Un firewall (letteralmente muro tagliafuoco) è un sistema di sicurezza — hardware, software o combinazione di entrambi — che monitora e controlla il traffico di rete in ingresso e in uscita applicando un insieme ordinato di regole di sicurezza. La sua funzione fondamentale è separare reti con diverso livello di fiducia: tipicamente la rete interna aziendale da Internet, oppure zone interne tra loro, decidendo per ogni pacchetto o sessione se permetterlo, bloccarlo o registrarlo.
Evoluzione per generazioni
I firewall si sono evoluti in quattro generazioni, ognuna con capacità di ispezione più profonde rispetto alla precedente.
Il packet filter (prima generazione) ispeziona ogni pacchetto IP in modo stateless — indipendentemente dal contesto della connessione — analizzando solo le intestazioni di livello 3 e 4: indirizzi IP, porte, protocollo.
Il firewall stateful (seconda generazione) mantiene una tabella delle sessioni TCP/UDP attive. Accetta solo pacchetti che appartengono a connessioni già stabilite o che ne iniziano correttamente una nuova, bloccando pacchetti forgiati che il packet filter non riconoscerebbe.
Il firewall applicativo (terza generazione) opera fino al livello 7 del modello OSI, analizzando il contenuto del payload e comprendendo i protocolli applicativi (HTTP, FTP, SMTP, DNS). Opera spesso come proxy, interponendosi tra client e server.
Il Next-Generation Firewall (NGFW) (quarta generazione) integra in un unico dispositivo stateful inspection, identificazione delle applicazioni indipendente dalla porta, IPS integrato, ispezione TLS, gestione dell’identità utente, threat intelligence in tempo reale e sandboxing.
Architetture di deployment
Le due architetture fondamentali sono la DMZ e il firewall zone-based. La DMZ (Demilitarized Zone) è una rete intermedia che ospita i servizi pubblicamente accessibili (web server, mail server) separandoli dalla rete interna tramite due firewall distinti. L’architettura zone-based segmenta la rete in zone di fiducia (trust, DMZ, untrust, management) con politiche di traffico definite tra zona e zona.
Politica di default
Il principio di sicurezza fondamentale nella configurazione di un firewall è la default-deny policy (whitelist): blocca tutto il traffico per impostazione predefinita e permetti esplicitamente solo ciò che è necessario. La politica opposta — default-allow (blacklist) — è intrinsecamente insicura perché ogni traffico non esplicitamente vietato è permesso, incluso quello malevolo non ancora catalogato.
Limitazioni
Il firewall da solo non costituisce una difesa completa. Non protegge dagli attacchi originati dall’interno della rete, non ispeziona il traffico cifrato senza TLS termination esplicita, e non rileva attacchi applicativi sofisticati come SQL injection o XSS — per i quali è necessario un WAF (Web Application Firewall). Opera in sinergia con IDS/IPS, SIEM e sistemi EDR nell’architettura di sicurezza complessiva.