Kiến trúc của hệ thống mạng sử dụng Firewall nhƣ sau:
Firewall có thể bao gồm phần cứng hoặc phần mềm, nhƣng thƣờng là cả hai. Về mặt phần cứng thì Firewall có chức năng gần giống nhƣ một router, nó cho phép hiển thị các địa chỉ IP đang kết nối qua nó. Điều này cho phép ta xác định đƣợc các địa chỉ nào đƣợc phép và địa chỉ nào không đƣợc phép kết nối.
Tất cả các Firewall đều có chung một thuộc tính là cho phép phân biệt hay từ chối truy cập dựa trên các địa chỉ nguồn.
Nhìn chung hệ thống Firewall đều có các thành phần sau:
Hình 3-7. Các thành phần của hệ thống Firewall
Theo hình trên thì các thành phần của một hệ thống Firewall bao gồm:
- Screening router: Là chặng kiểm soát đầu tiên cho LAN
- DMZ: Khu vực “phi quân sự” là vùng có nguy cơ bị tấn công từ Internet.
-Gateway: Là cổng ra vào giữa mạng LAN và DMZ, kiểm soát mọi liên lạc, thực thi các cơ chế bảo mật.
- IF1 (Interface 1): Là card giao tiếp với vùng DMZ.
- IF2 (Interface 2): Là card giao tiếp với vùng LAN.
-FTP gateway: Kiểm soát truy cập FTP giữa LAN và vùng DMZ. Các truy cập FTP từ mạng LAN ra Internet là tự do. Các truy cập FTP vào LAN đòi hỏi xác thực thông qua máy chủ xác thực (Authentication Server).
-Máy chủ xác thực: Đƣợc sử dụng bởi các cổng giao tiếp, nhận diện các yêu cầu kết nối, dùng kỹ thuật xác thực mạnh nhƣ mật khẩu sử dụng một lần. Các máy chủ dịch vụ trong mạng LAN đƣợc bảo vệ an toàn, không có kết nối trực tiếp với Internet, tất cả các thông tin trao đổi đều đƣợc kiểm soát qua gateway.