फायरवॉल कैसे काम करता है: नेटवर्क सुरक्षा का व्यावहारिक गाइड
Last updated: अप्रैल 9, 2026
फायरवॉल क्या है, यह कैसे ट्रैफिक को फिल्टर करता है, और विभिन्न प्रकार की फायरवॉल कैसे अलग-अलग काम करती हैं।
कल्पना कीजिए कि आपका घर एक नेटवर्क है। बाहर की दुनिया से आने वाली हर चीज़ — चाहे वह आपका दोस्त हो या अजनबी — आपके दरवाज़े पर रुकती है। दरवाज़े पर एक सुरक्षाकर्मी खड़ा है जो देखता है कि कौन है, वह क्या चाहता है, और क्या वह अंदर आ सकता है। यह सुरक्षाकर्मी फायरवॉल की तरह है। लेकिन डिजिटल दुनिया में, ट्रैफिक (डेटा) इंसान नहीं है — यह संदेशों की लाखों छोटी-छोटी इकाइयाँ हैं जिन्हें "पैकेट" कहते हैं। फायरवॉल का काम इन पैकेटों को देखना, उनका विश्लेषण करना, और तय करना है कि कौन से आगे जा सकते हैं और कौन से रोके जाएँ।
फायरवॉल क्या है: दो नेटवर्क के बीच एक गेटकीपर
तकनीकी रूप से, फायरवॉल दो नेटवर्क के बीच एक सॉफ्टवेयर या हार्डवेयर डिवाइस है जो इनकमिंग और आउटगोइंग डेटा को नियंत्रित करता है। आपके घर का इंटरनेट राउटर (वह डिवाइस जो आपको WiFi देता है) में एक बिल्ट-इन फायरवॉल होता है। आपके लैपटॉप या फोन के ऑपरेटिंग सिस्टम में भी एक फायरवॉल होता है। बड़ी कंपनियों के पास शक्तिशाली एंटरप्राइज़ फायरवॉल होते हैं जो उनके पूरे नेटवर्क की रक्षा करते हैं। सभी का मूल सिद्धांत एक जैसा है: ट्रैफिक को देखो, नियम लागू करो, और फैसला करो।
पैकेट फिल्टरिंग: सबसे बुनियादी स्तर
सबसे सरल फायरवॉल "पैकेट फिल्टरिंग" करता है। हर पैकेट में एक पता होता है — जैसे एक चिट्ठी का पता। पैकेट में source address (भेजने वाला) और destination address (प्राप्तकर्ता) होता है। इसके अलावा, पैकेट को एक "पोर्ट" नंबर भी दिया जाता है, जो बताता है कि यह किस सेवा के लिए है। उदाहरण के लिए, जब आप किसी वेबसाइट पर जाते हैं, तो आपका ब्राउज़र पोर्ट 80 या 443 पर कनेक्ट करता है। जब आप ईमेल भेजते हैं, तो पोर्ट 587 इस्तेमाल हो सकता है।
एक बुनियादी पैकेट-फिल्टरिंग फायरवॉल इस तरह का नियम बना सकता है: "पोर्ट 443 से आने वाले सभी पैकेट ब्लॉक करो" या "IP address 192.168.1.100 से सभी कनेक्शन allow करो।" इस तरह का फायरवॉल बहुत तेज़ है क्योंकि यह पैकेट के सिर्फ बाहरी हिस्से को देखता है। लेकिन इसमें एक बड़ी कमी है: यह नहीं जानता कि आपने पहले पोर्ट 443 पर कनेक्ट करने की कोशिश की थी। आप एक वेबसाइट से जुड़ते हैं, फिर एक हमलावर का पैकेट आता है और कहता है कि वह उसी कनेक्शन का हिस्सा है — पैकेट फिल्टर इसे allow कर सकता है।
Stateeful फायरवॉल: कनेक्शन का ट्रैक रखना
इसलिए अधिकांश आधुनिक फायरवॉल "stateful" हैं। "State" का मतलब है कि फायरवॉल कनेक्शन को याद रखता है। जब आप किसी server से जुड़ते हैं, फायरवॉल कहता है: "ठीक है, यह IP address इस server के साथ जुड़ गया है।" फिर जो भी पैकेट इस कनेक्शन का हिस्सा है (सही sequence numbers के साथ), उसे allow किया जाता है। अगर कोई अजनबी पैकेट आता है और कहता है कि वह इसी कनेक्शन का हिस्सा है, लेकिन sequence numbers गलत हैं, तो फायरवॉल उसे रोक देता है।
यह एक डाकघर की तरह है जो हर चिट्ठी को नोट करता है: "यह व्यक्ति मुझसे A को B को भेजने के लिए कहा है।" जब B का जवाब आता है, तो डाकघर जानता है कि यह expected है। लेकिन अगर कोई अजनबी पत्र आता है और कहता है कि वह इसी कनेक्शन का जवाब है, तो डाकघर संदेह करता है।
अनुप्रयोग-स्तरीय फायरवॉल: HTTP, DNS, और उससे परे
लेकिन यहाँ समस्या है: एक stateful फायरवॉल सिर्फ IP address और port देखता है। यह नहीं जानता कि उस port पर क्या डेटा भेजा जा रहा है। कल्पना कीजिए कि आपका बॉस आपको एक संदिग्ध website से काम की जानकारी डाउनलोड करने के लिए कहे। IP address और port तो valid दिखते हैं, लेकिन actual data malicious है।
इसलिए कुछ फायरवॉल "application-layer" inspection करते हैं। ये फायरवॉल actual content को समझते हैं। उदाहरण के लिए, एक HTTP-aware फायरवॉल देख सकता है: "यह request एक PDF file मांग रहा है, लेकिन response एक executable file भेज रहा है — यह गलत है।" या DNS-aware फायरवॉल देख सकता है: "यह domain name कुछ अजीब जगह को resolve कर रहा है।"
यह ज्यादा शक्तिशाली है, लेकिन एक कीमत है: CPU का ज्यादा उपयोग। हर पैकेट को गहराई से देखने में समय लगता है।
घर, ऑपरेटिंग सिस्टम, और राष्ट्र-स्तरीय फायरवॉल
आपके राउटर में आमतौर पर एक साधारण stateful फायरवॉल होता है। आपके कंप्यूटर या फोन में एक OS-level फायरवॉल होता है जो सिर्फ उस डिवाइस की सुरक्षा करता है। बड़ी कंपनियों के पास layered फायरवॉल होते हैं — कई फायरवॉल एक दूसरे के बाद।
लेकिन कुछ सरकारें (जैसे चीन की Great Firewall) राष्ट्र-स्तरीय फायरवॉल चलाती हैं जो पूरे देश का सभी इंटरनेट ट्रैफिक नियंत्रित करता है। यह एक विशाल stateful फायरवॉल है जिसमें "Deep Packet Inspection" (DPI) भी है — यानी यह actual content को समझता है। यह न सिर्फ यह देखता है कि आप किससे बात कर रहे हैं, बल्कि यह समझता है कि आप क्या कह रहे हैं।
मुख्य बातें: फायरवॉल एक सुरक्षा उपकरण है, जादू नहीं
फायरवॉल एक महत्वपूर्ण सुरक्षा उपकरण है, लेकिन यह सर्वशक्तिमान नहीं है। यह बाहर से आने वाले खतरों को रोकता है, लेकिन अगर आप खुद एक malicious file डाउनलोड करते हैं, तो फायरवॉल आपको नहीं बचा सकता। यह एक गेटकीपर है, एक bodyguard नहीं। साथ ही, जो भी जानकारी फायरवॉल के through जाती है (जब तक वह allow नहीं है), उसके बारे में वह जान सकता है — यह ध्यान रखना महत्वपूर्ण है।
आगे क्या सीखें: encryption, VPN, और threat modeling के बारे में पढ़ें। फायरवॉल सुरक्षा का सिर्फ एक हिस्सा है।
फायरवॉल क्या है: दो नेटवर्क के बीच एक गेटकीपर
तकनीकी रूप से, फायरवॉल दो नेटवर्क के बीच एक सॉफ्टवेयर या हार्डवेयर डिवाइस है जो इनकमिंग और आउटगोइंग डेटा को नियंत्रित करता है। आपके घर का इंटरनेट राउटर (वह डिवाइस जो आपको WiFi देता है) में एक बिल्ट-इन फायरवॉल होता है। आपके लैपटॉप या फोन के ऑपरेटिंग सिस्टम में भी एक फायरवॉल होता है। बड़ी कंपनियों के पास शक्तिशाली एंटरप्राइज़ फायरवॉल होते हैं जो उनके पूरे नेटवर्क की रक्षा करते हैं। सभी का मूल सिद्धांत एक जैसा है: ट्रैफिक को देखो, नियम लागू करो, और फैसला करो।
पैकेट फिल्टरिंग: सबसे बुनियादी स्तर
सबसे सरल फायरवॉल "पैकेट फिल्टरिंग" करता है। हर पैकेट में एक पता होता है — जैसे एक चिट्ठी का पता। पैकेट में source address (भेजने वाला) और destination address (प्राप्तकर्ता) होता है। इसके अलावा, पैकेट को एक "पोर्ट" नंबर भी दिया जाता है, जो बताता है कि यह किस सेवा के लिए है। उदाहरण के लिए, जब आप किसी वेबसाइट पर जाते हैं, तो आपका ब्राउज़र पोर्ट 80 या 443 पर कनेक्ट करता है। जब आप ईमेल भेजते हैं, तो पोर्ट 587 इस्तेमाल हो सकता है।
एक बुनियादी पैकेट-फिल्टरिंग फायरवॉल इस तरह का नियम बना सकता है: "पोर्ट 443 से आने वाले सभी पैकेट ब्लॉक करो" या "IP address 192.168.1.100 से सभी कनेक्शन allow करो।" इस तरह का फायरवॉल बहुत तेज़ है क्योंकि यह पैकेट के सिर्फ बाहरी हिस्से को देखता है। लेकिन इसमें एक बड़ी कमी है: यह नहीं जानता कि आपने पहले पोर्ट 443 पर कनेक्ट करने की कोशिश की थी। आप एक वेबसाइट से जुड़ते हैं, फिर एक हमलावर का पैकेट आता है और कहता है कि वह उसी कनेक्शन का हिस्सा है — पैकेट फिल्टर इसे allow कर सकता है।
Stateeful फायरवॉल: कनेक्शन का ट्रैक रखना
इसलिए अधिकांश आधुनिक फायरवॉल "stateful" हैं। "State" का मतलब है कि फायरवॉल कनेक्शन को याद रखता है। जब आप किसी server से जुड़ते हैं, फायरवॉल कहता है: "ठीक है, यह IP address इस server के साथ जुड़ गया है।" फिर जो भी पैकेट इस कनेक्शन का हिस्सा है (सही sequence numbers के साथ), उसे allow किया जाता है। अगर कोई अजनबी पैकेट आता है और कहता है कि वह इसी कनेक्शन का हिस्सा है, लेकिन sequence numbers गलत हैं, तो फायरवॉल उसे रोक देता है।
यह एक डाकघर की तरह है जो हर चिट्ठी को नोट करता है: "यह व्यक्ति मुझसे A को B को भेजने के लिए कहा है।" जब B का जवाब आता है, तो डाकघर जानता है कि यह expected है। लेकिन अगर कोई अजनबी पत्र आता है और कहता है कि वह इसी कनेक्शन का जवाब है, तो डाकघर संदेह करता है।
अनुप्रयोग-स्तरीय फायरवॉल: HTTP, DNS, और उससे परे
लेकिन यहाँ समस्या है: एक stateful फायरवॉल सिर्फ IP address और port देखता है। यह नहीं जानता कि उस port पर क्या डेटा भेजा जा रहा है। कल्पना कीजिए कि आपका बॉस आपको एक संदिग्ध website से काम की जानकारी डाउनलोड करने के लिए कहे। IP address और port तो valid दिखते हैं, लेकिन actual data malicious है।
इसलिए कुछ फायरवॉल "application-layer" inspection करते हैं। ये फायरवॉल actual content को समझते हैं। उदाहरण के लिए, एक HTTP-aware फायरवॉल देख सकता है: "यह request एक PDF file मांग रहा है, लेकिन response एक executable file भेज रहा है — यह गलत है।" या DNS-aware फायरवॉल देख सकता है: "यह domain name कुछ अजीब जगह को resolve कर रहा है।"
यह ज्यादा शक्तिशाली है, लेकिन एक कीमत है: CPU का ज्यादा उपयोग। हर पैकेट को गहराई से देखने में समय लगता है।
घर, ऑपरेटिंग सिस्टम, और राष्ट्र-स्तरीय फायरवॉल
आपके राउटर में आमतौर पर एक साधारण stateful फायरवॉल होता है। आपके कंप्यूटर या फोन में एक OS-level फायरवॉल होता है जो सिर्फ उस डिवाइस की सुरक्षा करता है। बड़ी कंपनियों के पास layered फायरवॉल होते हैं — कई फायरवॉल एक दूसरे के बाद।
लेकिन कुछ सरकारें (जैसे चीन की Great Firewall) राष्ट्र-स्तरीय फायरवॉल चलाती हैं जो पूरे देश का सभी इंटरनेट ट्रैफिक नियंत्रित करता है। यह एक विशाल stateful फायरवॉल है जिसमें "Deep Packet Inspection" (DPI) भी है — यानी यह actual content को समझता है। यह न सिर्फ यह देखता है कि आप किससे बात कर रहे हैं, बल्कि यह समझता है कि आप क्या कह रहे हैं।
मुख्य बातें: फायरवॉल एक सुरक्षा उपकरण है, जादू नहीं
फायरवॉल एक महत्वपूर्ण सुरक्षा उपकरण है, लेकिन यह सर्वशक्तिमान नहीं है। यह बाहर से आने वाले खतरों को रोकता है, लेकिन अगर आप खुद एक malicious file डाउनलोड करते हैं, तो फायरवॉल आपको नहीं बचा सकता। यह एक गेटकीपर है, एक bodyguard नहीं। साथ ही, जो भी जानकारी फायरवॉल के through जाती है (जब तक वह allow नहीं है), उसके बारे में वह जान सकता है — यह ध्यान रखना महत्वपूर्ण है।
आगे क्या सीखें: encryption, VPN, और threat modeling के बारे में पढ़ें। फायरवॉल सुरक्षा का सिर्फ एक हिस्सा है।
🛡️
Recommended VPN Services
Top-rated VPNs trusted by millions
N
NordVPN
⭐ संपादक की पसंद
★★★★★ 9.5/10 · 6,000+ servers · चीन में काम करता है
$3.39/mo
View Deal →
S
Surfshark
BEST VALUE
★★★★★ 9.6/10 · Unlimited devices
$2.49/mo
View Deal →
E
ExpressVPN
PREMIUM
★★★★★ 9.4/10 · 94 countries
$6.67/mo
View Deal →
Disclosure: SaveClip may earn a commission when you sign up through our links. This helps us keep our tools free for everyone.