Själv har jag en Netgear FM114PGE. Den har trådlöst nätverk samt en brandvägg med stateful packet inspection, dvs den tittar på varje paket som kommer in och avgör om paketets innehålla är ok. "Vanliga" bredbandsgateways har oftast bara NAT, en teknik som också kollar på paketen, men på ett mycket enklare sätt.
NAT
Den "brandväggsfunktion" som de flesta bredbandsgateways har är NAT(Network Address Translation).
NAT är en teknik som, liksom namnet antydyder, översätter ip-addresser.
Normalt sett när du har en bredbandsuppkoppling får du tillgång till en ip-address (antingen en statisk eller en dynamiskt tilldelad). För att kunna använda flera datorer så använder du en bredbandsrouter, och det är just här NAT kommer in i bilden. Bredbandsrouterns "ena sida" får den tillgängliga ip-addressen, medans den "andra sidan" kopplas mot de datorer du vill ansluta. Dina datorer får varsin egen ip-adress, antingen av bredbandsgatewayens DHCP-server(Dynamic Host Configuration Protocol) eller så ställer du in det själv på varje dator.
NAT är den funktionen i bredbandsgatewayen som ser till att du kan skicka information(t ex en begäran av en websida) till internet och att sedan iformationen som kommer tillbaka (websidan som begärdes) skickas till just den dator som ville ha den. Från utsidan ser det ut som att all trafik kommer ifrån en ip-adress trots att det finns flera datorer bakom bredbandsgatewayen.
Det som kan kallas brandväggsfunktion i NAT är just den "bieffekt" som tekniken har. Det går inte att nå en specifik dator bakom bredbandsgatewayen just på grund av att dessa ip-adresser inte syns utifrån.
Port forwarding
För att råda bot på denna bieffekt (om du t ex har en server som du vill att folk utifrån skall kunna komma åt) finns det något som kalla port forwarding. Port forwarding ser till att alla förfrågningar som kommer till en viss port, tex http(web), port 80 skickas till en specifik ip-address inom det interna nätverket - din webserver.
Den här tekniken fungerar riktigt bra för att skydda datorer ifrån intrång utifrån om den fungerar som den ska. Det som möjligtvis är nackdelen är att de packet som skickas kan innehålla vad som helst. Om du tex har en server som du har aktiverat portforwarding till på ett par portar så kan någon skicka tex en ping of death eller något annat obehagligt och det enda som kan hindra skadan är att din server kan hantera ping of death.
SPI
Har man däremot en bredbandsgateway med SPI (Stateful Packet Instpection) så tittar den på alla packet som kommer in och ser till att det inte är något obehagligt som kommer in. Det är även möjligt att reglera så att t ex förfrågningar till t ex www.microsoft.com stoppas innan de kommit ut. Man har alltså en helt annan kontroll över trafiken.
Länkar
Ett par websidor med information om teknikerna nämnda ovan finns här:
NAT
DHCP
SPI (firewalls.com)
SPI (sonicwall)
Macs and the "Ping Of Death"
Teardrop
Denial of Service Attacks (pdf)
/arvid