En distribuerad brandvägg är ett mjukvarusystem som används för att skydda nätverksanslutna datorer från obehörig åtkomst och potentiell installation av skadlig programvara. Detta påminner lite om en traditionell eller perimeterbrandvägg, men snarare än att etablera topografi för åtkomst och förtroende i ett nätverk, ger det individuella systemskydd. En distribuerad brandvägg fungerar i huvudsak genom programvara som ”distribueras” till varje dator i ett nätverk, som sedan kommunicerar med ett centralt kontrollsystem. Godkännande för åtkomst till användare eller olika nätverksportar utfärdas sedan på individuell basis till varje dator och användare, snarare än till nätverket som helhet.
Grundtanken bakom en distribuerad brandvägg är att ett system ska ha skydd vid varje klient eller dator i ett nätverk. Ett traditionellt brandväggssystem, ibland kallat en perimeterbrandvägg, fungerar genom att ge skydd för ett helt nätverk på router- eller modemnivå. Till exempel, om det finns fem datorer i ett nätverk, som alla är anslutna till en router som ger dem tillgång till Internet, så har routern sannolikt den primära brandväggen för det nätverket.
Allt inom routerns ”vägg”, de fem datorerna, anses säkert och pålitligt. Dessa datorer eller system utanför denna ”vägg” anses vara osäkra och inte i sig betrodda. Detta kallas topografi, eftersom det skapar en ”insida” och ”utsida” som är säkra och osäkra zoner.
I motsats till detta fungerar en distribuerad brandvägg på individuell nivå utan att etablera någon form av topografi för nätverket. Varje dator har programvara på sig som fungerar som en brandvägg, som har ”distribuerats” över hela nätverket snarare än isolerad på ett enda system. En central styrenhet för denna distribuerade brandvägg etableras sedan på en terminal, vanligtvis den som används för systemadministration.
Behörigheter för åtkomstkontroller och portanslutningar går sedan via varje enskild dator, som hämtar en förfrågan från kontrollsystemet. En distribuerad brandvägg använder ett system av ”policyer” som identifierar användare och portar som kan anslutas till av ett system. Dessa policyer underhålls på administratörsdatorn och skickas till de andra systemen för att indikera vilka filer eller portar på ett nätverk som är säkra eller pålitliga. Detta ger varje dator i ett nätverk individuell säkerhet från en attack, även från en som kan komma inifrån nätverket och perimeterbrandväggen.
Nätverk bör vanligtvis använda både en perimeter och en distribuerad brandvägg för att säkerställa optimal säkerhet. Omkretsen möjliggör mer utbredd kontroll över ett system och avleder ett brett spektrum av potentiella attacker. Användning av en distribuerad brandvägg ger dock ytterligare säkerhet och möjliggör skydd mot mer exakta och riktade attacker.