Rozwiązania typu firewall można dzielić na wiele grup, uwzględniając zróżnicowane kryteria. Najbardziej podstawowym sposobem podziału będzie rozdzielenie dostępnych zapór na programowe i sprzętowe.

• Programowy firewall to rodzaj oprogramowania instalowanego na komputerze lub serwerze w przygotowanym środowisku. Zazwyczaj monitoruje ruch w obszarze jednego komputera w sieci LAN.
  Rozwiązaniem, które możemy zaliczyć do tej grupy, jest tzw. wirtualny firewall – zewnętrzna usługa dostępna za pośrednictwem chmury dostawcy. To ciekawa alternatywa dla spotykanych do tej pory firewalli instalowanych lokalnie na pojedynczych komputerach. Nie obciąża procesora i pamięci RAM komputera, a ponadto stanowi pierwszą linię ochrony sieci, tak samo, jak firewall sprzętowy.


• Sprzętowy firewall – to specjalistyczne i samodzielne urządzenie instalowane pomiędzy routerem brzegowym sieci LAN a siecią zewnętrzną (najczęściej łączem internetowym). Posiada własny procesor, pamięć RAM i system operacyjny. Do działania nie potrzebuje komputera-hosta, dlatego jego zaletą jest nieobciążanie zasobów serwera firmowego lub poszczególnych komputerów. Zadaniem takiego firewalla jest monitorowanie ruchu w całej sieci wewnętrznej, ale może też służyć jako serwer, tworząc sieć lokalną, lub pełnić funkcję routera. Sprzętowy firewall nie występuje wyłącznie w tej roli lecz posiada dodatkowe moduły – np. filtrowanie URL, program antyspamowy, antywirus, IDS/IPS i inne.

W praktyce często wykorzystuje się rozwiązanie łączące oba modele. Przy dużych wymaganiach dotyczących cyberbezpieczeństwa sieci firewalle programowy i sprzętowy wykorzystywane są jednocześnie do eliminowania ewentualnych luk w zabezpieczeniach.

Więcej o firewallu, jako ogólnym rozwiązaniu bezpieczeństwa, napisaliśmy w artykule: Firewall dla firm – co daje zapora sieciowa? Jakie są jej rodzaje i jaka najlepiej sprawdzi się w Twojej firmie?

Główną różnicą pomiędzy firewallem sprzętowym a programowym (chmurowym) jest sposób ich konfiguracji:

• Firewall, jako oprogramowanie zainstalowane centralnie w chmurze, jest dostępne bezpośrednio z lokalizacji dostawcy i współdzielone z innymi użytkownikami (z zachowaniem odrębności adresacji IP).


• Rozwiązania sprzętowe w postaci zarządzanego UTM posiadają oddzielny interfejs i realizują założenia polityki bezpieczeństwa dla całej sieci objętej ochroną. Urządzenie jest na stałe i fizycznie zainstalowane na styku sieci LAN z Internetem, skąd prowadzi monitoring ruchu lokalnie, a zarządzeniem usługą zajmują się specjaliści dostawcy.

Z podstawowej cechy konfiguracyjnej obu urządzeń wynika jeszcze jedna istotna różnica:

• Firewall sprzętowy stanowi pierwszą linię obrony, filtrując ruch przed jego wpuszczeniem do sieci i w razie rozpoznania niebezpieczeństwa blokuje ruch z routera brzegowego do sieci.


• W przypadku rozwiązań programowych (chmurowych) ruch jest kierowany bezpośrednio do zapory sieciowej nowej generacji, zlokalizowanej centralnie w chmurze dostawcy, gdzie zostaje przefiltrowany (i ewentualnie zablokowany), a następnie trafia do sieci firmowej.

Urządzenia klasy UTM oraz chmurowy firewall nowej generacji (NGFW) realizują podobne zadania, choć w nieco odmienny sposób:

• Sprzętowy UTM to wydajna metoda zapewniania wielowarstwowej ochrony wraz z możliwością otwierania szyfrowanych tuneli VPN, dzięki którym możemy łączyć się zdalnie z siecią firmową lub komunikować z innymi pracownikami (czego najczęściej nie umożliwiają zapory programowe).


• Firewall to narzędzie do filtrowania ruchu i głębokiej inspekcji danych, opakowane najczęściej w dodatkowe moduły, na przykład oprogramowanie antywirusowe, filtrowanie URL/DNS czy kontrolę dostępu aplikacji.

Z uwagi na fizyczną lokalizację UTM/zapory sprzętowej w siedzibie firmy, zabezpieczenie tego rodzaju może być czasowo niedostępne (np. w trakcie awarii sprzętu lub przerw w dostawie energii). Cloud firewall ma w tym obszarze sporą przewagę, zapewniając niemal nieprzerwaną ciągłość działania systemów bezpieczeństwa.