Wenn Ihr LAN über einen Router eine Verbindung ins Internet aufbaut, besteht für Außenstehende die Möglichkeit, in Ihr Netzwerk einzudringen oder dessen Betrieb zu stören. Ein NAT-Router bietet auf Grund der spezifischen Merkmale des NAT-Prozesses (Network Address Translation, Netzwerk-Adressumsetzung) einen gewissen Schutz, durch den das Netzwerk hinter dem NAT-Router gegen einen Zugriff von Außenstehenden aus dem Internet abgeschirmt ist. Dennoch gibt es verschiedene Methoden, mit denen ein entschlossener Hacker möglicherweise an Informationen über Ihr Netzwerk gelangen oder zumindest Ihren Zugang zum Internet stören oder lahm legen kann. Ein Firewall-Router bietet hier einen besseren Schutz.

Eine Firewall ist ein Gerät, das ein Netzwerk gegenüber einem anderen Netzwerk schützt und gleichzeitig die Kommunikation zwischen diesen Netzwerken zulässt. Eine Firewall umfasst die Funktionen eines NAT-Routers und bietet darüber hinaus zusätzliche Funktionen zur Abwehr eines Hackerangriffs. Verschiedene bekannte Arten von Angriffen werden dabei erkannt. Wenn die Firewall einen Vorfall feststellt, werden die Einzelheiten dieses Zugriffsversuchs in einem Protokoll aufgezeichnet; optional können diese Informationen als Benachrichtigung per E-Mail an einen Administrator gesendet werden. Mit Hilfe dieser Protokollinformationen kann der Administrator den ISP des Hackers kontaktieren und geeignete Maßnahmen einleiten. Bei manchen Angriffsversuchen ist die Firewall in der Lage, den Hackerangriff durch vorübergehendes Löschen aller von der IP-Adresse des Hackers gesendeten Pakete abzuwehren.

Im Gegensatz zu einfachen Internet-Routern verwendet eine Firewall einen Prozess zur Paketüberprüfung (die so genannte Stateful Packet Inspection), um eine sichere Firewall-Filterung zum Schutz Ihres Netzwerks gegen Angreifer und Eindringlinge zu gewährleisten. Da Benutzeranwendungen wie FTP- und Web-Browser komplexe Datenübertragungsmuster im Netzwerk erzeugen können, muss die Firewall den Netzwerkverbindungsstatus für verschiedene Gruppen überprüfen. Bei der Stateful Packet Inspection wird ein ankommendes Paket auf der Netzwerkschicht abgefangen und im Hinblick auf statusbezogene Informationen zu allen Netzwerkverbindungen untersucht. Ein zentraler Cache-Speicher in der Firewall verfolgt die Statusinformationen aller Netzwerkverbindungen. Der gesamte Verkehr, der die Firewall passiert, wird anhand des Status dieser Verbindungen untersucht, um festzustellen, ob die einzelnen Übertragungen und Nachrichten passieren dürfen oder abgewiesen werden.

Durch einen DoS-Angriff können Hacker unter Umständen die Funktions- oder Kommunikationsfähigkeit Ihres Netzwerks beeinträchtigen. Eine einfache Version eines derartigen Angriffs besteht darin, Ihre Website mit mehr Anfragen zu “bombardieren”, als die Website bearbeiten kann. Bei einem etwas subtileren Angriff könnte der Hacker versuchen, diverse Schwächen im Betriebssystem des Routers oder Gateways zu nutzen. Manche Betriebssysteme können durch einfache Zustellung eines Pakets mit falschen Längenangaben lahm gelegt werden.