Tường lửa (Firewall) là một thuật ngữ dùng mô tả những thiết bị hay phần mềm có nhiệm vụ lọc những thông tin đi vào hay đi ra một hệ thống mạng hay máy tính theo những quy định đã được cài đặt trước đó. Mục tiêu của việc sử dụng tường lửa là tạo ra những kết nối an toàn từ vùng mạng bên trong ra bên ngoài hệ thống, cũng như đảm bảo không có những truy cập trái phép từ bên ngoài vào những máy chủ và thiết bị bên trong hệ thống mạng. Để có một tường lửa tốt trong hệ thống, đòi hỏi bạn phải có một hệ thống tường lửa bằng phần cứng hay phần mềm mạnh mẽ, uyển chuyển, cùng với những kỹ năng và kiến thức chuyên sâu để kiểm soát chúng.

Các phân vùng mạng kết nối vào Firewall

LAN hay Internal: là vùng mạng chỉ gồm máy tính của người dùng cuối, người quản trị… Vùng này thường được xem là vùng an toàn. Việc kết nối từ vùng này ra bên ngoài thường được tường lửa chấp nhận

WAN hay External: là vùng mạng kết nối ra bên ngoài, ví dụ như kết nối đến các điểm mạng khác, hay kết nối ra Internet. Vùng này được xem là vùng nguy hiểm. Việc kết nối từ vùng này vào mạng LAN hay Internal mặc định bị tường lửa cấm.

DMZ (Demilitarized zone): được xem là một vùng trung gian, và chỉ có trong tường lửa hệ thống. Vùng này thường để đặt các máy chủ cung cấp các dịch vụ mạng. Người dùng có thể truy cập vào các máy chủ ở vùng này khi đi xuyên qua và chịu sự kiểm soát của tường lửa. Người dùng từ mạng LAN muốn truy cập vào vùng này cũng cần được sự cho phép của tường lửa.

Các tính năng mở rộng thường được tích hợp vào tường lửa

Các nhà sản xuất thường kết hợp thêm một vài tính năng mở rộng vào các sản phẩm tường lửa. Những tính năng đó bổ trợ và làm tăng khả năng bảo mật của tường lửa cũng như tính tiện dụng của chúng như:

Phát hiện và chống tấn công

Tính năng này thường mệnh danh là hệ phát hiện tấn công (IDS-Intrusion Detection Systems), hệ bảo vệ chống tấn công (IPS – Intrusion Protection Systems), hay hệ phát hiện và ngăn ngừa tấn công (IDP – Intrusion Detection and Prevention). Những hệ này quan sát, phân tích toàn bộ các gói tin vào ra hệ thống mạng và phát hiện cũng như tìm cách chống trả lại các tấn công. Do cần phải đọc toàn bộ các gói tin, nên vị trí lắp đặt hệ thống này là trùng lắp với vị trí tường lửa. Vì thế, tích hợp tính năng này vào thiết bị tường lửa là hoàn toàn hợp lý.

Mạng riêng ảo (VPN)

Tường lửa nằm ở vị trí kết nối với mạng WAN, nên nó cũng phù hợp với vị trí của thiết bị máy chủ nhận kết nối mạng riêng ảo từ bên ngoài vào hệ thống. Sau khi hoàn tất kết nối, tường lửa cũng sẽ kiểm soát người dùng VPN được phép truy cập vào phân vùng mạng nào, cũng như cấm xâm nhập vào các phân vùng mạng khác.

Bộ đệm web (Proxy)

Các tường lửa dạng phần mềm, và sử dụng kỹ thuật dò trạng thái (Stateful inspection) như ISA chẳng hạn, thường tích hợp thêm tính năng bộ đệm nội dung web. Như vậy, ngoài khả năng lọc dữ liệu theo từng ứng dụng, nó còn hỗ trợ thêm việc làm bộ đệm và lọc nội dung web đối với người dùng trong mạng LAN.