La connessione di una rete privata alla rete Internet offre un numero sempre maggiore di vantaggi, ma espone la rete stessa ad una grande quantità di minacce alla sicurezza delle informazioni e delle risorse gestite. Un possibile approccio alla gestione della sicurezza del collegamento di una rete privata ad Internet consiste nel concentrare la gestione della sicurezza stessa in pochi punti, quelli in cui la rete è collegata ad Internet. I sistemi di tipo "firewall" vengono di solito impiegati a questo scopo, poiché sono in grado di minimizzare l’interazione tra Internet e le macchine che compongono la rete privata.
Un firewall può essere definito come  un insieme di strumenti hardware e software il cui obiettivo è proteggere una rete privata da reti esterne come internet.

Mediante i firewall è possibile mettere in atto politiche di sicurezza complesse, definendo le regole di accesso alla rete privata dall’esterno e viceversa.
Definire una regola significa indicare al proprio firewall quali applicazioni possono accedere alla rete poiché definite "sicure" dall'amministratore, e quali invece devono essere sottoposte a controlli preventivi.
Un firewall può:

• accettare traffico in ingresso/uscita
• negare traffico in ingresso/uscita

Le vulnerabilità di una rete locale connessa a una rete geografica (WAN) diventano più numerose all’aumentare dei sistemi che la compongono, in quanto le vulnerabilità proprie di ciascun sistema diventano vulnerabilità per l’intera rete locale.
In particolare Internet presenta alcune debolezze fisiologiche dovute ai protocolli di rete utilizzati.
Di fatti internet nasce per essere utilizzato da elementi fidati. I protocolli della famiglia TCP/IP, su cui si basa Internet, sono statu progettati tenendo principalmente conto di quei problemi legati alla disponibilità dei servizi, cercando di realizzare una rete capace di reagire rapidamente all’eventuale insorgere di indisponibilità di alcuni cammini che la costituiscono, individuando dinamicamente percorsi alternativi. Questa famiglia di protocolli può realizzare anche una trasmissione dati affidabile, risolvendo di conseguenza anche parte dei problemi connessi all’integrità delle informazioni trasmesse, senza tuttavia fornire alcuno strumento per garantirne l’autenticità.
I principali fattori che contribuiscono ad aumentare le vulnerabilità di una rete privata sono:

• la difficoltà della gestione della sicurezza all’aumentare del numero dei sistemi;
• il numero elevato di servizi di rete utilizzati e la conseguente probabilità non trascurabile di presenza di errori software;
• l’esistenza di più punti di connessione della rete privata ad Internet;
• la visibilità della struttura interna della rete;
• la notorietà dell’organizzazione che utilizza la rete.

Navigazione:

• Meccanismi di firewalling

Un firewall può consentire anche il mascheramento degli indirizzi. Quello che succede oggi, in mancanza di un firewall, è mascherare gli indirizzi IP privati con degli indirizzi pubblici. Questo concetto prende il nome di NAT, per tale scopo si utilizza un NAT device.
Questa tecnica fu introdotta per paura di non avere indirizzi IP necessari da assegnare a tutti i dispositivi nel mondo.

Ci sono due tipi di indirizzi IP (versione 4):

• indirizzo IP pubblico: è pubblicamente registrato in internet, bisogna avere un indirizzo IP pubblico per accedere ad internet, ce ne sono circa 4 miliardi, essendo formati da 4 byte (32 bit) circa, sono esclusi alcuni IP usati per scopi speciali;
• indirizzo IP privato: non sono registrati, non consentono direttamente l'accesso ad internet, sono utilizzati solo internamente.

Ad un access point non è connesso (nella maggior parte dei casi) un solo dispositivo, ma tendenzialmente più di uno. Questi dispositivi hanno bisogno di un indirizzo IP pubblico per accedere ad internet se vogliono accedervi. Ora un ISP potrebbe fornire a ciascun dispositivo un IP, ma ciò sarebbe costoso e inutile. Ciò che succede invece è che internamente, a ciascun dispositivo viene assegnato un IP locale diverso, attraverso il NAT, ognuno di essi viene tradotto in unico indirizzo IP (che sarà uguale per ogni dispositivo dall'esterno).

Il NAT traduce indirizzi privati in pubblici, ma anche indirizzi pubblici in privati.

Esistono anche:

• WAP: Web Application Firewall, che protegge il web server (che in generale è in DMZ e che quindi ha solo 1 livello di protezione). L'idea è di indirizzare il traffico verso tale proxy che filtra il traffico proveniente dall'esterno: reverse proxy.
• Personal Firewall: firewall applicativo disponibile sui dispositivi personali (PC), rientra nei dispositivi end-point security