Paketové filtry vs aplikační brány
Pro činnost firewallů je velmi podstatné, na jaké úrovni - ve smyslu vrstev sedmivrstvého modelu ISO/OSI - pracují. V úvahu připadají zejména dvě varianty: fungování firewallů na síťové a transportní vrstvě, a dále fungování na úrovní aplikační vrstvy.
Firewally fungující na úrovni síťové a transportní vrstvy se obvykle označují jako paketové filtry. Důvodem je skutečnost, že na úrovni vrstvy síťové jsou data přenášena po blocích označovaných jako pakety (packets), a firewall pracující na této úrovni zkoumá právě tyto pakety. Rozhoduje se zejména podle toho, co obsahují hlavičky paketů - tedy v sítích na bázi protokolů TCP/IP zkoumá tzv. IP adresy odesilatele a příjemce, a podle nich se rozhoduje zda je propustí dál, směrem k jejich příjemci, nebo zda je nepropustí a zahodí (tj. "odfiltruje", odsud také označení "paketový filtr").
Již na základě takovéhoto zkoumání IP adres (obecně: zkoumání adres síťové vrstvy) dokáže paketový filtr povolit či zakázat veškerý tok dat od určitého vnějšího uzlu (na základě adresy odesilatele) či k některému uzlu v připojené síti (na základě adresy příjemce). Analogicky to samozřejmě platí i pro opačný směr přenosu.
Na paketové filtry však mohou být kladeny i podstatně "jemnější" požadavky než jen pouhé omezení přístup od konkrétních uzlů, resp. ke konkrétním uzlům. Pokud je od nich požadováno aby se určitým selektivním způsobem chovaly k různým druhům služeb - například propouštěly elektronickou poštu k uzlu který v chráněné síti plní roli poštovního serveru (a naopak k němu nepropouštěly žádný jiný druh provozu), pak tyto filtry musí brát v úvahu i údaje o přenášených datech odpovídající transportní vrstvě ISO/OSI. Jde konkrétně o tzv. čísla portů, podle kterých jsou identifikovány konkrétní entity v rámci odesílajících či přijímajících uzlů, a s nimi i druh provozu resp. přenášených dat, o jaké se jedná (například datové pakety, zajišťující přenos elektronické pošty, jsou zasílány na port č. 25 na cílovém uzlu, kde je přijímá programová entita (proces, resp. démon) realizující funkci poštovního serveru).
 |
Schopnosti firewallů charakteru paketových filtrů jsou principiálně omezeny tím, co je možné vydedukovat ze síťových IP adres a čísel portů. Takovéto firewally nemají schopnost analyzovat přenášená data tak detailně, aby mohly vyhodnocovat data odpovídající aplikační vrstvě - nerozumí například formátu přenášených zpráv, a tudíž ani jejich obsahu či použitým poštovním adresám, i když podle čísla portu poznají že jde o elektronickou poštu. Podobně je tomu s přenášenými soubory, WWW stránkami apod. Kvůli tomuto handicapu nedokáží paketové firewally z principu rozpoznat některé možné útoky, "rozpoznatelné" až na aplikační úrovni podrobnou analýzou vycházející ze znalosti příslušné služby (tudíž tyto firewally nedokáží implementovat některé možné požadavky na zabezpečení připojené sítě). Proto vedle paketových filtrů existuje další druh firewallů, označovaných jako tzv. aplikační brány (někdy též: aplikačních firewallů). Jak již jejich název napovídá, pracují tyto firewally na úrovni aplikační vrstvy, neboli své rozhodování realizují na základě informací dostupných na úrovni aplikační vrstvy.
Princip aplikační brány je velmi jednoduchý a opět má analogii s hlídačem u brány středověkého hradu, který kontroluje veškerý provoz - tentokráte je ale hlídačů více a každý z nich je podrobněji "vzdělán v určitém oboru", resp. specializován na určitou službu. Například veškerá elektronická pošta procházející mezi vnějším světem a chráněnou privátní sítí musí procházet přes "hlídače" (fakticky: aplikační bránu) obeznámeného s formátem zpráv elektronické pošty i celkovou koncepcí a architekturou elektronické pošty. Takovýto hlídač (aplikační brána) pak dokáže poměrně detailně a odpovědně posoudit, zda má být konkrétní zpráva předána zpráva dál či nikoli, případně i odhalit případ, kdy je nějaký útok maskován jako přenos elektronické pošty apod. Obecně tedy firewally na principu aplikačních bran dokáží splnit podstatně přesnější a detailnější požadavky na ochranu připojené privátní sítě před nežádoucím přístupem zvenčí, resp. umožňují mnohem přesněji specifikovat a následně rozlišovat, co je nežádoucí přístup a co nikoli.