Брандмауэры может принять решение разрешить или блокировать сетевой трафик между устройствами на основе правил, которые предварительно сконфигурированы или устанавливаются администратором брандмауэра. Большинство персональных межсетевых экранов, такие как брандмауэр Windows работают на множестве предварительно настроенных правил, которые являются наиболее подходящими в нормальных условиях, так что, пользователю не нужно беспокоиться о настройке брандмауэра. Персональные межсетевые экраны просты в установке и использовании и, следовательно, предпочтительными конечными пользователями для использования на своих персональных компьютерах. Тем не менее, крупные сети и компании предпочитают те брандмауэров, которые имеют много вариантов, чтобы настроить таким образом, чтобы удовлетворить свои потребности настроенные. Например, компания может устанавливать различные правила брандмауэра для FTP-серверов, Telnet серверов и веб-серверов. Кроме того, компания может даже контролировать то, как сотрудники подключения к Интернету, блокируя доступ к определенным веб-сайтам или ограничить передачу файлов в другие сети. Таким образом, в дополнение к безопасности, брандмауэр может дать компании огромный контроль над тем, как люди используют сеть. Брандмауэры используют один или несколько из следующих методов контроля входящего и исходящего трафика в сети: Фильтрация пакетов: В данном способе пакеты (небольшие порции данных) анализируются с набором фильтров . Пакетные фильтры имеет набор правил , которые приходят с принимают и отвергают действия , которые предварительно сконфигурированы или могут быть настроены вручную администратором брандмауэра. Если пакет удается сделать его через эти фильтры , то это разрешено добраться до места назначения; в противном случае она отбрасывается. Stateful Inspection: Это новый метод , который не анализирует содержимое пакетов. Вместо этого, он сравнивает некоторые ключевые аспекты каждого пакета в базе данных доверенного источника. Входящие и исходящие пакеты сравниваются с этой базой данных и , если сравнение дает разумное совпадение, то пакеты могут путешествовать дальше. В противном случае они отбрасываются. Настройка межсетевого экрана: Брандмауэры могут быть сконфигурированы путем добавления одного или нескольких фильтров на основе нескольких условий, как указано ниже: IP - адреса: В любом случае, если IP - адрес за пределами сети называется неблагоприятным, то можно установить фильтр , чтобы блокировать весь трафик и с этого IP - адреса. Например, если определенный IP - адрес найден , чтобы делать слишком много подключений к серверу, администратор может принять решение блокировать трафик с этого IP , используя брандмауэр. Доменные имена: Так как трудно запомнить IP - адреса, это проще и умнее способ настройки брандмауэров путем добавления фильтров на основе доменных имен. Установив фильтр доменов, компания может принять решение заблокировать доступ к определенным доменных имен, или может предоставить доступ только к списку выбранных доменных имен. Порты / протоколы: Каждая служба работает на сервере становится доступным к Интернету с помощью пронумерованных портов, по одному для каждой службы. Говоря простыми словами, порты можно сравнить с виртуальными дверями сервера , через который услуги предоставляются. Например, если сервер работает с Web (HTTP) службы, то это будет, как правило, доступны на порту 80. Для того, чтобы воспользоваться данной услугой, клиент должен подключиться к серверу через порт 80. Аналогичным образом, различные услуги, такие как Telnet (порт 23), FTP (порт 21) и услуги SMTP (порт 25) может быть запущен на сервере. Если услуги предназначены для общественности, они, как правило, остаются открытыми. В противном случае они будут заблокированы с помощью брандмауэра таким образом, чтобы предотвратить злоумышленников от использования открытых портов для создания несанкционированных подключений. Конкретные слова или фразы: Брандмауэр может быть сконфигурирован для фильтрации одного или нескольких конкретных слов или фраз , так что, как входящие и исходящие пакеты проверяются на наличие слов в фильтре. Например, вы можете создать правило брандмауэра, чтобы фильтровать любой пакет, который содержит оскорбительный термин или фразу, которую вы можете решить, блокировать въезд или выезд вашей сети. Аппаратные средства против Software Брандмауэр: Аппаратные межсетевые экраны обеспечивают более высокий уровень безопасности и, следовательно, предпочтителен для серверов, где безопасность имеет самый верхний приоритет. Программное обеспечение брандмауэров, с другой стороны, являются менее дорогими и, следовательно, предпочтительным в домашних компьютерах и ноутбуках. Аппаратные межсетевые экраны обычно поставляются как в построенном блоке маршрутизатора и обеспечить максимальную безопасность, как он фильтрует каждый пакет в самом аппаратном уровне, даже до того, как удается проникнуть в компьютер. Хорошим примером может служить Linksys Cable / DSL маршрутизатор. Почему брандмауэр? Межсетевые экраны обеспечивают безопасность на протяжении ряда сетевых угроз, таких как удаленный вход, троянские бэкдоров, угон Session, DOS и DDOS атак, вирусов, печенье угона и многое другое. Эффективность защиты зависит от способа настройки брандмауэра и как настроить правила фильтрации. Тем не менее, основные угрозы , такие как DOS и DDOS атак могут иногда удается обойти межсетевые экраны и сделать повреждение сервера. Даже если брандмауэр не полный ответ на онлайн - угроз, он может наиболее эффективно обрабатывать нападения и обеспечить безопасность компьютера до максимально возможной степени.