محور اصلی راه‌حل‌های موجود در طراحی امنیتی شبکه‌های کامپیوتری مبتنی بر استقرار یک دروازه امنیتی در جلوی جبهه ارتباط بین شبکه‌ها، برای کنترل ترافیک عبوری بین شبکه ها می‌باشد. دروازه امنیتی که می‌تواند در قالب نرم‌افزار و یا سخت افزار خاص این نقش را برعهده بگیرد، تحت عنوان فایروال شناخته شده است. برای اینکه فایروال بتواند ارتباط داده‌ای بین دو شبکه را کنترل نماید، باید نقش دروازه شبکه را داشته باشد. به عبارت دیگر این محصول امنیتی باید در محل دروازه شبکه و یا تلاقی شبکه‌ها قرار گیرد.
معمولا برای جلوگیری از اجرای حملات از سوی میزبان خارجی به کارگزارهای داخلی سازمان از فایروال استفاده می شود. این کارگزارها عمدتاً به دلیل استفاده از خدمات ناامنTCP / IP در معرض حمله قرار می‌گیرند.
در یک محیط بدون فایروال، امنیت سازمان وابسته به امنیت تک تک میزبان‌های موجود در داخل سازمان است. با افزایش تعداد میزبان‌های سازمان، نگهداری آنها در یک سطح امنیتی مناسب، بسیار مشکل خواهد شد. علاوه بر این، بسیاری از حملات به دلیل وجود خطاهای ساده در پیکربندی میزبان‌ها و خدمات، و عدم آشنایی کافی کاربران میزبان‌های داخلی به مسایل امنیتی می‌تواند رخ بدهد.
فایروال با قرار گرفتن در مسیر اتصال شبکه داخلی به اینترنت می‌تواند امنیت متمرکز، یکسان و قابل قبول برای کلیه میزبان‌های شبکه داخلی فراهم نماید. همچنین این دستگاه امنیتی می‌تواند با جداسازی نواحی مختلف در شبکه داخلی، مکانیسم‌های امنیتی مناسبی برای ترافیک انتقالی بین نواحی را پشتیبانی نماید.

با توجه به تنوع قابلیت‌های امنیتی که در یک محصول فایروال ارایه می شود، این محصول به یکی از پرکاربردترین محصولات امنیتی در شبکه های کامپیوتری تبدیل شده است. به همین دلیل در بسیاری از سازمان‌ها راهکارهای امنیت شبکه را در یک فایروال خلاصه می کنند .در واقع فایروال را می‌توان مهم‌ترین راهکار امنیت در شبکه های کامپیوتری در نظر گرفت.
رشد تکاملی فایروال ها از اولین تولید این محصولات تاکنون شامل توسعه مکانیسم‌های امنیتی، تنوع در مفاهیم مدیریتی، بهبود پارامترهای کارآیی آنها و همچنین تحول در تکنولوژی‌های سخت‌افزاری می‌باشد.
بنابراین می‌توان از هر چهار دیدگاه، این رشد تکاملی را مورد بررسی قرار داد. البته می‌توان گفت آنچه که بیشترین تاًثیر را در رونق فایروال در طرح های امنیت شبکه داشته است، سیر تکامل و افزایش قابلیت‌های امنیتی در این محصول می‌باشد. در ادامه این مقاله تکنولوژی فایروال‌ها را از دیدگاه توسعه مکانیسم‌های امنیتی و همچنین تحول در تکنولوژی‌های سخت‌افزاری بررسی می‌کنیم.

توسعه مکانیسم های امنیتی
فایروال‌ها در بدو تولید، که بیش از یک دهه از عمر آنها می‌گذرد، تنها قابلیت بازرسی بسته های شبکه را به صورت غیر حالتمند پشتیبانی می‌کردند. این نوع محصولات که به بسته صافی غیرحالتمند نیز معروف هستند، را می‌توان به عنوان نسل اول فایروال‌ها نام برد. امروزه این فایروال‌ها منسوخ شده و جای خود را به نسل جدیدی از فایروال ها سپرده اند. البته بسته صافی‌های غیرحالتمند تنها در برخی از سوئیچ‌ها شبکه‌ای که کنترل دسترسی‌های ساده‌ای دارند، استفاده می شود. برای نمونه مکانیسم لیست کنترل دسترسی (Access Control List) در سوئیچ‌های شبکه، نمونه‌ای از یک بسته صافی غیر حالتمند است. استفاده از بسته صافی‌های حالتمند نسل تکاملی بسته صافی‌های غیرحالتمند می‌باشند. همانطور که از نام این فایروال‌ها می‌توان حدس زد، این فایروال‌ها امکان بازرسی ترافیک را مبتنی بر ماشین حالت قراردادTCP انجام می‌دهند. بنابراین اطلاعات بیشتری از ترافیک را مورد بازرسی قرار داده و امکان کشف حملات ناشی از پیاده سازی نادرست پشته قرارداد تا لایهTCP را فراهم می‌کنند. البته بسته صافی‌های حالتمند در کنار دروازه‌های کاربرد و یا همان پراکسی‌ها در تکامل فایروال‌ها نقش بسیار ارزنده ای داشته‌اند. این ترکیب منجر به بازرسی کامل تر ترافیک عبوری در محصولات فایروال می شود. امروزه هنوز از این قابلیت‌ها در فایروال‌ها استفاده می شود، هر چند که مکانسیم‌های امنیتی فایروال های امروزی تنها به قابلیت‌های بسته صافی حالتمند و دروازه‌های کاربرد خلاصه نمی شود.
در نسل دوم فایروال‌ها، می‌توان بسته صافی حالتمند را به عنوان قلب یک فایروال در نظر گرفت که بیشترین توسعه و تکنولوژی در آن خلاصه شده است. یکی از قابلیت‌های ویژه دیگر در این نسل از محصولات فایروال، امکان ترجمه آدرس و پورت جهت مخفی‌سازی همبندی شبکه می‌باشد. همان طور که گفته شد، حضور دروازه‌های کاربرد در کنار بسته صافی حالتمند امکان بازرسی دقیق‌تری را برای جزئیات لایه کاربرد برای هر قرارداد مشخص فراهم می‌کند.
در کنار قابلیت‌های ارایه شده در نسل دوم فایروال، نیاز به منابع سیستمی در سخت‌افزار این فایروال‌ها نیز افزایش می‌یابد. بدیهی است برای مدیریت تعداد اتصالات همزمان بالا به صورت حالتمند، فایروال باید اطلاعات حالت تمامی این اتصالات را حفظ نماید. بنابراین از دیدگاه حافظه و پردازش نیازمند منابع بیشتری نسبت به فایروال‌های نسل قبل می‌باشد. البته رشد تکنولوژی سخت افزار در طول مدت تکامل نرم‌افزاری قابلیت‌های امنیتی، نیازمندی‌های منابع سیستمی را پوشش داده است.
با رشد روزافزون تکنولوژی در زمینه سخت افزار و توان پردازشی، محصولات فایروال منابع کافی برای ارایه مکانیسم‌های امنیتی بیشتر در قالب یک سخت افزار را خواهند داشت. این اتفاق در طول تکامل تمامی راهکارهای نرم افزاری اتفاق افتاده است. در نسل سوم محصولات فایروال نیز قابلیت‌های امنیتی جدیدی به این محصولات اضافه شده است. مهمترین قابلیت امنیتی ارایه شده در نسل سوم سیستم‌های فایروال، شامل سرویس شبکه خصوصی مجازی (Virtual VPN Private Network ) می‌باشد. به همین دلیل این نسل از فایروال‌ها را محصولFirewall/VPN نیز می نامند. البته در کنار این قابلیت امنیتی برخی از مکانیسم‌های امنیتی دیگر نظیر مدیریت پهنای باند و یا تشخیص هویت نیز در برخی از نمونه های این محصولات ارایه شده است، ولی مکانیسم مشخص و اساسی امکان قرارگیری VPN در کنار یک محصول فایروال حالتمند می‌باشد.
با تولد محصولات Firewall/VPN به سرعت این تکنولوژی جایگزین دروازه‌های VPN Gateway VPN شده است و به طور کلی هر شبکه که نیازمند سرویسVPN باشد، امکان ارایه این سرویس را به صورت یکپارچه در محصول فایروال بدست می‌آورد. امکاناتی نظیر یکپارچگی سیاست امنیتی در فایروال وVPN ، امکان تعریف سیاست‌های متنوع درVPN ، مدیریت و پیکربندی ساده تر و همچنین کاهش تعداد تجهیزات امنیتیInLine ، از جمله مزایای محصولات Firewall/VPN نسبت به نسل قبلی محصولات برای ارایه این سرویس‌های امنیتی می‌باشد. باید توجه داشت که کاهش تعداد تجهیزات امنیتی InLine در شبکه می‌تواند مدیریت شبکه را بسیار ساده تر نموده و همچنین مشکل خطای نقطه متمرکز (Single Point of Failure) را کاهش می‌دهد. بدیهی است زمانی که فایروال وVPN در قالب تجهیزات متفاوتی در شبکه مستقر شوند، باید هر کدام از این تجهیزات به صورتInLine در شبکه قرار گیرند و هر چه تعداد تجهیزاتInLine در شبکه افزایش یابد، میزان خطای نقطه متمرکز نیز افزایش خواهد یافت. همچنین مفاهیم مدیریتی نظیر نظارت، سیاست امنیتی، رویدادنگاری و دسترس‌پذیری باید به صورت توزیع شده اعمال شوند که منجر به افزایش هزینه مدیریت خواهد شد.
در نسل بعدی از محصولات فایروالینگ، قابلیت تشخیص و جلوگیری از حملات Intrusion Prevention System IPS ارایه شده است. نسل چهارم محصولات فایروال به دروازه امنیتی (Security Gateway) نیز معروف است. البته مکانیسم‌هایی نظیر تشخیص هویت ترافیک، مدیریت ترافیک و تصفیه محتوا به طور عمیق‌تر از قابلیت‌های دیگر دروازه‌های امنیتی است که معمولا در تمام این محصولات ارایه شده است. می‌توان گفت که یکی از دلایل اضافه شدن قابلیت تشخیص و جلوگیری از حملات در فایروال، ارایه محصولاتIPS در کنارIDS ها می‌باشد.
ایده جلوگیری از حملات در کنار عملیات تشخیص که در محصولاتIDS ارایه می‌شود نیازمند راهکارهای مختلفی در شبکه‌های کامپیوتری می‌باشد. برخی از تولیدکنندگان که هر دو محصول فایروال وIDS را ارایه می‌کردند، به دنبال طراحی پروتکلی برای ارسال نتایج تشخیص حملات به دستگاه فایروال بوده‌اند. همچنین تعداد دیگری از تولیدکنندگان محصولات امنیتی بر روی تولید محصولIPS تمرکز نمودند. این محصول به صورت InLineو شبیه به یک فایروال در شبکه مستقر می شود. بنابراین ایده تولید محصول ترکیبی فایروال نسل سوم وIPS در محصول دروازه امنیتی ارایه شده است.
دروازه‌های امنیتی علاوه بر افزایش مکانیسم‌های امنیتی، حیطه بازرسی ترافیک را تا سطح لایه کاربرد نیز گسترش داده‌اند. بنابراین این محصولات را می‌توان به عنوان یک راهکار امنیتی کامل در نظر گرفت. بدیهی است که افزایش منابع سیستمی، یکی از نیازمندی‌های اصلی برای گذر از فایروال‌های نسل سوم به سمت دروازه‌های امنیتی است. باید در نظر داشت که مهمترین ایده‌ای که در محصولات دروازه امنیتی مطرح شد، یکپارچگی چندین مکانیسم امنیتی متنوع در یک محصول است. این موضوع یک نوع تحول در محصولات امنیتی می‌باشد که خود منجر به ارایه محصولات دیگر در این سیر تکاملی شده است.
نسل اخیر محصولات فایروال نیز ادامه ایده ارایه چندین مکانیسم امنیتی به صورت یکپارچه را دنبال می‌کند. در این نسل بازرسی ترافیک وارد محتوای داده لایه کاربرد می‌شود و تهدیدات امنیتی موجود در این بخش را نیز پوشش می‌دهد. این نسل از محصولات فایروال، مدیریت یکپارچه تهدیدات و یا Unified Threat Management UTM نامیده می‌شود. تمایز محصولUTM نسبت به دروازه امنیتی در این است کهUTM ها محتوای داده لایه کاربرد را از نظر امنیتی بازرسی می‌کنند. این بازرسی می‌تواند در جهت کشف و پاک‌سازی ویروس، اسپم و یا محتوای آلوده باشد و یا اینکه برخی سیاست‌های بازرسی محتوا را اعمال نماید.
طبق گزارشی که در سال ۲۰۰۵ توسطIDC ارایه شد، پیش‌بینی شده بود که بازار محصولات فایروال از سال ۲۰۰۸ به بعد به سمت محصولاتUTM خواهد بود و رشد فروش محصولات نسل قبل منفی می شود. در حال حاضر این پیش‌بینی در دنیا و از جمله در ایران نیز به واقعیت پیوسته است. تعریف ارایه شده ازUTM در این گزارش به این صورت است که UTMسخت‌افزاری است که به صورت یکپارچه قابلیت‌های فایروال،VPN ، تشخیص و جلوگیری از حملات، مدیریت ترافیک، آنتی اسپم، آنتی ویروس و کنترل محتوا را ارایه می‌کند.
البته بازرسی ترافیک در محصولات فایروال، می‌تواند بالاتر از محتوای داده لایه کاربرد نیز وارد شود. گرچه در پشته قراردادTCP/IP مفهومی بالاتر از لایه کاربرد وجود ندارد، ولی مفاهیمی نظیر مدیریت کلید نشست در یک برنامه کاربردی تحت وب، مدیریت تشخیص هویت و مجازشناسی کاربران در برنامه‌های کاربردی فراتر از لایه کاربرد می‌باشند. بنابراین این مفاهیم بالاتر از لایه کاربرد در نظر گرفته می‌شوند. برخی از تجهیزات امنیتی نظیر فایروال برنامه کاربردی تحت وب Web Application Firewall WAF ، فایروال XML Firewall XML و فایروال پایگاه داده Database Firewall  از جمله محصولاتی هستند که بازرسی را تا لایه بالاتر از کاربرد نیز انجام می‌دهند.
با توجه به سیر تکامل تکنولوژی فایروال، می‌توان به این نتیجه رسید که تکامل در این محصولات به سمت گسترش دامنه بازرسی در ترافیک عبوری شبکه می‌باشد. بدیهی است هر چه بازرسی در پشته شبکه به سمت بالاتر گسترش یابد، امنیت افزایش یافته و ترافیک، دقیق‌تر بازرسی می‌شود. البته باید توجه داشت که برای گسترش بازرسی در لایه‌های بالاتر پشته شبکه، نیاز به منابع بیشتر سیستمی ضروری است.

تکنولوژی سخت‌افزاری
یکی از انواع دسته‌بندی در محصولات فایروال مبتنی برتکنولوژی سخت‌افزاری در تولید این محصولات می‌باشد. فایروال‌ها از این دیدگاه که آیا تکنولوژی سخت‌افزاری را برای تولید استفاده نموده‌اند، و یا اینکه کاملا نرم‌افزاری می‌باشند و یا ترکیبی از این دو را شامل شده‌اند، به سه دسته زیر تقسیم می‌شوند.
- فایروال نرم‌افزاری
- فایروال سخت‌افزاری
- فایروال نرم‌افزاری با دستگاه خاص منظوره
در ادامه انواع دسته‌بندی‌های فوق برای محصولات فایروال شرح داده می‌شوند.

فایروال نرم‌افزاری
این نوع از محصولات صرفا به صورت نرم‌افزاری ارایه می‌شوند. بنابراین قابل نصب بر روی هر نوع سخت‌افزار همه منظوره می‌باشند. به طور کلی فایروال‌های شخصی، همگی نرم‌افزاری بوده و خاص یک سیستم عامل طراحی و تولید می‌شوند. در سطح فایروال‌های شبکه‌ای نیز نمونه‌های محصولات نرم‌افزاری وجود دارند که برای یک سیستم عامل مشخص تولید شده‌اند.
مشخصه یکسان در تمام محصولات فایروال نرم‌افزاری این است که آنها وابسته به سیستم عامل زیرین می‌باشند و تمام محدودیت‌های این سیستم عامل بر روی محصول نهایی نیز اعمال می شود. در سطح یک محصول امنیتی می‌توان نکته مذکور را یک نقطه ضعف امنیتی دانست.
به طور کلی تمام فایروال‌هایی که به همراه سیستم عامل‌های همه منظوره ارایه می شوند، یک فایروال نرم‌افزاری می‌باشند. همچنین برخی از محصولات تجاری نیز به عنوان فایروال شخصی و شبکه‌ای وجود دارند که در رده محصولات صرفا نرم‌افزار تولید شده‌اند.
مهمترین نگرانی در محصولات نرم‌افزاری فایروال این است که آسیب‌پذیری‌های سیستم عامل به محصول نهایی منتقل می‌شود و همچنین کارایی و عملکرد فایروال کاملا وابسته به یک سیستم عامل همه منظوره است. بنابراین نمی‌توان در مورد کارایی، عملیات و امنیت فایروال‌های نرم‌افزاری ارزیابی دقیقی را ارایه نمود. برای نمونه فایروالiptables در سیستم عامل لینوکس و همچنین فایروالPF در سیستم عامل FreeBSDکاملا نرم‌افزاری و البته فایروال شبکه‌ای هستند. جهت اعمال صحیح مکانیسم‌های امنیتی در محصولات نرم‌افزاری فایروال، طراحی این محصولات در لایه‌های مختلف معماری سیستم عامل انجام می پذیرد. بنابراین قرارگیری چنین محصولی در یک میزبان می‌تواند منجر به تغییرات فراوانی در سیستم عامل آن میزبان گردد. همین موضوع می‌تواند طراحی یک فایروال شخصی را، بیش از حد تصور وابسته به معماری یک سیستم عامل نماید. برای نمونه هسته فایروال iptables در سیستم عامل لینوکس در کرنل این سیستم عامل و در قالب برنامهNetfilter پیاده‌سازی شده است و لایه توصیف سیاست امنیتی و برخی دیگر ماژول‌های آن در سطح کاربر قرار دارند.

فایروال سخت‌افزاری
برخی ازمحصولات فایروال شامل یک هسته سخت افزاری برای اجرای عملیات اصلی خود می‌باشند. این نوع محصولات المان‌های سخت‌افزاری خاص منظوره را برای این عملیات استفاده می‌کنند. معمول‌ترین تکنولوژی برای تولید این المان‌های سخت‌افزاری استفاده از Application- Specific Integrated Circuit ASIC است. همان طور که از نام ASIC نیز می‌توان فهمید، این نوع سخت‌افزارها برای کاربردهای خاص طراحی می شوند. این تکنولوژی نقطه مقابل تکنولوژی سخت‌افزاری همه منظوره در پردازنده‌های موجود می‌باشد. برای نمونه ممکن است که ASIC خاص برای اجرای برخی از عملیات اصلی در یک فایروال طراحی شود و اجرای آن عملیات به صورت سخت‌افزاری اجرا شود.
مزیت اصلی استفاده از سخت‌افزارهای ASIC در این است که می‌توان برخی از عملیاتی که در محصول نقش گلوگاه را دارند را در داخل سخت‌افزار اجرا نمود. بنابراین میزان کارایی این عملیات و در نتیجه کارایی کل محصول افزایش خواهد یافت. این امکان می‌تواند منجر به کاهش هزینه تولید محصول فایروال، در تعداد زیاد شود. به عبارت دیگر سخت‌افزار مورد نیاز برای برآورده ساختن یک میزان کارایی خاص با هزینه کمتری تامین می‌شود؛ هر چند که هزینه طراحی اولیه تکنولوژی بسیار بالا می‌باشد. هزینه بالای طراحی تکنولوژی در محصولات سخت‌افزاری منجر به استفاده محدود از آن می شود. بنابراین این نوع محصولات تنها در برخی از گلوگاه‌های خود از ASIC استفاده می‌کنند. برای نمونه در محصول فایروال می‌توان مکانیسم بازرسی حالتمند را در داخل سخت‌افزار اجرا نمود. به طور کلی مزیت عمده فایروال‌های سخت‌افزاری در میزان کارایی عملیات آنها می‌باشد. این محصولات معمولا نیازی به استفاده از سخت‌افزارهای شتاب‌دهنده (Accelerator) ندارند و بهینه سازی این شتاب‌دهنده‌ها را در قالب ماژول ASIC اجرا می‌کنند. همان‌طور که گفته شده تنها برخی از مکانیسم‌های اصلی در داخل سخت‌افزار اجرا می شوند و در نهایت مکانیسم‌های دیگر به صورت نرم‌افزاری پیاده سازی خواهند شد. در این مکانیسم‌ها میزان کارایی، شبیه به راهکارهای نرم‌افزاری و یا راهکارهای ترکیبی برای تولید فایروال می‌باشد.
با توجه به هزینه بالای طراحی تکنولوژی ASIC و همچنین محدود بودن حوزه عملیاتی این تکنولوژی در چندین کشور پیشرفته، فایروال‌های سخت‌افزاری عموما در شرکت‌های آمریکایی تولید شده‌اند. گرچه چندین شرکت اروپایی نیز در تجارت تولید فایروال وارد شده‌اند، ولی هیچ کدام از آنها محصولات فایروال سخت‌افزاری تولید نکرده‌اند و تولیدات این شرکت‌ها عموما از نوع فایروال نرم‌افزاری با دستگاه خاص منظوره می‌باشد.

فایروال نرم‌افزاری با دستگاه خاص منظوره
نوع ترکیبی از محصولات فایروال شامل یک هسته نرم‌افزاری بر روی سخت‌افزار خاص منظوره می‌باشد. در این نوع از محصولات هیچ کدام از عملیات فایروالینگ بر روی سخت‌افزار انجام نمی‌شود و از این دیدگاه با محصولات سخت‌افزاری متفاوت می‌باشند. همچنین این محصولات با نوع کاملا نرم‌افزاری نیز تفاوت‌های اساسی دارند.
به عبارت دیگر فایروال‌های ترکیبی در قالب یک سیستم عامل همه منظوره ارایه نمی شوند و کل محصول در قالب یک سیستم عامل خاص برای اجرای عملیات فایروال تولید می شود. این سیستم عامل که میان‌افزار (Firmware) نامیده می‌شود، به عنوان هسته نرم‌افزاری فایروال محسوب می‌شود. همچنین میان‌افزار فایروال قابل نصب بر روی هر نوع سخت‌افزار همه منظوره نمی‌باشد و معمولا تولیدکنندگان این نوع فایروال به نحوی میان‌افزار را طراحی می‌کنند که تنها بر روی سخت‌افزارهای انتخاب شده قابل نصب و اجرا باشد. البته سخت‌افزارهای ویژه‌ای نیز با عنوان سخت‌افزارهای امنیتی وجود دارند که تولیدکنندگان فایروال‌های ترکیبی از آنها استفاده می‌کنند.
با توجه به اینکه هسته اصلی فایروال‌های ترکیبی به صورت نرم‌افزاری و در قالب میان افزار پیاده سازی شده است، امکان بروز مشکلاتی برای استقرار این محصولات در شبکه‌هایی با گذردهی بالا وجود دارد. بنابراین تولیدکنندگان این محصولات از شتاب‌دهنده‌های سخت‌افزاری برای ماژول‌های اصلی فایروال استفاده می‌کنند. این شتاب‌دهنده‌ها برخی از عملیات‌ها را در پردازنده ویژه خود اجرا می‌کنند و در نتیجه میزان کارایی سیستم افزایش خواهد یافت.