Podemos clasificar los cortafuegos de muchas formas diferentes: por diseñador/vendedor/marca, características, o mediante el modelo de arquitectura.
- Modelos hardware vs software
- Modelos Host vs red
Modelo hardware vs software
En la primera clasificación se discute que los cortafuegos pueden ser software o hardware. Aunque es una terminología estándar, no es completamente exacta. Todos los cortafuegos consisten en ambos, software y hardware. La distinción es únicamente según como el producto es comercializado. Los cortafuegos software se venden como aplicaciones/programas que pueden instalarse en un sistema operativo y plataforma hardware estándar. Mientras que los hardware se venden como un 'acuerdo de conjunto', con el cortafuegos software preinstalado en un hardware específico, con frecuencia ejecutándose sobre un sistema operativo propietario diseñado sin otro propósito que el de ejecutar lel propio cortafuegos.
Modelo hardware
Si compramos un cortafuegos basado en hardware como una sola unidad: hardware (frecuentemente se denominan 'appliance') con el software preinstalado. La mayoría de cortafuegos hardware se ejecutan bajo un sistema operativo propietario diseñado específicamente para el propio cortafuegos, aunque algunos lo hacen sobre Linux o BSD. Los propietarios del sistema no incluyen muchos de los servicios de red que encontraríamos en un SO de propósito general. Esto se considera una ventaja de seguridad en el que el sistema operativo está automáticamente fortificado e invulnerable a algunos exploits que pueden ser utilizados contra los SO de propósito general.
Un appliance es una caja autosuficiente diseñada para un propósito específico. Algunos en la actualidad sirven para más de un propósito, y estos con frecuencia son denominados como 'appliances de seguridad' dentro de 'appliances de cortafuegos' por sus distribuidores. Muchos de éllos incluyen funcionalidad de VPN acompañando al cortafuegos, y otros también incluyen funcionalidades como caché web. Algunos distribuidores venden componentes de hardware diferentes (llamados security blades) que se conectan al chasis del cortafuegos.
Algunos appliances son básicamente PCs, con los mismos tipos de disco duro, memoria y otros componentes como un PC estándar. Otros se les llama "solid state" porque prácticamente no tienen partes movibles. Utilizan memorias flash sin disco duro. Desde circuitos de alta velocidad en lugar de discos mecanicos hacen el almacenamiento más rápido.
Una ASIC (Application Specific Integrated Circuit) es un chip creado para controlar las funciones de una aplicación en particular. Los cortafuegos basados en esto utilizan un chip diseñado expresamente para ellos.
Los cortafuegos hardware tienen ventajas y desventajas. La tecnología solid state y el uso de sistemas operativos optimizados sin servicios innecesarios permiten un remdimiento más rápido. También proporcionan mayor fiabilidad porque no hay puntos de fallos mecánicos como los basados en discos duros.
Sin embargo, son menos adaptables y más difíciles de actualizar. Porque los chips son producidos masivamente y porque el costo de rediseño de hardware se toma mucho tiempo para cambiar y adaptarse a las novedades. Un PC estándar que ejecute un cortafuegos casi siempre cuesta menos que un appliance con el mismo procesador y memoria. Como suma, los cortafuegos basados en software pueden intregarse con mayor facilidad con otros dispositivos de red, que usan las mismas tecnologías que el cortafuegos.
Otra ventaja de la tecnología ASIC son los algoritmos de cifrado para VPN y SSL grabados en el propio chip, que está siendo contestada por el hecho que Intel ha iniciado la construcción de algoritmos de cifrado dentro de sus chips regulares que pueden ser utilizados por los cortafuegos basados en software.
Finalmente, la naturaleza dinámica y la complejidad de los algoritmos utilizados para filtrado de la capa de aplicación lo hacen menos conveniente para la tecnología ASIC. Algunas comparaciones de rendimiento han revelado que los productos basados en software tienen ambas ventajas ,rendimiento y fiabilidad, sobre los basados en ASIC.