II. một số kiểu firewall thông dụng
1.Packet Filtering Gateway (Cổng lọc gói):
Phơng pháp cổng lọc gói là một phơng pháp đơn giản và rẻ nhất để trang bị một mức độ lọc cơ bản cho một mạng. Các thiết bị bao gồm một Router (thiết bị định tuyến) dùng để nối hai mạng lại với nhau. Thiết bị chọn đờng này đợc dùng cùng với một phần mềm cho qua hay loại bỏ các gói (packet) dựa trên địa chỉ nguồn hay đích của cổng. Hoạt động lọc có thể áp dụng cho các gói vào, các gói ra, hoặc cả hai. Để thực hiện việc lọc các gói thì router cần phải biết rằng các gói nào đợc chấp nhận và các gói nào bị loại bỏ. Phần thông tin này đợc lu giữ trong một file định nghĩa bộ các luật lọc của router. Hệ thống các luật lọc này thờng bao gồm các thông tin về nguồn và đích để cho phép lọc các gói gửi đến hay gửi đi.
Đôi khi để giải quyết vấn đề tốc độ, việc lọc chỉ xảy ra đối với các gói vào hay các gói ra chứ không cả hai. Điều này liên quan mật thiết đến tốc độ của bản thân Router và phải đợc tính toán kỹ lỡng, làm sao cho cổng lọc gói này không trở thành cái nút cổ chai cho toàn bộ hệ thống mạng. Kết nối INTERNET trên thực tế thờng có tốc độ trung bình cỡ 56 - Kb/s hoặc 1.544 - Mb/s (đờng T1). Lọc gói là một tác vụ liên quan đến các gói, do đó các gói càng nhỏ thì càng có nhiều gói đi qua trong 1 giây và do đó hệ thống lọc càng phải tính toán, xử lý nhiều hơn. Một gói dữ liệu IP nhỏ nhất - chỉ chứa các header IP và không có dữ liệu khác đi kèm - dài 20 byte (160 bit). Vì vậy, một liên kết ở tốc độ 56 Kb/s có thể truyền đ- ợc 350 gói một giây và ở tốc độ 1.544 Kb/s là 9650 gói một giây. Bảng tham số d- ới đây cho thấy quan hệ giữa tốc độ và số lợng gói truyền trong một giây:
Loại kết nối Tốc độ trung bình (bit/s) Số gói/giây (gói 40byte) Số gói/giây (gói 40byte) Modem V.32 bis 14.400 90 45 Đờng 56 Kb/s 56.000 350 175 Đờng T1 1.544.000 9.650 4.825 Mạng Ethernet (thực tế) 3.000.000 18.750 9.375
Mạng Ethernet
(lý thuyết) 10.000.000 62.500 31.250
Đờng T3 45.000.000 281.250 140.620
FDDI 100.000.000 625.000 312.500
Trên thực tế, các dịch vụ trên INTERNET thờng dựa trên giao thức TCP/IP nên các gói dữ liệu lu chuyển trong mạng sẽ là loại TCP/IP. Chiều dài tối thiểu của một gói TCP/IP (chỉ chứa phần header IP và header TCP, không có dữ liệu) là 40 byte, và do đó số lợng các gói trong 1 giây sẽ giảm xuống một nửa nh trong bảng. Các gói có thêm d liệu đi kèm sẽ còn dài hơn nữa nên số lợng gói mà bộ lọc phải xử lý sẽ thấp hơn trong bảng.
Hiện nay việc thiết kế các Gateway mức cao đều dựa vào việc lọc các gói dữ liệu, và chúng hoạt động khá tốt. Tuy nhiên nó cũng có một số điểm bất tiện nh: việc bảo trì cũng nh thiết kế một cổng lọc gói đòi hỏi ngời thiết kết phải hiểu rất rõ về INTERNET, các bộ lọc gói là công cụ rất tiện lợi nhng chúng không cho phép chúng ta hoàn toàn tuyệt đối tin tởng vào sự đảm bảo an toàn của chúng.
Mặt khác, việc phân mảnh các gói dữ liệu đã gây khó khăn rất nhiều cho việc thiết kế các bộ lọc gói. Ngoại trừ mảnh đầu tiên, các mảnh khác của gói là không chứa số hiệu của cổng đích, do đó phần thông tin dùng để trợ giúp cho việc lọc gói bị hạn chế. Nếu ta chỉ quan tâm đến các mối đe doạ từ bên ngoài thì có thể thiết kế bộ lọc mà không cần quan tâm nhiều đến việc lọc các mảnh. Mảnh đầu tiên có chứa thông tin về số hiệu cổng sẽ đợc kiểm tra, còn các mảnh khác sẽ đợc cho qua. Nếu nh mảnh đầu tiên bị loại bỏ thì khi các mảnh còn lại đi qua cũng sẽ bị trạm đích loại bỏ. Tuy nhiên khi ta phải quan tâm đến việc lọc các thông tin ra ngoài thì đây là một vấn đề khó khăn bởi nếu không đợc cho phép thì chỉ có mảnh đầu tiên bị lọc bỏ, các mảnh khác bị rò rỉ ra ngoài và ta không thể đảm bảo đợc là liệu có một ngời nào đó ở bên ngoài tiến hành thu thập các mảnh này và xử lý, ghép nối chúng trở lại thành một gói chính xác.