Die blinde Anbindung eines lokalen Netzwerkes an das Internet, ohne Einrichtungen, mit denen sensible Informationen geschützt werden, ist ein offenes Tor für Sicherheitsprobleme. Die Firewalls sind ein Kompromiß zwischen Benutzerfreundlichkeit und Sicherheit. Ein lokales Netzwerk mit Internetanbindung kann als Risikozone aufgefaßt werden. Ein Firewall reduziert diese Risikozone, indem ein kleineres Netzwerksegment definiert wird auf das zugegriffen werden kann. Man hat nun die Wahl, ob man alle Dienste verbietet, außer denen, die nicht ausdrücklich erlaubt sind, oder alle erlaubt und nur bestimmte verbietet. Es gibt drei Zugriffskontrollsysteme zu unterscheiden:
Informationsaustausch im Internet erfolgt über Datenpakete, die auch Beschreibungen über Quelle, Ziel und Diensttyp ( z.B. ftp ) enthalten, über die der Router in der Lage ist, unerwünschte Daten selektiv auszufiltern. Paketfilter sind in der Lage, nach folgenden Kriterien auszufiltern:
Nachteile:
=> Einsatz als Vorfilter
Bei Circuit-Relays wird statt den gesamten Verkehrsfluß mit einem Allzweckmechanismus zu kontrollieren, für jede gewünschte Applikation spezialisierter Code eingesetzt. Circuit-Relays ermöglichen den Betrieb von auf TCP bzw. UDP aufsetzenden Applikationen wie WWW, Telnet, etc., ohne durchgehende Kommunikationsverbindung auf Protokollebene. Das Circuit-Relay dient als Vermittlungsstelle. Alle eingehenden Verbindungen enden hier und werden, nachdem die Zulässigkeit überprüft wurde, am gegenüberliegenden Ausgang neu aufgebaut.
Nachteile:
Anwendungsschicht-Gateways sind wie Circuit-Relays, verhalten sich aber aus Sicht der Client-Programme wie ein Server-System des jeweiligen Dienstes. Die Client-Systeme müssen nicht angepaßt werden. Der gesamte ein- und abgehende Verkehr kann kontrolliert und protokolliert werden. Ziel ist es, den Diebstahl wertvoller Programme und Daten zu verhindern.
Nachteile:
Daten,die innerhalb von Applikationen transportiert werden und das interne Netzwerk bedrohen (z.B.: Viren), können nicht gefiltert werden. Auch gegen Angriffe auf das interne Netzwerk von innen (z.B. von Mitarbeitern) stellen Firewalls keinen Schutz dar, da sie nur vor Angriffen von außen schützen.