Firewall 

1. Introdução
2. Características de um sistema de firewall  "seguro"
3. Comparação com outras alternativas 
4. Routers (roteadores) 
5. Proxies 
6. Conclusão

1 - Introdução
Este texto não aborda todas as características de um sistema de firewall, somente lista de forma resumida alguns dos recursos que seriam recomendado em um sistema de firewall "eficiente". 

As características listadas abaixo estão presentes no firewall-1 ver. 3.0 (check-point) e fazemos uma breve comparação entre este firewall e as soluções baseada em routers e  proxies. 

Não pretendo com este texto diminuir a importância das soluções baseadas em router e proxies, mas mostrar de forma rápida e superficial que existem novas tecnologias que agregam maior valor a política de segurança bem como uma maior facilidade na administração e analise de logs entre outras. 

2 - Características de um sistema de firewall  "seguro"
Resumidamente podemos dizer que um firewall deve ser capaz de ter acesso, analisar e utilizar os seguintes pontos: 

1. Informações da conexão - informações de todas as sete camadas.
2. Estado derivado da conexão - o estado que derivou das comunicações prévias. Por  exemplo, a saída do comando PORT de uma sessão de FTP poderia ser salvo de forma que uma conexão FTP de dados poderia verificar sua validade.
3. Estado derivado da aplicação - o estado derivado de outras aplicações. Por exemplo, a um usuário previamente autenticado só seria permitido acesso a serviços autorizados via firewall. 
4. Manipulação de informação - a facilidade de manipulação das informações baseadas em todos os fatores acima. 

4 - Routers (roteadores)
Os roteadores operam no nível 3 do modelo de referência OSI, isto acarreta em uma  inabilidade para prover segurança até mesmo para os serviços e protocolos mais básicos. Roteadores não são seguros, uma vez que não provêem as características essenciais a um firewall: 
 

1. Informações da conexão - os roteadores só têm acesso a uma parate limitada dos cabeçalhos dos pacotes.
2. Estado derivado da conexão e Estado derivado da aplicação - roteadores não conseguem manter o estado derivado de uma conexão ou de uma aplicação.
3. Manipulação de informações - roteadores têm uma capacidade muito limitada para manipular informação.

5 - Proxies
O proxy é uma tentativa de implementar firewalls ao nível de aplicação. Os proxies conseguem coletar parcialmete as informações derivadas  da conexão e das aplicações. Proxies também são capazes de processar e manipular informação. 

Porém, há desvantagens ao analisarmos o uso de proxies com os "verdadeiros" firewall : 
 

1. Limite de conexão - cada serviço precisa de seu próprio servidor proxy, assim o número de serviços disponíveis depende do número de proxies.
2. Limite tecnológico - os gateways não podem prover proxies para UDP, RPC e outros serviços de protocolo comuns.
3. Performance - o nível das implementações afeta o desempenho das aplicações. 

6 - Conclusão
Historicamente, aplicações a nível de routers supriram as necessidades para o uso comum da Internet.. Porém, como a Internet evoluiu e tornou-se um ambiente dinâmico que constantemente oferece novos protocolos, serviços e aplicações, os routers e proxies  não são suficientes e não conseguem garantir a segurança as diversas aplicações da Internet ou cumprir as novas necessidades empresariais, alto bandwidth alto e a exigências de segurança de redes.