Le
pare-feu est aujourd'hui considéré comme une des pierres angulaires de la sécurité d'un réseau informatique. Il permet d'appliquer une politique d'accès aux ressources réseau (serveurs).
Il a pour principale tâche de contrôler le trafic entre différentes zones de confiance, en filtrant les flux de données qui y transitent. Généralement, les zones de confiance incluent Internet (une zone dont la confiance est nulle), et au moins un réseau interne (une zone dont la confiance est plus importante).
Le but ultime est de fournir une connectivité contrôlée et maîtrisée entre des zones de différents niveaux de confiance, grâce à l'application de la politique de sécurité et d'un modèle de connexion basé sur le principe du moindre privilège.
Le filtrage se fait selon divers critères. Les plus courants sont :
l'origine ou la destination des paquets (adresse IP, ports TCP ou UDP, interface réseau, etc.)
les options contenues dans les données (fragmentation, validité, etc.)
les données elles-mêmes (taille, correspondance à un motif, etc.)
les utilisateurs pour les plus récents
Un pare-feu fait souvent office de routeur et permet ainsi d'isoler le réseau en plusieurs zones de sécurité appelées zones démilitarisées ou
DMZ. Ces zones sont séparées suivant le niveau de confiance qu'on leur porte.