Un cortafuego es un sistema o un grupo de sistemas que hacen cumplir una política del control de acceso entre dos redes. Los medios reales por los cuales esto es lograda varían extensamente, pero en principio, el cortafuego se pueden pensar en como par de mecanismos: uno que existe para bloquear tráfico, y el otro que existe para permitir tráfico. Algunos cortafuegos ponen un mayor énfasis en el bloqueo de tráfico, mientras que otros acentúan tráfico de permiso. Probablemente la cosa más importante a reconocer sobre un cortafuego es que pone una política del control en ejecución de acceso. Si no tienes una buena idea de qué clase de acceso deseas permitir o negar, un cortafuego realmente no te ayudará. Es también importante reconocer que la configuración del cortafuego, porque es un mecanismo para hacer cumplir la política, impone su política ante todo detrás de ella. Los administradores para los cortafuegos que manejan la conectividad para una gran cantidad de anfitriones por lo tanto tienen una responsabilidad pesada




Conceptual, hay dos tipos de cortafuegos: 

1. Capa de red 
2. Capa de uso 

No son tan diferentes como puede ser que pienses, y las tecnologías más últimas están velando la distinción al punto donde está no más clara si cualquiera uno es “mejor” o “peor.” Como siempre, necesitas tener cuidado de escoger el tipo que resuelve tus necesidades. 

Cuál es cuál depende de qué mecanismos utiliza el cortafuego pasar tráfico a partir de una zona de la seguridad a otra. El modelo internacional de la interconexión de los sistemas abiertos de la organización de estándares (ISO) (OSI) para el establecimiento de una red define siete capas, donde cada capa proporciona los servicios de los cuales las capas “de alto nivel” dependen. En orden del fondo, estas capas son físicas, trasmisión de datos, red, transporte, sesión, presentación, uso. 

La cosa importante a reconocer es que el de nivel inferior el mecanismo de la expedición, menos examinación que el cortafuego puede realizar. Generalmente hablando, los cortafuegos de nivel inferior son más rápidos, pero son más fáciles de engañar en hacer la cosa incorrecta. 


Cortafuegos de la capa de red 


Éstos toman generalmente sus decisiones basadas en la fuente, las direcciones de destinación y los puertos en paquetes individuales del IP. Una rebajadora simple es el cortafuego “tradicional” de la capa de red, puesto que no puede tomar particularmente decisiones sofisticadas sobre con un qué paquete está hablando realmente o de donde vino realmente. Los cortafuegos modernos de la capa de red han llegado a ser cada vez más sofisticados, y ahora mantienen la información interna sobre el estado de las conexiones que pasaban a través de ellas, el contenido de algunas de las secuencias de datos, y así sucesivamente. Una cosa que sea una distinción importante sobre muchos cortafuegos de la capa de red sea que encaminan tráfico directamente sin embargo ellos, así que al uso uno necesitas tener un bloque válido asignado del IP address o utilizar un bloque de la dirección del “Internet privado” [3]. Los cortafuegos de la capa de red tienden para ser muy rápidos y para tender para ser muy transparentes a los usuarios. 

Cortafuegos de la capa de uso 


Éstos son generalmente anfitriones que funcionan los servidores del poder, que no permiten ningún tráfico directamente entre las redes, y que realizan la registración y la revisión elaboradas del tráfico que pasa con ellas. Puesto que los usos del poder son componentes de software que funcionan en el cortafuego, es un buen lugar para hacer porciones de control de la registración y de acceso. Los cortafuegos de la capa de uso se pueden utilizar como traductores de la dirección de red, puesto que el tráfico entra en uno “'' lateral y hacia fuera el otro, pasando después con un uso que enmascare con eficacia el origen de la conexión que inicia. Tener un uso en la manera en algunos casos puede afectar funcionamiento y puede hacer el cortafuego menos transparente. Los cortafuegos tempranos de la capa de uso tales como ésos construidos usando la caja de herramientas del cortafuego de TIS, no son particularmente transparentes a los usuarios finales y pueden requerir un cierto entrenamiento. Los cortafuegos modernos de la capa de uso son a menudo completamente transparentes. Los cortafuegos de la capa de uso tienden para proporcionar informes de intervención más detallados y para tender para hacer cumplir modelos más conservadores de la seguridad que cortafuegos de la capa de red. 


¿Contra qué puede un cortafuego proteger?

Algunos cortafuegos permiten solamente tráfico del email a través de ellos, de tal modo protegiendo la red contra cualquier ataque con excepción de ataques contra el servicio del email. Otros cortafuegos proporcionan protecciones menos terminantes, y bloquean los servicios que se saben para ser problemas. 
Generalmente, los cortafuegos se configuran para proteger contra unauthenticated conexiones interactivas “del mundo del '' del exterior. Esto, más que cualquier cosa, ayudas evita que los vándalos registren en las máquinas en tu red. Cortafuegos más elaborados bloquean tráfico del exterior al interior, pero permiten que los usuarios en el interior se comuniquen libremente con el exterior. El cortafuego puede protegerte contra cualquier tipo de ataque red-llevado si lo desenchufas. 

Los cortafuegos son también importantes puesto que pueden proporcionar un solo “'' del punto de la estrangulación donde la seguridad y la intervención pueden ser impuestas. Desemejante adentro de una situación donde un sistema informático está siendo atacado por alguien que marca adentro con un módem, el cortafuego puede actuar como un “golpecito eficaz del teléfono” y herramienta que remonta. Los cortafuegos proporcionan una función de registración y de revisión importante; proporcionan a menudo los resúmenes al administrador sobre qué clases y cantidad de tráfico pasó con ella, cuántas tentativas allí eran romperse en él, etc. 

Esto es un punto importante: el abastecimiento de este “'' del punto de la estrangulación puede responder al mismo propósito en tu red que una poder guardada de la puerta para las premisas físicas de tu sitio. Eso los medios siempre tienes un cambio en “'' de las zonas o niveles de la sensibilidad, tal punto de comprobación es apropiado. Una compañía no tiene raramente solamente una puerta exterior y ninguna recepcionista o personal de la seguridad para comprobar divisas en la manera pulg. Si hay capas de seguridad en tu sitio, es razonable contar con capas de seguridad en tu red.