Брандмауэр — тип системы, используемой для контроля соединений между компьютерными сетями. Один из самых первых ответов на вредоносные действия, совершаемые через Интернет, брандмауэры стали стандартной частью корпоративных, правительственных и персональных сетей.
По своей сути брандмауэр разрешает или блокирует запрошенное сетевое соединение — например, веб-сайт, электронную почту или передачу файла — на основе набора политик, определяемых сетевым администратором или персональным пользователем. Он используется для защиты внутренних сетей и частных или конфиденциальных данных. Брандмауэр также регистрирует информацию о сетевом трафике, что может помочь администратору понять и предотвратить атаки.
Как правило, брандмауэр не допускает прямого соединения между внутренней сетью и Интернетом. Вместо этого запросы на внешнее соединение, или цифровые пакеты, могут направляться на сильно защищенный сервер «бастионного узла», предназначенный для защиты от атак, или в большую «демилитаризованную зону», контролируемую сеть между внутренней сетью и внешней. Затем брандмауэр оценивает пакет на основе запрограммированных политик безопасности и решает, разрешить или запретить доступ. Брандмауэр может регулировать доступ как во внутреннюю сеть, так и из нее; например, некоторые компании используют брандмауэр для блокировки доступа сотрудников к определенным публичным веб-сайтам.
Первые брандмауэры были разработаны в 1980-х годах в американских технологических компаниях Cisco Systems и Digital Equipment Corporation. Эти брандмауэры «сетевого уровня» оценивали пакеты на основе простой информации, такой как их очевидный источник, пункт назначения и тип соединения. Хотя эти системы были быстрыми и прозрачными, их было довольно легко обмануть. В начале 1990-х годов появилось новое поколение брандмауэров «прикладного уровня»; хотя они были более сложными в настройке и эксплуатации, они выполняли более тщательную проверку. В начале XXI века большинство брандмауэров представляли собой гибриды этих двух основных типов.