Firewall (міжмережевий екран або мережевий екран) - комплекс апаратних чи програмних засобів, що здійснює контроль і фільтрацію мережевих пакетів, які проходять через нього, відповідно до заданих правил.
Основним завданням мережевого екрану є захист комп'ютерних мереж або окремих вузлів від несанкціонованого доступу. Також мережеві екрани часто називають фільтрами, так як їх основне завдання - не пропускати (фільтрувати) пакети, що не підходять під критерії, визначені в конфігурації.
Деякі мережеві екрани також дозволяють здійснювати трансляцію адрес - динамічну заміну внутрішньомережевих (сірих) адрес або портів на зовнішні, які використовуються за межами ЛВС.
Мережеві екрани поділяються на різні типи залежно від таких характеристик:
- чи забезпечує екран з'єднання між одним вузлом і мережею або між двома і більше різними мережами;
- на рівні яких мережевих протоколів відбувається контроль потоку даних;
- чи відслідковується стан активних з'єднань чи ні.
Залежно від рівня, на якому відбувається контроль доступу, існує поділ на мережеві екрани, що працюють на:
- мережевому рівні, коли фільтрація відбувається на основі адрес відправника і одержувача пакетів, номерів портів транспортного рівня моделі OSI та статичних правил, заданих адміністратором;
- сеансовом рівні (також відомі як stateful) - відстежують сеанси між додатками, не пропускають пакети, які порушують специфікації TCP/IP, та часто використовуються у зловмисних операціях - скануванні ресурсів, зломи через неправильні реалізації TCP/IP, обриви/уповільнення з'єднань, ін'єкції даних.
- рівні додатків, фільтрація на підставі аналізу даних програми, переданих всередині пакету. Такі типи екранів дозволяють блокувати передачу небажаної і потенційно небезпечної інформації на підставі політик і налаштувань.