся частью маршрутизаторов класса SOHO, в том числе — беспроводных маршрутизаторов, позволяющих комбинировать на их основе проводные и беспроводные сегменты локаль-ных сетей. В зависимости от уровней модели OSI, на которых функционируют брандмауэры, они могут быть разделены на классы:
Packet filter(пакетный фильтр) — брандмауэр, работающий на сетевом (третьем) уровне модели OSI или на IP-уровне протоколов TCP/IP. Пакетные фильтры присутствуют в обязательном порядке в каждом маршрутизаторе, поскольку работают на третьем уровне модели OSI. Задачей пакетных фильтров является фильтрация пакетов на основе сведений об IP-адресах источника или получателя, а также — номерах портов;
Circuit-level gateway (шлюз сеансового уровня) — работает на пятом уровне модели OSI или на транспортном (четвертом) TCP/IP уровне. Брандмауэры этого вида отслеживают процессы установления TCP-соединений и организацию сеансов обмена данными между оконечными машинами. Они позволяют определить легитимность каждой связи. При этом данные, передаваемые во внешнюю сеть не содержат сведений об источнике передачи в защищаемой сети. Для повышения безопасности сети встроенные в маршрутизаторы брандмауэры, как правило, используют протокол NAT (Network Address Tranalation);
Application-level gateway (шлюз прикладного уровня, proxy-сервер) — работает на седьмом уровне модели OSI, отвечающем за доступ приложений в сеть, обмен почтовыми сообщениями и управление сетью. Получая сведения о пакетах на прикладном уровне, шлюзы могут блокировать доступ к определенным сервисам и производить фильтрацию специфических команд. Шлюзы прикладного уровня могут использоваться для регистрации активности отдельных пользователей и установленных ими сеансов связи.
SPI (Stateful Packet Inspection) — тип многоуровнего брандмауэра, объединяющего преимущества пакетных фильтров, а также шлюзов сеансового и прикладного уровней.
Packet filter(пакетный фильтр) — брандмауэр, работающий на сетевом (третьем) уровне модели OSI или на IP-уровне протоколов TCP/IP. Пакетные фильтры присутствуют в обязательном порядке в каждом маршрутизаторе, поскольку работают на третьем уровне модели OSI. Задачей пакетных фильтров является фильтрация пакетов на основе сведений об IP-адресах источника или получателя, а также — номерах портов;
Circuit-level gateway (шлюз сеансового уровня) — работает на пятом уровне модели OSI или на транспортном (четвертом) TCP/IP уровне. Брандмауэры этого вида отслеживают процессы установления TCP-соединений и организацию сеансов обмена данными между оконечными машинами. Они позволяют определить легитимность каждой связи. При этом данные, передаваемые во внешнюю сеть не содержат сведений об источнике передачи в защищаемой сети. Для повышения безопасности сети встроенные в маршрутизаторы брандмауэры, как правило, используют протокол NAT (Network Address Tranalation);
Application-level gateway (шлюз прикладного уровня, proxy-сервер) — работает на седьмом уровне модели OSI, отвечающем за доступ приложений в сеть, обмен почтовыми сообщениями и управление сетью. Получая сведения о пакетах на прикладном уровне, шлюзы могут блокировать доступ к определенным сервисам и производить фильтрацию специфических команд. Шлюзы прикладного уровня могут использоваться для регистрации активности отдельных пользователей и установленных ими сеансов связи.
SPI (Stateful Packet Inspection) — тип многоуровнего брандмауэра, объединяющего преимущества пакетных фильтров, а также шлюзов сеансового и прикладного уровней.