hoặc huỷ bỏ các gói tin đi qua. Application layer gateway được thiết kế hoạt động ở tầng Application. Nó được thiết kế để phân tích từng gói tin đi qua đồng thời xác định xem kiểu dữ liệu của gói tin đó có truyền có hợp lệ hay không hay đó là ứng dụng đặc biệt làm hại quá trình truyền tin. Stateful inspection firewall dùng để kiếm tra từng gói tin và xác minh xem đó có phải là những gói tin được trông đợi trong phiên truyền thông tin hiện tại hay không. Đây là kiểu firewall dùng trong tầng network, nhưng nó cũng có thể hoạt động tại các tầng transport, session, presentation và application.
3.1. Packet filtering firewall
Packet filtering firewall được cấu hình để cho phép hay ngăn cắm quá trình truy cập của các port hay địa chỉ IP cụ thể nào đó. Có hai cách giải quyết khi thiết lập hoạt động của Packet filtering firewall, đó là “allow by default” và “deny by default°. “Allow by đefault° cho phép tất cả các traffic đi qua loại trừ những traffic đặc biệt đã bị ngăn cắm. “Deny by defaul” ngăn chặn tất
cả các traffic đi qua trừ những traffic rõ ràng đã được cho phép. Trên thực tế,
deny by default được sử dụng rộng rãi bởi vì chúng ta chỉ cần cho những traffic cần thiết đi qua, những port lạ cần được ngăn chặn để tránh việc xâm nhập của kẻ phá hoại.
Packet filtering firewall có những mặt lợi nhưng cũng có nhiều mặt hạn chế. Cái lợi đầu tiên của nó là tốc độ xử lý. Khi các gói tin đi qua, chỉ có phần header là được kiểm tra và các quy tắc kiểm tra cũng rất đơn giản nên tốc độ xử lý là rất cao. Ngoài ra, Packet filtering firewall cũng rất dễ dàng sử dụng. Việc thiết lập cấu hình cho nó là tương đối đễ đàng và việc đóng hay mở các port cũng được thực hiện một cách nhanh chóng. Một ưu điểm của Packet filtering firewall là nó có tính trong suốt đối với các thiết bị mạng. Các gói tin có thể đi qua nó mà không phải gửi hay nhận thêm bắt kì một phần thông tin nào cá. Ngày nay hầu hết các router đều có chức năng như là một Packet filtering firewall. Việc này có thê thực hiện nhờ cấu hình ACLs trên các cổng của rOufer.
Packet filtering firewall chỉ kiểm tra phần header chứ không kiểm tra nội đung của gói tin. Đây chính là ngòi nỗ cho sự phá hoại từ bên trong, khi mà các gói tin có header hợp pháp đã được firewall cho đi qua một cách dễ dàng.
3.2. Application layer Gateways
Đây còn được gọi là Apllication filtering. Nó có nhiều tính năng nỗi trội hơn so với Packet filtering firewall. Application layer Gateways kiểm tra
toàn bộ gói tin và việc lọc bỏ gói tin được dựa trên các quy luật đặc trưng, rành mạch hơn. Firewall Application gateway Internal network
Hình 3.2.3: Application Layer Œafeway
Ở đây, router kết nối ra Internet (hay còn gọi là exterior router-router ngoại vi) sẽ đưa tất cả các traffic nhận vào đến application gateway. Các router bên trong (interior router) sẽ chỉ nhận các gói tin được chuyến tủ application gateway. Như vậy là application gateway có khả năng kiểm soát việc phân phối của các dịch vụ mạng đi ra hay đi vào hệ thống mạng. Khi đó chí những user nào được cho phép mới có thể kết nối ra Internet hoặc là chỉ những ứng dụng nào được phép mới có thể thiết lập kết nối với host bên
trong.
Application layer Gateways sứ dụng các quy tắc phức tạp hơn Packet filtering để xác định tính hợp lệ của các gói tin muốn đi qua nó, do đó tăng tính an toàn cho hệ thống. Tuy nhiên chính điều này lại tạo ra sự hạn chế của công nghệ này. Tất cá các gói tin đi qua nó đều bị tháo rời ra, dựa trên các quy luật phức tạp đề kiểm tra toàn bộ gói tin nhằm xác định tính xác thực của gói tin, do đó tốc độ xử lý là thấp hơn nhiều so với Packet filtering.
3.3. Stateful inspection
Đây là công nghệ kết hợp giữa 2 công nghệ nói trên. Nó tìm cách khắc phục những nhược điểm còn lại của Packet filtering và Application layer