A tűzfalak olyan hálózati biztonsági rendszerek, amelyek figyelik, nyomon követik és szabályozzák a hálózati forgalmat. Általában a bejövő, kimenő és helyi (azaz magának a tűzfalnak szánt) forgalomra vonatkoznak. A legkorábbi tűzfalak úgynevezett Stateless tűzfalak, amik az OSI 2. 3. és 4. rétegének információ alapján szűrik a csomagokat, például a forrás és cél címek vagy port számok alapján.
A Stateful tűzfal nyomon követi a kapcsolatok állapotát a forrás-cél IP , port és a kapcsolatjelzők alapján. Valójában csak a TCP kapcsolatok állapotát tudja követni, mert a TCP használ jelzőket (flag) a csomag fejlécekben. Nézzünk meg példának egy TCP alapú kommunikációt. (3-way handshake diagram) A kliens gép megnyit egy weboldalt. Amikor a tűzfal látja a kliens kezdeti csomagját, rögzíti a forrás-cél IP címeket, portszámokat és a TCP SYN jelzőt. Amikor a kiszolgáló válaszol SYN-ACK üzenettel, a tűzfal megkeresi az állapot táblázatában, hogy van-e egyező bejegyzés a kapcsolathoz. Mivel már rögzítette a SYN-t a klienstől, így a csomag edélyezett lesz. Ha a tűzfal RST vagy FIN-ACK csomagot lát, megjelöli a kapcsolat állapotát törlésre, és az ehhez kapcsolódó minden jövőbeni csomag elutasításra kerül. Az UDP folyamatok esetében nyomon követi a forrás-cél IP-címeket és portokat, és időtúllépési értéket társít az utolsó csomag alapján, hogy eltávolíthassa az elavult munkamentet az állapot táblából. Az UDM/USG a fejlettebb Stateful tűzfalat használja.
Az UniFi tűzfalszabályok a hálózat típusa alapján vannak csoportosítva, melyekre vonatkoznak:
Internet : az internetes hálózatra vonatkozó IPv4 tűzfalszabályok
LAN : a helyi hálózatra vonatkozó IPv4 tűzfalszabályok
Guest : a vendég hálózatra vonatkozó IPv4 tűzfalszabályok
Internet v6: az internetes hálózatra vonatkozó IPv6 tűzfalszabályok
LAN v6 : a helyi hálózatra vonatkozó IPv6 tűzfalszabályok
Guest v6 : a vendég hálózatra vonatkozó IPv6 tűzfalszabályok
A hálózat típusán kívül a tűzfalszabályok irányra is vonatkoznak:
Local : magának az UDM/USG-nek szánt forgalomra vonatkozik (pl. DNS, DHCP)
In : az interfészre érkező, majd a routeren áthaladó forgalom
Out : olyan forgalom, amely már áthaladt a routeren és elhagyja a interfészt
A tűzfalszabályok az irány és a hálózat típusa mellett egy állapothoz is köthetőek:
New : új kapcsolatot kérő csomag, például http kérés (SYN csomag, amely egy TCP adatfolyamot indít)
Established : egy meglévő kapcsolat részét képező csomag (a válaszként érkezett SYNACK csomag)
Related : a csomag amelyik új kapcsolatot kér, de egy már meglévő kapcsolat része. Például az FTP a 21-es portot használja a kapcsolat létrehozásához, de az adatok átvitele egy másik porton történik.
Invalid : az a csomag, amely nem része egyetlen kapcsolatnak sem a connection tracking táblában.
A tűzfalszabályokat célszerű mindig a lehető legközelebb elhelyezni a forgalom forrásához. Jellemzően arra az interfészre kell alkalmazni a szabályokat amelyre a forgalom érkezik, mert a csomagokat meg szeretnénk állítani, mielőtt áthaladnának a tűzfalon, és routolva lennének.
Néhány példa a forgalom irányára:
Egy internet felől érkező forgalom: Internet In --> routing --> LAN Out
Egy weboldal felkeresése a helyi hálózatból: LAN In --> routing --> Internet Out
Két helyi hálózat közötti forgalom: LAN In --> routing --> LAN Out