Un firewall hardware è un dispositivo fisico che collega un computer o una rete a Internet, utilizzando alcune tecniche avanzate per proteggerlo da accessi non autorizzati. I router cablati, i gateway a banda larga e i router wireless incorporano tutti firewall hardware che proteggono ogni computer in rete. I firewall hardware possono essere distinti dalle tecniche che utilizzano per proteggere una rete di computer e i diversi tipi sono il filtraggio dei pacchetti, l’ispezione dei pacchetti con stato, la traduzione degli indirizzi di rete e i gateway a livello di applicazione.
Il firewall di filtraggio dei pacchetti esamina tutti i pacchetti di dati che viaggiano da e verso il sistema. Inoltra i dati in base a una serie di regole definite dall’amministratore di rete. Questo firewall hardware esamina l’intestazione del pacchetto e filtra i pacchetti in base all’indirizzo di origine, alla destinazione e alle informazioni sulla porta. Se il pacchetto non è conforme alle regole o soddisfa i criteri bloccati, non è consentito il passaggio al computer o alla rete.
Il firewall Stateful Inspection va oltre il filtraggio dei pacchetti per tenere traccia delle informazioni sullo stato delle connessioni di rete per determinare quali pacchetti di dati possono essere attraversati. È anche noto come filtraggio dinamico dei pacchetti o SPI (Stateful Packet Inspection). Questo firewall hardware monitora la provenienza del pacchetto per capire cosa farne. Esamina se i dati sono stati inviati in risposta a una richiesta di maggiori informazioni o se sono semplicemente apparsi. I pacchetti che non corrispondono a uno stato di connessione noto vengono rifiutati
Un firewall NAT (Network Address Translation) nasconde un computer o una rete di computer dal mondo esterno presentando un indirizzo IP (protocollo Internet) pubblico a Internet. L’indirizzo IP del firewall è l’unico indirizzo valido in questo scenario e questo è l’unico indirizzo IP presentato per tutti i computer presenti sulla rete. Ad ogni computer all’interno della rete viene assegnato un indirizzo IP valido solo all’interno della rete privata. Questo firewall hardware è molto efficace perché presenta a Internet un solo indirizzo IP pubblico per un numero qualsiasi di utenti su una rete.
Quando un computer all’interno della rete protetto da un firewall NAT effettua una richiesta di informazioni, il firewall osserva la richiesta, annota il numero IP interno, inoltra la richiesta utilizzando il proprio indirizzo IP e invia le informazioni ricevute allo specifico computer all’interno della rete. Un gateway a livello di applicazione rende effettivamente invisibile a Internet un computer dietro di esso, agendo come proxy ed effettuando tutti i trasferimenti di dati per conto del computer. Regola molto da vicino il traffico, consentendo il passaggio solo di alcuni comandi, limitando l’accesso ai file e attivando allarmi in determinate condizioni. Questo firewall hardware è solitamente implementato su un computer separato su una rete che ha la sola funzione di agire come proxy. È piuttosto sofisticato ed è considerato uno dei tipi più sicuri di firewall hardware.