Firewall (zapora sieciowa) to urządzenie lub oprogramowanie, które monitoruje i filtruje przychodzący i wychodzący ruch sieciowy na podstawie wcześniej zdefiniowanych reguł. Jego zadanie to działać jako brama między zaufanymi sieciami (LAN firmowy) a niezaufanymi (internet) — przepuszczając legalny ruch i blokując wszystko podejrzane. Nowoczesne firewalle wychodzą daleko poza proste filtrowanie portów i IP: wykonują głęboką inspekcję pakietów, identyfikują aplikacje i użytkowników, integrują się z feedami threat intelligence i powstrzymują wyrafinowane ataki. Firewall jest fundamentem bezpieczeństwa sieci obok EDR/XDR dla endpointów i IAM dla tożsamości.

Sześć typowych typów wg możliwości: (1) **Packet-filtering firewall** — podstawowy, decyzje na podstawie IP i portu (samodzielnie w zasadzie przestarzały), (2) **Stateful firewall** — śledzi aktywne połączenia, blokuje niezamówiony ruch przychodzący; standard przez wiele lat, (3) **NGFW (Next-Generation Firewall)** — nowoczesny standard enterprise; łączy stateful firewall z głęboką inspekcją pakietów, identyfikacją aplikacji (App-ID), tożsamością użytkownika (User-ID), IPS, threat intelligence, sandboxing, (4) **WAF (Web Application Firewall)** — firewall na warstwie aplikacji chroniący web aplikacje przed SQL injection, XSS, OWASP Top 10 (Cloudflare, AWS WAF, Azure WAF, Imperva), (5) **Cloud-native firewall** — natywny dostawcy (AWS Network Firewall, Azure Firewall, GCP Cloud Armor) lub firm trzecich (Palo Alto VM-Series, Fortinet FortiGate-VM), (6) **Host-based firewall** — działa na pojedynczych hostach (Windows Defender Firewall, iptables/nftables na Linuksie).

NGFW to nowoczesny standard firewalla enterprise. Poza stateful packet inspection, dostarcza: (1) **Identyfikacja aplikacji** (App-ID) — rozpoznaje 4000+ aplikacji niezależnie od portu, (2) **Identyfikacja użytkownika** (User-ID) — stosuje politykę per użytkownik/grupa przez Active Directory lub SAML, (3) **Zintegrowany IPS** (Intrusion Prevention System) — sygnaturowa i behawioralna detekcja zagrożeń, (4) **Deszyfrowanie SSL/TLS** — inspekcja zaszyfrowanego ruchu (z implikacjami prywatności), (5) **Sandbox detonation** — uruchamia podejrzane pliki w izolacji, (6) **Threat intelligence** — feedy dostawcy i firm trzecich, (7) **DNS security** — blokuje DNS do znanych złośliwych domen, (8) **DLP** (Data Loss Prevention) — wykrywa wrażliwe dane wychodzące z sieci. Top dostawcy NGFW 2026: Palo Alto Networks, Fortinet (FortiGate), Check Point, Cisco Secure Firewall, Juniper SRX, Sophos XG, WatchGuard.

Różne przypadki użycia, oba potrzebne: (1) **Hardware firewall (appliance)** — dedykowane urządzenie fizyczne, wdrażane na perimetrze sieci lub między segmentami, wysoki throughput (10-400+ Gbps), purpose-built ASIC dla wydajności; standard na brzegach WAN, w centrach danych, oddziałach, (2) **Software firewall** — działa jako VM (Palo Alto VM-Series, FortiGate-VM, Check Point CloudGuard) lub kontener; standard dla obciążeń chmurowych, środowisk rozproszonych, gdzie zakup sprzętu jest niepraktyczny, (3) **Cloud-native firewall** — zarządzany przez dostawcę chmury (AWS Network Firewall, Azure Firewall), brak infrastruktury do zarządzania ale uzależnienie od dostawcy. Większość firm używa miksu: hardware appliances w fizycznych lokalizacjach, software firewalle w chmurze, host-based firewalle wszędzie.

Pięciu liderów rynku: (1) **Palo Alto Networks** — premium NGFW z silną integracją z chmurą i zero trust, lider rynku w enterprise; drogi, (2) **Fortinet (FortiGate)** — silny stosunek cena/wydajność, szerokie portfolio (firewall, SD-WAN, EDR, SIEM), najpopularniejszy w mid-market, (3) **Check Point** — silny w branżach regulowanych (finanse, sektor publiczny), Quantum i Maestro hyperscale architecture, (4) **Cisco Secure Firewall** (dawniej ASA, Firepower) — silna baza istniejących klientów, integracja z stackiem sieciowym Cisco, (5) **Sophos XG / XGS** — fokus mid-market, zintegrowany XDR. Inne istotne: WatchGuard, SonicWall, Barracuda, Juniper SRX, Forcepoint. Dla cloud-native: AWS, Azure, GCP własne firewalle plus firmy trzecie (Aviatrix). Kryteria wyboru: potrzeby throughput, integracja z istniejącym stackiem bezpieczeństwa, strategia chmurowa, wymogi regulacyjne.

Appliance hardware'owe od 2k PLN (mała firma) do 2M+ PLN (centrum danych). Przybliżone zakresy 2026: SMB hardware (FortiGate 60F, SonicWall TZ370) — 2-6 tys. PLN + ~1k/rok subskrypcje; Mid-market (Palo Alto PA-440, FortiGate 100F) — 20-60 tys. PLN + 8-20k/rok; Enterprise (Palo Alto PA-3220, FortiGate 600F) — 80-300 tys. PLN + 40-130k/rok; Centrum danych (Palo Alto PA-7000 series) — 800k-4M+ PLN. Firewalle chmurowe — płatność godzinowa (AWS Network Firewall ~0,395 USD/godz + dane przetworzone) lub stała opłata VM (Palo Alto VM-Series — 20-200k PLN/rok per instance). Subskrypcje threat intelligence, sandboxing, deszyfrowanie SSL zwykle dodają 30-100% do kosztu sprzętu.

WAF (Web Application Firewall) to firewall warstwy aplikacji specjalnie zaprojektowany do ochrony web aplikacji przed typowymi atakami — OWASP Top 10 (SQL injection, XSS, broken authentication), DDoS (HTTP flood), nadużycia botów, nadużycia API. Tam gdzie firewall sieciowy widzi IP/port i pakiety, WAF rozumie HTTP/HTTPS, logikę aplikacji, sesje użytkowników i kontrakty API. Trzy modele wdrożenia: (1) **Cloud WAF** — Cloudflare, AWS WAF, Azure WAF, Akamai App & API Protector — najłatwiejszy w wdrożeniu przez CDN/DNS, (2) **Software WAF** — ModSecurity, NAXSI, Open AppSec — działa obok aplikacji, (3) **Hardware WAF** — F5 BIG-IP ASM, Imperva — dedykowane appliance, głównie legacy. Większość nowoczesnych wdrożeń używa Cloud WAF jako pierwszej linii, z kontrolami na poziomie aplikacji (walidacja inputu, prepared statements, CSP) jako defense in depth.

Osiem praktyk: (1) **Default deny** — blokuj cały ruch przychodzący domyślnie, zezwól na konkretne wyjątki, (2) **Reguły o najmniejszych uprawnieniach** — wąskie source/destination/port, brak reguł 'any-any-any', (3) **Regularny audyt reguł** — większość firm ma setki do tysięcy reguł, audytuj kwartalnie żeby usuwać przestarzałe, (4) **Segmentacja sieci** — oddzielne sieci użytkowników, serwerów, IoT, OT, gości, DMZ; ograniczaj ruch między segmentami, (5) **Logowanie i monitoring** — loguj wszystkie deny i ważne allow, integruj z SIEM, (6) **Zarządzanie patchami** — podatności firewalli (Fortinet, Palo Alto, Cisco, Citrix) są top wektorem ransomware; patchuj w 24h od krytycznej CVE, (7) **Backup konfiguracji** — version control reguł firewalla, testuj restore, (8) **Nie wystawiaj interfejsów zarządzania** do internetu — używaj jump hosta, VPN lub modelu cloud-managed dostawcy.