Брандмауер, або міжмережевий екран, - це «напівпроникна мембрана», яка розташовується між що захищається внутрішнім сегментом мережі і зовнішньою мережею або іншими сегментами мережі Internet і контролює всі інформаційні потоки у внутрішній сегмент і з нього. Контроль трафіку полягає в його фільтрації, тобто у вибірковому пропущенні через екран, а іноді і з виконанням спеціальних перетворень і формуванням сповіщень для відправника, якщо його даним у пропуску відмовлено. Фільтрація здійснюється на підставі набору умов, попередньо завантажених в брандмауер і відображають концепцію інформаційної безпеки корпорації. Брандмауери можуть бути виконані у вигляді як апаратного, так і програмного комплексу, записаного в комутуючий пристрій або сервер доступу (сервер-шлюз, просто сервер, хост-комп'ютер і т.д.), вбудованого в операційну систему або представляти собою працює під її управлінням програму.

Робота брандмауера полягає в аналізі структури і вмісту інформаційних пакетів, що надходять із зовнішньої мережі, і в залежності від результатів аналізу пропуску пакетів у внутрішню мережу (сегмент мережі) або повному їх відфільтровування. Ефективність роботи міжмережевого екрану, що працює під управлінням Windows, обумовлена ​​тим, що він повністю заміщає реалізований стек протоколів TCP \ IP, і тому порушувати його роботу з допомогою спотворення протоколів зовнішньої мережі (що часто робиться хакерами) неможливо.

Міжмережеві екрани зазвичай виконують такі функції:

·         фізичне відділення робочих станцій і серверів внутрішнього сегмента мережі (внутрішньої підмережі) від зовнішніх каналів зв'язку;

·         багатоетапну ідентифікацію запитів, що надходять в мережу (ідентифікація серверів, вузлів зв'язку про інших компонентів зовнішньої мережі);

·         перевірку повноважень і прав доступу користувача до внутрішніх ресурсів мережі;

·         реєстрацію всіх запитів до компонентів внутрішньої підмережі ззовні;

·         контроль цілісності програмного забезпечення і даних;

·         економію адресного простору мережі (у внутрішній підмережі може використовуватися локальна система адресації серверів);

·         приховування IP адрес внутрішніх серверів з метою захисту від хакерів.

Брандмауери можуть працювати на різних рівнях протоколів моделі OSI.

На мережевому рівні виконується фільтрація вступників пакетів, заснована на IP адреси (наприклад, не пропускати пакети з Інтернету, направлені на ті сервери, доступ до яких зовні заборонено; не пропускати пакети з фальшивими зворотними адресами або IP адресами, занесеними до «чорного списку», і т.д.). На транспортному рівні фільтрація припустима ще й за номерами портів ТСР і прапорів, що містяться в пакетах (наприклад, запитів на встановлення з'єднання). На прикладному рівні може виконуватися аналіз прикладних протоколів (FTP, HTTP, SMTP і т.д.) і контроль за змістом потоків даних (заборона внутрішнім абонентам на отримання будь-яких типів файлів: рекламної інформації або виконуваних програмних модулів, наприклад).

Можна в брандмауері створювати та експертну систему, яка, аналізуючи трафік, діагностує події, що можуть становити загрозу безпеки внутрішньої мережі, та інформує про це адміністратора. Експертна система здатна також у разі небезпеки (спам, наприклад) автоматично посилювати умови фільтрації і т.д.

 Брандмауери бувають апаратними або програмними.

Апаратний брандмауер представляє собою пристрій, фізично підключається до мережі. Це пристрій відслідковує всі аспекти вхідного і вихідного обміну даними, а також перевіряє адреси джерела і призначення кожного оброблюваного повідомлення. Це забезпечує безпеку, допомагаючи запобігти небажаним проникнення в мережу або на комп'ютер. Програмний брандмауер виконує ті ж функції, використовуючи не зовнішній пристрій, а встановлену на комп'ютері програму.

На одному і тому ж комп'ютері можуть використовуватися як апаратні, так і програмні брандмауери.