Tường lửa lọc gói (packet filtering firewall hay stateless firewall).
Nguyên lý của các bức tƣờng lửa lọc gói là đọc tất cả các thông tin trong tiêu đề của các gói dữ liệu IP luân chuyển qua bức tƣờng lửa, và dựa trên các thông tin này để quyết định chấp nhận (accept) hay loại bỏ gói dữ liệu (drop). Nhƣ vậy, khi thiết lập các quy tắc lọc gói của tƣờng lửa, ngƣời quản trị mạng phải căn cứ trên các thông tin sau đây:
- Địa chỉ IP, bao gồm địa chỉ IP của máy gửi và địa chỉ IP của máy nhận (source IP address và destination IP address).
- Số cổng kết nối (port number), bao gồm cả cổng của máy gửi và cổng của máy nhận (source port và destination port).
- Giao thức kết nối (protocol), ví dụ TCP, UDP hay ICMP.
Tƣờng lửa lọc gói chỉ phân tích tiêu đề của gói IP, không phân tích nội dung gói và do đó không có khả năng ngăn chặn truy xuất theo nội dung dữ liệu.
Tƣờng lửa lọc gói hữu ích trong các trƣờng hợp muốn ngăn chặn một hoặc một số cổng xác định nào đó, từ chối một hoặc một số địa chỉ IP xác định hoặc một giao thức xác định nào đó (ví dụ ICMP). Trong thực tế, các tấn công xâm nhập thƣờng đƣợc thực hiện thông qua các cổng khác với các cổng dịch vụ phổ biến.
Tường lửa lớp ứng dụng (Application Layer gateway):
Hoạt động của tƣờng lửa lớp ứng dụng tƣơng tự nhƣ tƣờng lửa lọc gói, tức là cũng dựa trên việc phân tích các gói dữ liệu IP để quyết định có cho phép đi xuyên qua bức tƣờng lửa hay không. Điểm khác của tƣờng lửa lớp ứng dụng là nó có khả năng phân tích cả nội dung của gói dữ liệu IP (phần data payload), và do đó cho phép thiết lập các quy tắc lọc gói phức tạp hơn. Ví dụ, có thể chấp nhận lƣu lƣợng HTTP đi qua bức tƣờng lửa, tuy nhiên với những gói nào có chứa nội dung trùng với mẫu định trƣớc thì chặn lại.
Do đặc tính của tƣờng lửa lớp ứng dụng can thiệp trực tiếp vào tất cả các gói dữ liệu đi qua nó, nên nhìn dƣới góc độ truy xuất mạng, bức tƣờng lửa lớp ứng dụng trực tiếp thực hiện các giao dịch với mạng bên ngoài thay cho các
máy tính bên trong. Do vậy, tƣờng lửa lớp ứng dụng cũng còn đƣợc gọi là các phần mềm Proxy.
Kỹ thuật này có ích trong các trƣờng hợp cần quản lý nội dung truy cập của ngƣời sử dụng hoặc để nhận dạng dấu hiệu của một số loại phần mềm độc hại (virus, worm, trojan, …), ví dụ ngăn chặn ngƣời sử dụng tải các tập tin hình ảnh hoặc phim với kích thƣớc lớn.
Do phải phân tích toàn bộ cấu trúc gói dữ liệu để lấy thông tin nên nhƣợc điểm của tƣờng lửa lớp ứng dụng là yêu cầu năng lực xử lý mạnh, và là nơi có thể xảy ra tắc nghẽn tiềm năng của mạng.
Tường lửa kiểm soát trạng thái (stateful inspection firewall):
Là loại tƣờng lửa kết hợp cả hai nguyên lý làm việc của tƣờng lửa lọc gói và tƣờng lửa lớp ứng dụng. Tƣờng lửa kiểm soát trạng thái cho phép thiết lập các quy tắc lọc gói phức tạp hơn so với tƣờng lửa lọc gói, tuy nhiên không mất quá nhiều thời gian cho việc phân tích nội dung của tất cả các gói dữ liệu nhƣ trƣờng hợp tƣờng lửa lớp ứng dụng. Tƣờng lửa kiểm soát trạng thái theo dõi trạng thái của tất cả các kết nối đi qua nó và các gói dữ liệu liên quan đến từng kết nối. Theo đó, chỉ các các gói dữ liệu thuộc về các kết nối hợp lệ mới đƣợc chấp nhận chuyển tiếp qua tƣờng lửa, các gói khác đều bị loại bỏ tại đây. Tƣờng lửa kiểm soát trạng thái phức tạp hơn do phải tích hợp chức năng của cả 2 loại tƣờng lửa ở trên. Tuy nhiên, cơ chế thực hiện của tƣờng lửa này đã chứng tỏ đƣợc tính hiệu quả của nó và trong thực tế, các sản phẩm tƣờng lửa mới đều hỗ trợ kỹ thuật này.