Esistono diversi tipi di firewall che possono essere utilizzati per proteggere reti e sistemi informatici. Ecco alcuni dei principali tipi di firewall:

  • Firewall a pacchetti (Packet Filtering Firewall): Questo è il tipo più semplice di firewall ed è basato su regole che definiscono quali pacchetti di dati possono attraversare il firewall. Queste regole sono generalmente basate su indirizzi IP, porte e protocolli. Questi firewall operano a livello di rete o di trasporto.

    Packet Filtering Firewall (PFF), è uno dei tipi più comuni di firewall utilizzati per proteggere una rete o un sistema informatico. Questo tipo di firewall opera a livello di rete o livello di trasporto (generalmente sul livello di rete) del modello OSI (Open Systems Interconnection) e prende decisioni sulla base delle informazioni contenute nell'header dei pacchetti di dati che attraversano la rete. Ecco come funziona un firewall a pacchetti:

    1. Analisi degli header dei pacchetti: Quando i pacchetti di dati vengono trasmessi attraverso una rete, contengono informazioni nell'header, come indirizzo IP di origine e destinazione, porta di origine e destinazione, e altri flag e parametri. Il firewall a pacchetti analizza queste informazioni per prendere decisioni.

    2. Regole di filtraggio: Il firewall a pacchetti è configurato con un insieme di regole di filtraggio. Queste regole determinano quali pacchetti sono consentiti a passare attraverso il firewall e quali devono essere bloccati o rifiutati. Le regole possono essere basate su indirizzi IP, porte, protocolli e altre informazioni nell'header dei pacchetti.

    3. Azione in base alle regole: Quando un pacchetto di dati arriva al firewall, il firewall confronta le informazioni nell'header del pacchetto con le regole di filtraggio. Se il pacchetto soddisfa una regola permessa, viene consentito a passare attraverso il firewall. Altrimenti, se il pacchetto soddisfa una regola di blocco, viene scartato o rifiutato.

    4. Logging: Molte implementazioni di firewall a pacchetti possono registrare informazioni sui pacchetti che attraversano il firewall, inclusi quelli che vengono bloccati. Questi registri possono essere utili per l'analisi della sicurezza e l'identificazione di potenziali minacce.

    I firewall a pacchetti sono efficaci per controllare il traffico di rete in base a criteri specifici, ma hanno alcune limitazioni. Ad esempio, non possono eseguire una profonda ispezione dei contenuti dei pacchetti (questa è una funzione dei firewall a stato o dei sistemi di rilevamento delle intrusioni), e le decisioni vengono prese solo in base alle informazioni nell'header dei pacchetti.

    Per aumentare la sicurezza, spesso si utilizzano firewall a pacchetti in combinazione con altri strumenti di sicurezza, come firewall a stato, sistemi di rilevamento delle intrusioni e sistemi di prevenzione delle intrusioni, per ottenere una difesa più completa contro le minacce informatiche.

     
  • Firewall a stato (Stateful Firewall): Questo tipo di firewall tiene traccia dello stato delle connessioni di rete. Ad esempio, può riconoscere se una richiesta di connessione è una risposta a una richiesta in uscita precedente. Questo approccio offre un livello aggiuntivo di sicurezza rispetto ai firewall a pacchetti. Stateful Firewall (SFW), è una forma avanzata di firewall che offre un livello più sofisticato di sicurezza rispetto ai firewall a pacchetti tradizionali. Questi firewall tengono traccia dello stato delle connessioni di rete e delle sessioni, consentendo loro di prendere decisioni basate sul contesto delle comunicazioni, oltre che sugli header dei pacchetti. Di seguito sono descritte le caratteristiche e il funzionamento di un firewall a stato:

    1. Conservazione dello stato delle connessioni: Un firewall a stato tiene traccia dello stato delle connessioni di rete. Questo significa che mantiene un registro delle connessioni attive, comprese le informazioni sulla sessione, come indirizzi IP, porte sorgente e di destinazione e stato della connessione (ad esempio, connessione in corso, connessione stabilita o connessione terminata).

    2. Decisioni basate sul contesto: A differenza dei firewall a pacchetti, che prendono decisioni basate principalmente sull'header dei pacchetti, i firewall a stato tengono conto del contesto delle comunicazioni. Ad esempio, possono permettere il traffico in uscita solo se è stato stabilito un corrispondente flusso di dati in ingresso (come una richiesta HTTP e la risposta corrispondente).

    3. Apprendimento dinamico: I firewall a stato sono in grado di apprendere dinamicamente le connessioni legittime e le regole di comunicazione. Questo significa che possono adattarsi automaticamente alle nuove connessioni e ai cambiamenti nella rete senza richiedere una configurazione manuale costante.

    4. Controllo delle applicazioni: Molti firewall a stato moderni offrono anche funzionalità di controllo delle applicazioni, che consentono di identificare il tipo di applicazione o servizio che sta utilizzando una connessione di rete (ad esempio, Skype, FTP, HTTP) e di applicare politiche di sicurezza specifiche in base a queste informazioni.
    5. Logging avanzato: I firewall a stato mantengono registri dettagliati delle connessioni di rete, comprese informazioni sulle sessioni, gli indirizzi IP coinvolti e i servizi utilizzati. Questi registri possono essere utilizzati per l'analisi di sicurezza e l'audit.
  1.  
  2. I firewall a stato sono ampiamente utilizzati in reti aziendali e sono efficaci nel migliorare la sicurezza delle reti, consentendo al contempo una gestione più flessibile delle regole di sicurezza. Tuttavia, richiedono una maggiore potenza di elaborazione rispetto ai firewall a pacchetti tradizionali a causa della necessità di tenere traccia dello stato delle connessioni, il che può comportare un costo in termini di prestazioni in alcune situazioni ad alto traffico.
  • Firewall a livello applicazione (Application Layer Firewall o Proxy Firewall): Questo firewall opera a un livello superiore, cioè a livello di applicazione, ed è in grado di controllare il traffico basandosi sulle applicazioni specifiche. Può ispezionare il contenuto dei pacchetti per determinare se sono conformi alle politiche di sicurezza. È efficace per filtrare il traffico Web, ad esempio.

    Application Layer Firewall o Proxy Firewall, è una forma avanzata di firewall che opera a un livello molto più elevato del modello OSI rispetto ai firewall a pacchetti o ai firewall a stato. Questo tipo di firewall è in grado di esaminare e prendere decisioni basate sul contenuto delle applicazioni, il che lo rende estremamente potente per il controllo e la protezione delle applicazioni e dei servizi di rete. Ecco alcune caratteristiche e il funzionamento principale di un firewall a livello applicazione:

    1. Esame del contenuto: A differenza dei firewall a stato che prendono decisioni principalmente basate sulle informazioni nell'header dei pacchetti, un firewall a livello applicazione è in grado di esaminare il contenuto effettivo dei dati in transito. Questo significa che può analizzare il traffico delle applicazioni per riconoscere il tipo di applicazione o servizio in uso.

    2. Proxying: Un firewall a livello applicazione funziona come un intermediario tra il client e il server. I client inviano richieste al firewall, che quindi inoltra la richiesta al server di destinazione. In questo processo, il firewall può esaminare, filtrare, modificare o bloccare il traffico in base alle regole e alle politiche di sicurezza configurate.

    3. Controllo granulare: Grazie alla sua capacità di analizzare il contenuto delle applicazioni, un firewall a livello applicazione può consentire un controllo granulare sulle attività di rete. Ad esempio, può consentire o vietare specifici comandi FTP, filtrare siti web in base al contenuto, bloccare l'accesso a determinate applicazioni o servizi di messaggistica istantanea, e così via.

    4. Protezione dalle minacce: I firewall a livello applicazione sono spesso equipaggiati con funzionalità avanzate di protezione dalle minacce, come rilevamento delle intrusioni, antivirus, filtraggio dei contenuti e prevenzione delle perdite di dati. Queste caratteristiche permettono di rilevare e prevenire attacchi informatici e perdite di dati sensibili.

    5. Logging avanzato: Un firewall a livello applicazione registra dettagliatamente le attività di rete, comprese le azioni intraprese sul traffico delle applicazioni. Questi registri sono utili per la gestione di sicurezza, l'audit e l'analisi delle attività di rete.

    I firewall a livello applicazione sono utilizzati principalmente in ambienti aziendali in cui è necessario un controllo più rigoroso sulle applicazioni e la sicurezza dei dati. Tuttavia, richiedono risorse significative in termini di potenza di elaborazione a causa dell'analisi dettagliata del contenuto delle applicazioni, il che può influire sulle prestazioni della rete

  • Firewall a ispezione approfondita dei pacchetti (Deep Packet Inspection Firewall): Questo tipo di firewall è in grado di esaminare il contenuto dei pacchetti di dati in modo approfondito. Può identificare non solo indirizzi IP e porte, ma anche il contenuto effettivo dei dati. Questo livello di ispezione consente di rilevare minacce più sofisticate, ma può essere più intensivo in termini di risorse. 

    Un firewall a ispezione approfondita dei pacchetti (Deep Packet Inspection Firewall o DPI Firewall) è un tipo avanzato di firewall che esegue un'analisi dettagliata del contenuto dei pacchetti di dati che attraversano una rete. Questo livello di ispezione consente al firewall di prendere decisioni di sicurezza basate non solo sull'indirizzo IP o sulle porte dei pacchetti, ma anche sul contenuto effettivo dei dati, il che lo rende molto efficace nel rilevare e prevenire minacce informatiche. Di seguito sono descritte alcune caratteristiche chiave e il funzionamento di un firewall DPI:

    1. Analisi approfondita del contenuto: Il DPI firewall esamina il contenuto completo dei pacchetti di dati, compresi i dati, gli header, i protocolli e i metadati. Questo consente al firewall di identificare applicazioni specifiche, tipi di file, comportamenti sospetti e firme di malware.

    2. Rilevamento delle minacce avanzate: Grazie alla sua capacità di analizzare in profondità il contenuto dei pacchetti, un DPI firewall può rilevare una vasta gamma di minacce informatiche, tra cui virus, malware, ransomware, attacchi di tipo zero-day (attacchi noti a nessun sistema di sicurezza) e altro ancora.

    3. Controllo granulare delle applicazioni: Il DPI firewall permette un controllo granulare sulle applicazioni e i servizi di rete. Può identificare specifiche applicazioni e consentire o bloccare il loro utilizzo in base alle regole di sicurezza configurate.

    4. Filtraggio dei contenuti: Questo tipo di firewall può eseguire il filtraggio dei contenuti in base a criteri specifici, come parole chiave o categorie di contenuti. Ciò consente alle organizzazioni di applicare politiche di sicurezza sui dati in transito attraverso la rete.

    5. Logging dettagliato: Un DPI firewall registra dettagliatamente le attività di rete, inclusi dati sul traffico, azioni intraprese e rilevamento delle minacce. Questi registri sono preziosi per scopi di sicurezza, audit e analisi.

    Tuttavia, è importante notare che l'implementazione di un DPI firewall richiede una considerevole capacità di elaborazione, poiché l'analisi approfondita dei pacchetti richiede tempo e risorse computazionali significative. Inoltre, il monitoraggio approfondito del contenuto può sollevare questioni legate alla privacy e alla gestione delle politiche aziendali. Pertanto, le organizzazioni devono bilanciare la necessità di sicurezza con le considerazioni sulla privacy e la conformità normativa quando implementano un DPI firewall.