Es un ordenador o un programa que conecta una red a Internet pero impide el acceso no autorizado desde Internet o desde la misma red interna. Se define también como mecanismo que permite que las comunicaciones entre una red local e Internet se realicen conforme a las políticas de seguridad de quien los instala. Estos sistemas suelen incorporar elementos que garantizan la privacidad, autentificación, etc., con lo que se impide el acceso no autorizado desde Internet.

Los cortafuegos se clasifican atiendiendo a varios factores. Uno de ellos se refieren al nivel en el que actúen:

Nivel de red: El control de tráfico a nivel de red consiste en analizar todos los paquetes que llegan a un interfaz de red, y decidir si se les deja pasar o no en base al contenido de los mismos: protocolo, dirección de origen y dirección de destino fundamentalmente. Puesto que analizar esta información es muy sencillo, este tipo de cortafuegos suelen ser muy rápidos y transparentes al usuario.

Nivel de aplicación: el control se hace interceptando las comunicaciones a nivel del protocolo de comunicaciones propio de cada servicio, que es modificado para incluir medidas adicionales de seguridad. En este caso el cortafuegos debe conocer los detalles del protocolo de comunicaciones de cada servicio que intercepta, analizar su correcto funcionamiento y añadir los pasos de control precisos a los mismos. El cortafuegos es por tanto mucho mas inteligente y posee un control fino de todo el proceso de comunicación de los servicios habilitados, aunque esto supone una mayor carga de trabajo y la consecuente penalización en eficiencia. Además, las modificaciones de seguridad añadidas pueden aflorar hasta el usuario forzándole a ser conciente de las mismas.

Otra manera de clasificar los cortafuegos establece dos tipos:

a) cortafuegos de filtrado de paquetes
b) cortafuegos proxy

Existe un nivel más que es el cortafuegos de estado ode inspección de estado.

Los cortafuegos con inspección de estado no se limitan a analizar que el tráfico está formateado de una forma correcta (dirección IP de origen y destino válida, las marcas correctas, protocolo permitido, etc...) sino que van más allá y comprueban que el contenido del paquete sea realmente aquello que se espera. Monitoriza todas las conexiones activas y guarda estado sobre: fase de la conexion, numeros de secuencia, tiempos del ultimo intercambio, etc.

Si avanzamos en la tipología de los cortafuegos podemos clasificarlos tambiñen según su arquitectura. De esta manera tenemos:

a) Dual-Homed Host

Una computadora o host con dos interfaces de red.

b) Screened Host

Provee servicios desde un host que está en la red interna, usando un router separado

c) Screened Subnet (DMZ)

Es la arquitectura más pupular. Agrega un nivel extra de seguridad que la arquitectura "screened host", agregando un perímetro a la red o zona desmilitarizada (DMZ), que aisla fuertemente la red interna de Internet.

DMZ: Muy a a grosso modo. Es un nivel de seguridad, una red adicional entre la red externa y la interna. Si un ataque logra romper el firewall más externo, el perímetro ofrecerá un nivel adicional de protección entre la red interna y el atacante.

Software o hardware firewall hay mucho. Entre el software ( lo más noemal para usuarios domésticos y pequeñas empresas) podemos destacar:

- IPTAbles para Linux
- Visnetic, Sygate, Kerio, Zone Alarm para windows.