En la computación, un cortafuego es un pedazo de soporte físico y/o de software que funcione en un ambiente conectado para prevenir algunas comunicaciones prohibidas por la política de seguridad, análogo a la función de cortafuegos en la construcción de edificios. Un cortafuego también se llama un dispositivo de protección de la frontera (BPD), especialmente en contextos de la OTAN, o filtro del paquete en contextos del DEB.

Un cortafuego tiene la tarea básica del tráfico que controla entre diversas zonas de la confianza. Las zonas típicas de la confianza incluyen el Internet (una zona sin confianza) y una red interna (una zona con alta confianza). El objetivo último es proporcionar conectividad controlada entre las zonas de los niveles de confianza de diferenciación con la aplicación de una política de seguridad y el modelo de la conectividad basado en el menos principio de privilegio.

La configuración apropiada de cortafuegos exige habilidad del administrador. Requiere la considerable comprensión de los protocolos de red y de la seguridad de computadora. Los pequeños errores pueden hacer un cortafuego sin valor como herramienta de la seguridad.

Tipos de cortafuegos

Hay tres tipos básicos de cortafuegos dependiendo de si la comunicación se está haciendo entre un solo nodo y la red, o entre dos o más redes
si la comunicación está interceptada en la capa de red, o en la capa de uso
si el estado de la comunicación se está siguiendo en el cortafuego o no
Con respecto al alcance de la comunicación filtrada existen:

cortafuegos personales, una aplicación informática que filtra normalmente el tráfico que entra en o que deja una sola computadora a través del Internet
cortafuegos de red, normalmente funcionamiento en un dispositivo de la red dedicada o computadora colocada en el límite de dos o más redes o DMZs (zonas desmilitarizadas). Tal cortafuego filtra todo el tráfico que incorpora o que sale de las redes conectadas.
La última definición corresponde al significado convencional, tradicional del “cortafuego” en establecimiento de una red.

En referencia a las capas donde el tráfico puede ser interceptado, tres categorías principales de cortafuegos existen:

cortafuegos de la capa de red
cortafuegos de la capa de uso
cortafuegos del uso
Éstos red-capa y los tipos de la uso-capa de cortafuego pueden traslaparse, aunque el cortafuego personal no sirve una red; de hecho, los solos sistemas han ejecutado ambos juntos.

Hay también la noción de los cortafuegos del uso que se utilizan durante establecimiento de una red (PÁLIDO) de la red de la amplia área en el World Wide Web y gobiernan a veces el software del sistema. Una descripción extendida los colocaría más bajo que cortafuegos de la capa de uso, de hecho en la capa del sistema operativo, y se podía alternativamente llamar los cortafuegos del sistema operativo.

Pasado, dependiendo de si existen los estados del paquete de la pista de los cortafuegos, dos categorías adicionales de cortafuegos:

cortafuegos stateful
cortafuegos apátridas

Cortafuegos de la capa de red
Artículo principal: cortafuego de la capa de red
Los cortafuegos de la capa de red funcionan en el nivel de a (relativamente baja) del protocol stack del TCP/IP como filtros del IP-paquete, no permitiendo que los paquetes pasen a través del cortafuego a menos que emparejen las reglas. El administrador del cortafuego puede definir las reglas; o las reglas incorporadas del defecto pueden aplicarse (como en algunos sistemas inflexibles del cortafuego).

Una disposición más permisiva podría permitir que cualquier paquete pase el filtro mientras no empareje una o más “negativo-reglas”, o “niegue las reglas”. Los cortafuegos de red se incorporan hoy a la mayoría del sistema operativo de computadora y de las aplicaciones de red.

Los cortafuegos modernos pueden filtrar el tráfico basado en muchas cualidades del paquete como el IP de la fuente, puerto de la fuente, IP de la destinación o puerto, servicio de la destinación como WWW o ftp. Pueden filtrar basado en protocolos, valores de la TTL, el netblock del autor, el Domain Name de la fuente, y mucho otro las cualidades.

cortafuegos de la Uso-capa
Artículo principal: cortafuego de la capa de uso
el trabajo de los cortafuegos de la Uso-capa sobre el nivel del uso del apilado del TCP/IP (es decir, todo el tráfico del hojeador, o todo el tráfico del telnet o del ftp), y puede interceptar todos los paquetes que viajan a o desde un uso. Bloquean otros paquetes (que los caen generalmente sin el reconocimiento al remitente). En principio, los cortafuegos del uso pueden evitar que todo el tráfico exterior indeseado alcance las máquinas protegidas.

Examinando todos los paquetes para el contenido incorrecto, los cortafuegos pueden incluso prevenir la extensión de los gustos de virus. En la práctica, sin embargo, esto se convierte así que el complejo y así que difícil intentar (dado la variedad de usos y la diversidad del contenido cada uno puede permitir en su tráfico del paquete) que el diseño comprensivo del cortafuego generalmente no intenta este acercamiento.

El cortafuego de XML ejemplifica una clase más reciente de cortafuego de la uso-capa.

Poderes
Un dispositivo del poder (funcionando en el hardware dedicado o como software en una máquina de fines generales) puede actuar como cortafuego respondiendo a los paquetes de la entrada (peticiones de conexión, por ejemplo) de la manera de un uso, mientras que bloquea otros paquetes.

Los poderes hacen tratando de forzar con un sistema interno de la red externa más difícil, y el uso erróneo de un sistema interno no causaría necesariamente una violación de la seguridad explotable fuera del cortafuego (mientras sigue habiendo el poder del uso intacto y configurado correctamente). Inversamente, los intrusos pueden secuestrar un sistema público-accesible y utilizarlo como poder para sus propios propósitos; el poder entonces se disfraza como ese sistema a otras máquinas internas. Mientras que el uso de los espacios de dirección interna realza seguridad, las galletas pueden todavía emplear métodos tales como IP spoofing para intentar pasar los paquetes a una red de la blanco.

Conversión de dirección de red
Los cortafuegos tienen a menudo funcionalidad de la conversión de dirección de red (NAT), y los anfitriones protegidos detrás de un cortafuego utilizan comúnmente el “espacio de dirección privada supuesto”, según lo definido en RFC 1918. Los administradores fijaron a menudo tales panoramas en un esfuerzo (de la eficacia discutible) para disfrazar la dirección interna o la red.