Желіаралық экран (firewall, брандмауэр) - немесе трафикті өзі арқылы өткізетін, немесе күнбұрын анықталған ережелерге негізделе отырып оны оқшаулайды
Желіаралық экрандарды әртүрлі белгілері бойынша топтарға бөлуге болады.Орналасуы бойынша:
1. Дербес брандмауэр (personal firewall) – желідегі әрбір жұмыс станциясына орнатылатын және сол немесе басқа қосымшаны орнатуға тырысатын жалғасуды бақылайтын бағдарлама.
2. Бөлінген желіаралық экран (distributed firewall) әдетте ішкі желі мен Интернеттің арасында «ажырауға» орнатылады және ол арқылы өтетін бүкіл трафикті тексереді. Жеткілікті үлкен желі бар болған кезде бірнеше желіаралық экрандарды орнатумағынасына ие: әрбір бөлім немесе жұмыс топтары үшін – компанияның ішкі желісі шабуылдарынан қорғау құралы есебінде.
Жұмыс қағидасы бойынша:
1. Пакеттік сүзгілер (packet filter, screening filter)
Таза түрдегі пакеттік сүзгі – бұл негіз бен алушының порттары және желілік адрестері туралы алдын ала анықталған деректер негізінде желілік пакеттерді сүзгілейтін құрылғы. Алайда тәуелсіз бағдарламалы-аппараттық кешендер түріндегі осы типтік желіаралық экрандар жеткіліксіз функционалдық себебі бойынша бұрыннан-ақ кездеспейді. Пакеттік сүзгіні, мысалға, өз ІР-адресіңді (IP spoofing) ауыстыра отырып оңау айналып өтуге болады, оған қоса пакеттік сүзгілер әдетте маршрутизаторларға жапсыра орнатылады.
2. Прокси-серверлер (proxy, application layer gateway)
Прокси-сервер технологиясы ішкі желідегі хостар мен сыртқы желідегі хостардың өз арасында тікелей емес, керісінше ауани «делдал» - жеке сервис арқылы жалғасуды орнатады, ол клиентпен сервердің атынан, ал сервермен - клиенттің атынан қатынас жасайды. Осылай, желіаралық экран жалғасудың бөлігі ретінде шығады, және тиісінше жалғасқан кезде болып жатқан барлық оқиғаларды, оның ішінде мүмкін болатын шабуылдарды таба отырып талдауы мүмкін.
Негізінен қолданбалы деңгейдегі бірнеше өте танымал хаттамалар: HTTP, FTP және басқалары үшін прокси-серверлер бар. Сонымен қатар SOCKS5 (RFC 1928) меншікті хаттамамалар үшін прокси-серверлер құрудың жалпыәлемдік стандарттары бар. Одан басқа, оларда көбінесе пакетік сүзгілеу мүмкіндігі болады.
3. Жай-күйді бақылауымен желіаралық экрандар (stateful inspection)
Осы санаттағы желіаралық экрандар өтіп жатқан трафиктің өте жұқа талдауын жүргізеді, атап айтқанда нақты жалғасуға оның тиістілігі контекстінде, оның ішінде жалғасудың кіммен, қашан және қалай орнатылғаны және пакетті алар алдында осы жалғасу шеңберінде қандай белсенділігін әрбір пакет қарайды. Дегенмен, бірқатар хаттамалардың (мысалы UDP) жалғасу орнатылмай-ақ жұмыс жасайтынын ескере отырып, желіаралық экран «ауани» жалғасу деп аталатын – ағын шеңберіндегі пакетермен жұмысты жүргізеді. Бұл жағдайда мұндай пакеттер бірыңғай контексте қаралады. Бұл ретте желіаралық экрандардың осы типі ағымдағы жалғасу туралы ғана емес, сонымен бірге бұрынғы қосылыстар туралы да ақпаратты пайдалана алады.