Para defenderse de la pérdida y el robo de datos, las empresas necesitan la mayor protección posible frente a amenazas externas. Los firewalls de hardware y software evitan que el tráfico malicioso llegue a los equipos conectados a la red, pero no brindan el mismo nivel de protección. Cada uno tiene ventajas y desventajas.
Cortafuegos de hardware
El enrutador es la primera línea de defensa contra posibles amenazas. El dispositivo asigna una dirección IP privada a cada una de las computadoras que se conectan a la red de área local y luego utiliza un proceso llamado traducción de direcciones de red para asignar las direcciones privadas a una única dirección pública. NAT actúa como un firewall, ocultando las direcciones verdaderas de los equipos conectados y controlando el tráfico que llega a cada PC. El firewall restringe la transmisión de datos a través de la mayoría de los puertos del Protocolo de control de transmisión y del Protocolo de datagramas de usuario (rutas por las que deben pasar los paquetes IP para llegar a un host), aunque las empresas pueden abrir puertos asociados con aplicaciones críticas.
Cortafuegos de software
A diferencia de un firewall en un dispositivo de enrutamiento físico, que protege todas las computadoras en la LAN, un firewall de software simplemente defiende el host en el que está instalado. Los firewalls de software, sin embargo, limitan no solo el tráfico que llega a una computadora, sino también los datos que salen de la red. Por ejemplo, la mayoría de estos cortafuegos bloquean el puerto TCP 25, el puerto predeterminado para el Protocolo simple de transferencia de correo, que se utiliza para enviar mensajes a un servidor de correo electrónico. Los gusanos de correo masivo abusan del puerto 25 para enviar spam a nuevos objetivos, por lo que una precaución típica de un firewall de software es bloquear ese puerto a menos que sea explícitamente necesario. Las empresas que utilizan redes privadas virtuales para conectar LAN remotas a través de Internet necesitan un software de firewall para evitar que los gusanos y otro tráfico malicioso salgan de una red afectada.
Inconvenientes
Algunos cortafuegos NAT son mejores que otros. D-Link, por ejemplo, permite a los usuarios un mayor control sobre la transmisión de datos TCP y UDP que otros proveedores; los administradores pueden configurar el firewall para permitir todas las solicitudes entrantes de una aplicación que ya ha establecido una conexión a un host. Los cortafuegos de hardware requieren poca o ninguna configuración; casi todos los enrutadores comerciales tienen NAT habilitado, por lo que las computadoras están protegidas una vez conectadas a la LAN. Los firewalls de software, por otro lado, pueden requerir una configuración extensa. Los administradores deben permitir o bloquear cada programa instalado en la computadora, así como también limitar qué servicios tienen acceso a la red. Los firewalls de software también consumen recursos del sistema, lo que puede causar problemas de rendimiento en dispositivos de gama baja.
Consideraciones
Las empresas deben utilizar un firewall tanto de software como de hardware para una mejor defensa. Las empresas que tienen un presupuesto limitado no tienen que gastar mucho en protección de terminales. Por ejemplo, Windows 8 incluye un firewall integrado que puede restringir el acceso de aplicaciones, puertos y servicios específicos a las LAN públicas y privadas. Para crear reglas para las conexiones entrantes y salientes, presione "Windows-W", escriba "firewall" y luego haga clic en "Windows Firewall". Seleccione "Configuración avanzada" en el panel izquierdo. Para facilitar la administración, las empresas también pueden implementar reglas de firewall a través de la línea de comandos.