Il crescente aumento della banda larga per la connettività in Internet, le connessioni sempre attive (always-on), l'assegnazione di un indirizzo IP statico, hanno fatto nascere l'esigenza di garantire la sicurezza dei propri sistemi informatici. Sicurezza intesa come il processo attraverso il quale si tende a garantire l'integrità e la disponibilità dei sistemi e delle reti informatiche.

Si parla di sicurezza informatica quando un sistema è protetto dall'accesso di persone non autorizzate, quando i dati in esse custoditi restano confidenziali e integri e quando programmi possono essere lanciati in esecuzione solo da persone autorizzate.

Senza protezione, sia le informazioni personali che i dati custoditi nei sistemi sono a rischio d'attacco e di intrusione esterno. Il firewall è uno dei principali sistemi per la protezione della rete; consente di scoprire, prevenire attacchi e intrusioni dal mondo esterno e di evitare l'accesso a particolari siti web.

Esso può essere dotato di NAT (Network Address Translation) , di funzionalità per VPN (Virtual Private Network) e funzionalità per il filtraggio del traffico, non rientrante tra quello considerato sicuro per la rete.

I firewall, oggi, sono di tipo software. A volte viene installato in hardware dedicato, in cui l'utente può determinare le politiche di filtraggio. La sicurezza è raggiunta dal software o da alcuni moduli del sistema operativo che si occupano di esaminare i pacchetti e porre in essere la programmazione e l'analisi del traffico entrante (ad es. si potrebbero eseguire script personalizzabili che segnalino all'utente le intrusioni, come l'invio di e-mail o SMS).

I firewall gestiscono le informazioni attraverso due o più porte fisiche, una collegata al router e l'altra collegata alla rete interna. Se il firewall è un PC, le due porte fisiche sono rappresentate da due schede di rete. In questo modo si forma una divisione fisica delle reti. L'unico modo che ha un pacchetto di dati di attraversare il firewall è quello di essere accettato dal firewall stesso che lo prende in consegna e ne decide le sorti.

I firewall possono avere anche altre porte, per creare delle zone demilitarizzate, dette DMZ (demilitarized zone), utili sopratutto per i server. La configurazione DMZ (demilitarized zone) sostanzialmente serve per scindere la rete LAN (local area network) dai servizi quali Web server, FTP server, Mail server. Essendo i servizi Web e Mail i più attaccati e vulnerabili, con una soluzione DMZ (demilitarized zone) si va a confinare i danni causati solo ai servizi citati suddetti, limitando il più possibile gli eventuali danni che potrebbe subire la rete LAN (local area network).

Una delle più recenti innovazioni nella tecnologia dei firewall è l'applicazione del DPI (Deep Packet Inspection). Essa può essere vista come un'integrazione delle capacità di rilevamento delle intrusioni, IDS (Intrusion Detection System), e la prevenzione delle intrusioni, ossia IPS (Intrusion Prevention System), con la tecnologia tradizionale del firewall.

Uno dei benefici primari dell’utilizzo congiunto di un firewall tradizionale e di IDS (Intrusion Detection System) consiste nel fatto che il fallimento di uno dei componenti non lascia la rete completamente esposta, ma anzi si può monitorare sia il traffico passante attraverso il firewall, sia quello circolante nella LAN (local area network).

L'IDS (Intrusion Detection System), che con il firewall DPI (Deep Packet Inspection) viene inglobata in esso, controlla il traffico che passa attraverso il firewall (secondo le impostazioni del firewall stesso) e ispeziona i pacchetti alla ricerca di attività illecite.

Con i firewall DPI (Deep Packet Inspection), si realizza un protezione in linea e si snellisce la rete interna. Inizialmente ogni pacchetto passante dal firewall doveva essere autorizzato come per iptables e in generale i firewall di LINUX. In iptables utilizzando ipfwadm o ipchains, si specificava tutto il traffico passante, non tenendo traccia delle varie sessioni. L'ispezione stateful, inventata dalla Check Point Software Technologies verso la metà degli anni 90, ha portato un’innovazione significativa nel campo della protezione, poiché fornisce l'analisi dei pacchetti a livello network, così come ad altri livelli - come il livello transport nel modello OSI (Opern Systems Interconnection) o livelli superiori - per valutare il pacchetto nella sua interezza. In particolare riconosce i vari protocolli utilizzati in ogni livello – transport, session, e network - e combina le informazioni così ottenute.

Nella realtà gli applicativi richiedono che il firewall sappia analizzare in profondità i pacchetti analizzati. Ad esempio, gli applicativi basati su XML (Extensible Markup Language) e SOAP (Simple Object Access Protocol) richiedono che il firewall controlli il contenuto all'interno dei pacchetti in contemporanea alla trasmissione. Inoltre, si richiede che le applicazioni che possono cambiare le loro porte di comunicazione o quelle che creano un tunnel tra più porte, come 80/TCP (Transmission Control Protocol), devono essere controllate per fornire il massimo livello di sicurezza all'interno della rete. Per soddisfare queste esigenze la tecnologia dei firewall stateful deve evolversi.

DPI (Deep Packet Inspection) e' un termine usato per descrivere le capacità di un firewall o di un sistema di rilevamento delle intrusioni, di guardare all'interno dei dati delle applicazioni di un pacchetto o flusso di traffico e prendere decisioni circa il suo destino.

La tecnica utilizzata dal DPI (Deep Packet Inspection) è una combinazione basata sull'analisi delle firme, delle statistiche e delle anomalie riscontrate, già rilevate dal sistema IDS (Intrusion Detection System).

Per identificare e analizzare il traffico alle velocità richieste, i firewall dovranno incorporare al loro interno ASIC (Application Specific Integrated Circuit) o NPU (Network Processing Unit), che forniscono una veloce discriminazione del contenuto all'interno dei pacchetti e allo stesso tempo permettono la classificazione dei dati.

I firewall dotati di DPI (Deep Packet Inspection)devono non solo verificare lo stato della connessione di rete sottostante, ma anche lo stato di connessione dell'applicazione che utilizza quel canale di comunicazione. Per esempio si consideri una connessione SMTP (Simple Mail Transfer Protocol) tra un client di posta e un server: il client apre la connessione /TCP a tre vie; il firewall permette la connessione perché tra le sue regole l'accesso alla porta 25 /TCP sul mail server è permessa. Per molti firewall stateful, invece, stabilire la connessione e controllarla, fino a quando è terminata, è sufficiente; non analizzano i pacchetti nel loro interno, si limitano ad una analisi superficiale dei protocolli. Con un firewall con il supporto DPI (Deep Packet Inspection) si può monitorare il protocollo SMTP e controllarlo per ogni attacco.

Il client SMTP (Simple Mail Transfer Protocol) avvia appunto una sessione SMTP inviando il comando HELO secondo la procedura definita dal protocollo RFC 821. Il client può quindi emettere una varietà di comandi utilizzando il comando SMTP MAIL FROM e RCPT TO per accettare parametri e valori addizionali.

Tra i comandi messi a disposizione dal protocollo SMTP (Simple Mail Transfer Protocol) ce ne sono alcuni che è consigliabile disabilitare, tra cui il vrfy, che permette la verifica di indirizzi email sul server. Infatti, se il client prova ad emettere un comando vrfy, il firewall che controlla la comunicazione tra il client e il mail server può far scattare un allarme o rispondere al comando negandogli il permesso. Il client può anche provare a sfruttare l'overflow del token dell'indirizzo sendmail per accedere in modalità testuale al server. Il firewall, dotato di DPI (Deep Packet Inspection), può identificare il tentativo di passaggio e negare la connessione dal client.

Perché il DPI (Deep Packet Inspection) abbia successo il firewall deve garantire elevate capacità di rilevamento e prevenzione dell'intrusione: il firewall deve essere capace di individuare e prevenire molte intrusioni, includere un controllo antivirus in linea ad alto livello e in tempo reale al trasferimento; deve essere in grado di analizzare e se necessario filtrare il traffico XML e i servizi di messaggeria istantanea AIM, Yahoo! e Windows Live Messenger; deve, inoltre, eseguire controlli sulle sessioni SSL (Secure Socket Layer). Questo ovviamente richiederà la capacità di decriptare una sessione SSL e quindi ristabilirla una volta che i pacchetti siano stati ispezionati. Questa esigenza si è imposta a seguito degli attacchi data driven come i worm Code Red, Nimda, SQL slammer.

La sola tecnologia IDS (Intrusion Detection System) attuale è capace di rilevare questi attacchi ma non è in grado di prevenirli, pur considerando che questi worm hanno infettato un numero significativo di sistemi in un periodo di tempo relativamente breve. Mentre l'IDS (Intrusion Detection System) fornisce una prima protezione all'attacco, spostando il rilevamento e la risposta nel firewall, attraverso la DPI (Deep Packet Inspection) si provvede all'immediato arresto dell'attacco, tagliando la linea di comunicazione ad un punto di demarcazione della rete.
La maggior parte dei prodotti firewall attuali offre un'analisi limitata dei dati delle applicazioni. Per questo molti produttori di firewall inclusi Check Point, Cisco, Juniper NetScreen e TippingPoint si stanno muovendo nella direzione di integrare le DPI(Deep Packet Inspection) nei firewall.

La tecnologia DPI (Deep Packet Inspection) garantisce una protezione più robusta e dinamica alle reti: spostare l'ispezione dei dati dai pacchetti ai firewall di rete fornisce agli amministratori di rete una maggiore flessibilità nel difendere i loro sistemi dal traffico e dagli attacchi nocivi. Tali firewall non eliminano il bisogno degli IDS (Intrusion Detection System), semplicemente li inglobano in se stessi; garantendo così il ruolo incontrastato degli IDS (Intrusion Detection System) come difensore della privacy del sistema.