Oprócz ochrony pojedynczych komputerów i serwerów w sieci, konieczna jest również kontrola ruchu wchodzącego i wychodzącego z sieci.
Zapora ogniowa jest jednym z najefektywniejszych narzędzi bezpieczeństwa służących do zabezpieczania wewnętrznych użytkowników przed zagrożeniami zewnętrznymi. Firewall stoi na granicy dwóch lub więcej sieci i kontroluje ruch pomiędzy nimi a także pomaga zapobiec nieupoważnionemu dostępowi. Produkty te używają różnych technik w celu określenia, jaki dostęp do sieci ma zostać przepuszczony, a jaki zablokowany. Techniki te są następujące:
- Filtrowanie pakietów - blokuje lub zezwala na dostęp w zależności od adresu IP lub MAC.
- Filtrowanie na poziomie aplikacji - blokuje lub umożliwia dostęp do określonych typów aplikacji w oparciu o numer portu.
- Filtrowanie URL - blokuje lub umożliwia dostęp do określonych stron w oparciu o adres strony lub słowa kluczowe.
- Stanowa inspekcja pakietów (ang. Stateful Packet Inspection, SPI) - przychodzące pakiety muszą być prawidłową odpowiedzią na żądanie wysłane z wewnętrznych hostów. Niechciane pakiety są blokowane, lecz można ustanawiać pewne wyjątki. SPI może też rozpoznawać i filtrować określone typy ataków, np. DoS.
Zapory ogniowe mogą zawierać jedną lub więcej z powyższych funkcji. Dodatkowo, zapory ogniowe często wykonują translację adresów NAT. NAT tłumaczy wewnętrzny adres lub grupę adresów na zewnętrzny publiczny adres rozpoznawany w Internecie. Pozwala to na ukrycie wewnętrznych adresów IP przed zewnętrznymi użytkownikami.
Zapory ogniowe występują w różnych postaciach, tak jak pokazano to na rysunku.
- Sprzętowe zapory ogniowe Sprzętowa zapora ogniowa - zapora wbudowana w dedykowane urządzenie.
- Zapory ogniowe bazujące na serwerze Zapora ogniowa bazująca na serwerze to zapora w postaci aplikacji uruchamianej na sieciowym systemie operacyjnym (NOS) takim ja UNIX czy Windows.
- Zintegrowane zapory ogniowe Zintegrowana zapora to zapora zbudowana poprzez dodanie funkcjonalności zapory do istniejącego urządzenia, np. do routera.
- Osobiste zapory sieciowe Osobista zapora ogniowa działa na stacji użytkownika i nie jest zaprojektowana do implementacji w sieci LAN. Może być dostępna domyślnie w systemie operacyjnym albo dodatkowo instalowana.