Un firewall de hardware es un dispositivo físico que conecta una computadora o red a Internet, empleando ciertas técnicas avanzadas para protegerlo del acceso no autorizado. Los enrutadores con cable, las puertas de enlace de banda ancha y los enrutadores inalámbricos incorporan firewalls de hardware que protegen cada computadora en una red. Los firewalls de hardware se pueden distinguir por las técnicas que utilizan para proteger una red de computadoras, y los diferentes tipos son filtrado de paquetes, inspección de paquetes con estado, traducción de direcciones de red y pasarelas de nivel de aplicación.
El cortafuegos de filtrado de paquetes examina todos los paquetes de datos que viajan hacia y desde el sistema. Reenvía los datos según un conjunto de reglas definidas por el administrador de la red. Este firewall de hardware examina el encabezado del paquete y filtra los paquetes según la dirección de origen, el destino y la información del puerto. Si el paquete no cumple con las reglas, o si se ajusta a los criterios de bloqueo, no se le permite pasar a la computadora o la red.
El cortafuegos de inspección de estado va más allá del filtrado de paquetes para rastrear información sobre el estado de las conexiones de red para determinar qué paquetes de datos pueden pasar. También se conoce como filtrado dinámico de paquetes o inspección de paquetes con estado (SPI). Este firewall de hardware monitorea de dónde proviene el paquete para determinar qué hacer con él. Examina si los datos se enviaron en respuesta a una solicitud de más información o si simplemente aparecieron. Los paquetes que no coinciden con un estado de conexión conocido se rechazan
Un firewall de traducción de direcciones de red (NAT) oculta una computadora o una red de computadoras del mundo exterior al presentar una dirección de protocolo de Internet (IP) pública a Internet. La dirección IP del firewall es la única dirección válida en este escenario, y esta es la única dirección IP presentada para todas las computadoras que existen en la red. A cada computadora en el interior de la red se le asigna una dirección IP que es válida solo dentro de la red privada. Este firewall de hardware es muy eficaz porque presenta solo una dirección IP pública a Internet para cualquier número de usuarios en una red.
Cuando una computadora dentro de la red protegida por un firewall NAT realiza una solicitud de información, el firewall observa la solicitud, toma nota del número de IP interno, reenvía la solicitud usando su propia dirección IP y envía la información recibida a la computadora específica dentro de la red. Una puerta de enlace de nivel de aplicación hace que una computadora detrás de ella sea invisible para Internet actuando como un proxy y llevando a cabo todas las transferencias de datos en nombre de la computadora. Regula el tráfico muy de cerca, permitiendo que solo pasen algunos comandos, limitando el acceso a los archivos y haciendo sonar alarmas en condiciones específicas. Este firewall de hardware generalmente se implementa en una computadora separada en una red que tiene la única función de actuar como un proxy. Es bastante sofisticado y se considera uno de los tipos de firewalls de hardware más seguros.