مهمترین رکن برپائی یک شبکه پس از پیکربندی صحیح سخت افزاری مساله تضمین امنیت شبکه است.حفاظت، پشتیبانی و نگهداری از داده‌های رایانه‌ای، اطلاعات مهم، برنامه‌های حساس، نرم‌افزارهای مورد نیاز و یا هر آنچه که در حافظه جانبی رایانه مورد توجه بوده و با اهمیت می‌باشد، امنیت رایانه‌ای نامیده می‌شود. تفکر امنیت در شبکه برای دستیابی به سه عامل مهم است که با یک دیگر مثلث امنیتی را تشکیل می دهند.

 

این عوامل عبارتند از راز داری و امانت داری (Confidentiality)، یکپارچگی (Integrity) و در نهایت در دسترس بودن همیشگی (Availability) است. این سه عاملاصول اساسی امنیت اطلاعات در شبکه و یا بیرون آنرا تشکیل می دهند بگونه ای که تمامی تمهیدات لازمی که برای امنیت شبکه اتخاذ میشود و یا تجهیزاتی که ساخته می شوند، همگی ناشی از نیاز به اعمال این سه پارامتر در محیط های نگهداری و تبادل اطلاعات است.
انواع فایروال ها:
فایروال ها به دو شکل سخت افزاری ( خارجی ) و نرم افزاری ( داخلی ) ، ارائه می شوند. با اینکه هر یک از مدل های فوق دارای مزایا و معایب خاص خود می باشند ، تصمیم در خصوص استفاده از یک فایروال بمراتب مهمتر از تصمیم در خصوص نوع فایروال است .
•    فایروال های سخت افزاری: این نوع از فایروال ها که به آنان فایروال های شبکه نیز گفته می شود ، بین کامپیوتر شما (و یا شبکه) و کابل و یا خطDSL قرار خواهند گرفت . تعداد زیادی از تولید کنندگان و برخی از مراکزISPدستگاههائی با نام “روتر” را ارائه می دهند که دارای یک فایروال نیز می باشند . فایروال های سخت افزاری در مواردی نظیر حفاظت چندین کامپیوتر مفید بوده و یک سطح مناسب حفاظتی را ارائه می نمایند( امکان استفاده از آنان به منظور حفاظت یک دستگاه کامپیوتر نیز وجود خواهد داشت ) . در صورتی که شما صرفا” دارای یک کامپیوتر پشت فایروال می باشید و یا این اطمینان را دارید که سایر کامپیوترهای موجود بر روی شبکه نسبت به نصب تمامیpatchها ، بهنگام بوده و عاری از ویروس ها و یا کرم ها می باشند ، ضرورتی به استفاده از یک سطح اضافه حفاظتی (یک نرم افزار فایروال ) نخواهید داشت. فایروال های سخت افزاری ، دستگاههای سخت افزاری مجزائی می باشند که دارای سیستم عامل اختصاصی خود می باشند . بنابراین بکارگیری آنان باعث ایجاد یک لایه دفاعی اضافه در مقابل تهاجمات می گردد .
•    فایروال های نرم افزاری: برخی از سیستم های عامل دارای یک فایروال تعبیه شده درون خود می باشند . در صورتی که سیستم عامل نصب شده بر روی کامپیوتر شما دارای ویژگی فوق می باشد ، پیشنهاد می گردد که آن را فعال نموده تا یک سطح حفاظتی اضافی در خصوص ایمن سازی کامپیوتر و اطلاعات ، ایجاد گردد .(حتی اگر از یک فایروال خارجی یا سخت افزاری استفاده می نمائید). در صورتی که سیستم عامل نصب شده بر روی کامپیوتر شما دارای یک فایروال تعیبه شده نمی باشد ، می توان اقدام به تهیه یک فایروال نرم افزاری کرد . با توجه به عدم اطمینان لازم در خصوص دریافت نرم افزار از اینترنت با استفاده از یک کامپیوتر محافظت نشده ، پیشنهاد می گردد برای نصب فایروال ازCDو یاDVDمربوطه استفاده گردد .
فایروال با عملکرد فیلترینگ بسته ها:
فایروالی که عملکرد فیلترکردن بسته ها را بر عهده دارد ترافیک شبکه را به آدرس خاص و بر مبنای نوع اپلیکیشن بلاک کرده یا عبور می دهد . فیلترینگ بسته , داده یک بسته را آنالیز نمی کند , بلکه بر مبنای اطلاعات آدرس دهی بسته تصمیم می گیرد که این بسته را عبور دهد یا خیر . به عنوان مثال یک فیلتر بسته ممکن است ترافیک وب را بر روی پورت ۸۰ را عبور دهد و ترافیک بسته بر روی پورت ۲۳ تلنت را بلاک کند .این نوع فیلترینگ در روترهای زیادی وجود دارد . اگر درخواست بسته دریافتی از پورتی بدون مجوز دریافت شود , فیلتر درخواست را رد می کند و به سادگی آن را نادیده خواهد گرفت. بسیاری از این فیلتر های بسته قادرند تعیین کنند که چه آدرس های آیپی می توانند به چه پورتی درخواست بفرستند و بر مبنای تنظیمات امنیتی فایروال اجازه عبور و رد چه بسته هایی را بدهند .
فیلترینگ بسته ها در کمال و قابلیت ها در حال رشد هستند . یک فایروال با عملکرد فیلترینگ بسته ها به تمامی ترافیک قابل قبول اجازه عبور خواهد داد . برای مثال اگر می خواهید که کاربران وب به سایت شما دسترسی داشته باشند , بایستی فایروال Packet Filter را به نحوی پیکربندی کنید که اجازه عبور پورت ۸۰ داده شود . اگر هر شبکه ای دقیقا همان بود و همه شبکه ها مثل هم بودند , فایروال ها نیز به صورت با تنظیمات پیش فرض پورت ها با کدهای از پیش نوشته شده می بودند ولی شبکه ها متفاوتند در نتیجه تنظیمات فایروال ها هم متفاوت خواهد بود .
اکنون وقت خوبی است که به عنوان مدیر شبکه شبکه را بازبینی کنید و تصمیم بگیرید که چه ترافیکی اجازه عبور از فایروال را داشته باشد و کدام یک این اجازه را نداشته باشد .
لیست زیر پورت های رایج TCP  را نشان می دهد. چک باکس های مورد نظر در شبکه خود و پورت هایی که از آنها استفاده خواهید کرد را برای شبکه خود تعیین کنید :

فایروال با عملکرد پروکسی:
یک Proxy Firewall را می تونید به عنوان یک میانجی بین شبکه شما و دیگر شبکه ها در نظر بگیرید . پروکسی فایروال به منظور پردازش درخواست رسیده از خارج شبکه استفاده می شود . پروکسی فایروال داده را تست می کند و بر مبنای قوانین تعیین شده تصمیم گیری می کند که آیا درخواست بایستی فوروارد شود یا ردشود . پروکسی همه بسته ها را پیگیری می کند و آنها را در داخل شبکه بازفراوری می کند . این پروسه شامل مخفی کردن آیپی هم می باشد.
پروکسی فایروال امنیت بهتری را نسبت به Packet Filtering Firewall به وجود می آورد . دلیل آن این است که پروکسی فایروال از هوشمندی بالاتری برخوردار است . درخواست هایی که از طرف کاربران داخلی شبکه ارسال می شوند , در مسیر پروکسی مسیریابی می شوند .
پروکسی به نوبه خود درخواست ها را بسته بندی می کند و آن را به جلو ارسال می کند بدین وسیله کاربران از شبکه خارجی جدا شده و ایزوله می شوند . علاوه بر این پروکسی می تواند داده ها را کش کند تا راندمان تایید داده بالاتر رود .
یک پروکسی فایروال معمولا از دو کارت شبکه (NIC) استفاده می کند .این نوع فایروال به عنوان فایروالی با نام Dual-homed-firewall شناخته می شود .یکی از این کارت های شبکه به شبکه خارجی متصل شده و دیگر کارت شبکه به شبکه داخلی متصل می شود .نرم افزار پروکسی اتصال بین دو کارت شبکه را مدیریت می کند . این ترکیب دو شبکه را از هم جدا می کند و امنیت را افزایش می دهد . شکل زیر یک Dual homed Firewall را مصور می کند که دو شبکه از هم جداسازی شده اند .

:Stateful Inspection Firewalls
آخرین بخش فایروال بر روی مفهوم State full Inspection تمرکز دارد . به منظور درک این واژه باید بدانید کهStateless firewallبه چه معنی است . Stateless Firewall تصمیمات را بر مبنای داده های ورودی مثل بسته های ورودی می گیرد.
State full Inspection را با نام دیگر State full Packet Filtering هم می شناسند. اکثر دیوایس هایی که در شبکه به کار می روند , اطلاعات مربوط به داده های مسیریابی شده و استفاده شده در شبکه را بازرسی و ثبت نمی کنند. به همین دلیل پس از آنکه یک بسته در شبکه عبور داده شد ، بسته و مسیر آن فراموش می شود. در State full Inception با استفاده از جدولی که به منظور بازرسی داده ها استفاده می شود، رکوردهایی که در هر ارتباط بوجود می آید ثبت می شود. این امکان در تمام سطوح شبکه بوجود می آید و امنیت مضاعفی را به ویژه در پروتکل های بدون اتصال (Stateless) مثلUser Datagram و ICMPبوجود می آورد . این ویژگی پروسه را کمی پیچیده تر می کند و به همین دلیل می توان گفت که حمله های ناشی از Denial-of-Service چالش برانگیز است