Bei der Datenverarbeitung ist eine Brandmauer ein Stück Hardware und/oder Software, die in einer vernetzten Umwelt arbeitet, um einige Kommunikationen zu verhindern, die durch die Sicherheitspolitik verboten sind, analog der Funktion der Brandmauern im Hochbau. Eine Brandmauer wird auch eine Rand-Schutz-Vorrichtung (BPD), besonders in den NATO-Zusammenhängen oder Paketfilter in den Bd-Zusammenhängen genannt.

Eine Brandmauer hat die grundlegende Aufgabe des steuernverkehrs zwischen verschiedenen Zonen des Vertrauens. Typische Zonen des Vertrauens umfassen das Internet (eine Zone ohne Vertrauen) und ein internes Netz (eine Zone mit hohem Vertrauen). Das Endziel ist, kontrollierten Zusammenhang zwischen Zonen der unterscheidenvertrauensniveaus durch die Durchführung einer Sicherheitspolitik und dem Zusammenhangmodell zur Verfügung zu stellen, das auf der wenigen Privileggrundregel basiert.

Korrekte Konfiguration der Brandmauern verlangt Fähigkeit vom Verwalter. Sie erfordert beträchtliches Verständnis der Vermittlungsprotokolle und der Computersicherheit. Kleine Fehler können eine Brandmauer wertlos machen als Sicherheitswerkzeug.

Arten der Brandmauern

Es gibt drei grundlegende Arten Brandmauern abhängig von, ob die Kommunikation zwischen einem einzelnen Nullpunkt und dem Netz erfolgt wird, oder zwischen zwei oder mehr Netzen
ob die Kommunikation an der Vermittlungsschicht oder an der Anwendungsschicht abgefangen wird
ob der Kommunikationszustand an der Brandmauer oder aufgespürt wird
Hinsichtlich des Bereichs der gefilterten Kommunikation existieren:

persönliche Brandmauern, eine Software-Anwendung, die normalerweise den Verkehr filtert, der einen einzelnen Computer durch das Internet kommt oder lässt
Netzfirewälle, normalerweise Betrieb auf einer Vorrichtung des engagierten Netzes oder Computer in Position gebracht auf die Grenze von zwei oder mehr Netzen oder DMZs (geentmilitarisierte Zonen). Solch eine Brandmauer filtert allen Verkehr, der die verbundenen Netze einträgt oder verlässt.
Die letzte Definition entspricht der herkömmlichen, traditionellen Bedeutung „der Brandmauer“ im Netzwerkanschluss.

Im Hinweis auf den Schichten, in denen der Verkehr abgefangen werden kann, existieren drei Hauptkategorien Brandmauern:

Vermittlungsschichtbrandmauern
Anwendungsschichtbrandmauern
Anwendungsbrandmauern
Diese Netzschicht und Anwendungschicht Arten der Brandmauer können überschneiden, obwohl die persönliche Brandmauer nicht ein Netz dient; in der Tat haben einzelne Systeme beide zusammen eingeführt.

Es gibt auch den Begriff der Anwendungsbrandmauern, die manchmal während (des FAHLEN) Netzwerkanschlußes des Bereichsnetzes auf dem World Wide Web benutzt und die Systemsoftware regeln werden. Eine ausgedehnte Beschreibung würde sie niedriger als Anwendungsschichtbrandmauern, in der Tat an der Betriebssystemschicht setzen und wechselnd benannt werden konnte Betriebssystembrandmauern.

Zuletzt abhängig von, ob die Brandmauerschienen-Paketzustände, zwei zusätzliche Kategorien Brandmauern existieren:

stateful Brandmauern
staatenlose Brandmauern

Vermittlungsschichtbrandmauern
Hauptartikel: Vermittlungsschichtbrandmauer
Vermittlungsschichtbrandmauern funktionieren auf dem a-(verhältnismäßig niedrig) Niveau des IP-protocol stack als IP-Paket Filter und lassen Pakete nicht durch die Brandmauer überschreiten, es sei denn sie die Richtlinien zusammenbringen. Der Brandmauerverwalter kann die Richtlinien definieren; oder eingebaute Regeln der Rückstellung können zutreffen (wie in einigen unbiegsamen Brandmauersystemen).

Eine freizügigere Einstellung könnte jedes mögliches Paket den Filter führen lassen, solange sie nicht eine oder mehrere „Negativrichtlinien“ zusammenbringt, oder „verweigern Sie Richtlinien“. Heute werden Netzfirewälle in den meisten Betriebssystem Computer und in die Netzgeräte errichtet.

Moderne Brandmauern können den Verkehr filtern, der auf vielen Paketattributen wie Quell-IP, Quellhafen, Bestimmungsort IP oder Hafen, Bestimmungsortservice wie WWW oder ftp basiert. Sie können filtern gegründet auf Protokollen, TTL-Werten, netblock des Begründers, Domain Name der Quelle und vielem anderem Attribute.

Anwendung-Schicht Brandmauern
Hauptartikel: Anwendungsschichtbrandmauer
Anwendung-Schicht Brandmauerarbeit über das Anwendungsniveau des IP-Stapels (d.h., aller Browsersverkehr oder aller telnet-oder ftp-Verkehr) und kann alle Pakete abfangen, die nach oder von einer Anwendung reisen. Sie blockieren andere Pakete (sie ohne Bestätigung zum Absender normalerweise fallenlassend). Prinzipiell können Anwendungsbrandmauern allen unerwünschten äußeren Verkehr am Erreichen der geschützten Maschinen verhindern.

Indem sie alle Pakete auf unsachgemäßen Inhalt überprüfen, können Brandmauern die Verbreitung der Gleichen der Viren sogar verhindern. In der Praxis jedoch wird dieses also Komplex und also schwierig zu versuchen (die Vielzahl von Anwendungen und die Vielfalt des Inhalts gegeben kann jedes in seinem Paketverkehr lassen), dem kompletter Brandmauerentwurf nicht im Allgemeinen diese Annäherung versucht.

Die XML Brandmauer illustriert eine neuere Art Anwendungschicht Brandmauer.

Vollmächte
Eine Vollmachtvorrichtung (laufend entweder auf engagierte Hardware oder als Software auf einer universellen Maschine) kann als Brandmauer nach der Reaktion auf Eingangspakete (Aufforderungen zum Aufbau einer Verbindung, z.B.) in der Weise einer Anwendung verfahren, während, andere Pakete blockierend.

Vollmächte bilden, abgebend mit einem internen System vom externen Netz schwieriger, und Missbrauch von einem internen System würde nicht notwendigerweise einen Sicherheitsbruch verursachen, der außerhalb von der Brandmauer verwertbar ist (solange die Anwendungsvollmacht intakt und richtig zusammengebaut bleibt). Andererseits können Eindringlinge ein allgemein-erreichbares System überfallen und es als Vollmacht zu ihren eigenen Zwecken benutzen; die Vollmacht maskiert dann sich als dieses System zu anderen internen Maschinen. Während Gebrauch von internen Adressräumen Sicherheit erhöht, können Cracker Methoden wie IP noch einsetzen, das spoofing ist, um zu versuchen, Pakete zu einem Zielnetz zu führen.

Endsystemadresseübersetzung
Brandmauern haben häufig Funktionalität der Endsystemadresseübersetzung (NAT), und die Wirte, die hinter einer Brandmauer benutzen geschützt werden allgemein, so genannten „privaten Adressraum“, wie definiert in RFC 1918. Verwalter gründeten häufig solche Drehbücher in einer Bemühung (der strittigen Wirksamkeit) die interne Adresse oder das Netz zu verkleiden.