II. một số kiểu firewall thông dụng
a. Lọc bằng địa chỉ:
Lọc bằng địa chỉ là một phơng pháp lọc đơn giản nhất, cho phép điều khiển luồng dữ liệu dựa trên địa chỉ nguồn và/hoặc địa chỉ đích của các gói mà không cần quan tâm đến loại giao thức nào đang đợc dùng. Phơng pháp lọc này có thể dùng để cho phép một số trạm bên ngoài giao tiếp với các trạm nhất định bên trong hoặc ngăn chặn kẻ tấn công đa các gói giả mạo địa chỉ vào mạng cục bộ của mình. Ví dụ:
Luật Chiều Đ/c nguồn Đ/c đích Tác vụ
A Vào our.net * Cấm
Ta thấy rằng các gói đi từ ngoài vào thì không thể có địa chỉ nguồn nằm trong mạng cục bộ (our.net) nên chắc chắn các gói này đã bị giả mạo địa chỉ và luật lọc A sẽ loại bỏ chúng.
Chú ý rằng chiều đi của dữ liệu là nhìn từ phía mạng cục bộ của ta. Trong Router nằm giữa mạng địa phơng và INTERNET, ta có thể áp dụng lọc cho các gói đi bào ở Interface phía INTERNET hoặc với các gói đi ra ở Interface phía mạng bên trong. Cả hai phép lọc này đều đa đến kết quả nh nhau. Cái khác là ở chỗ nếu đặt lọc ở Interface phía mạng địa phơng thì bản thân Router sẽ không đợc bảo vệ.
Nhợc điểm của phơng pháp lọc theo địa chỉ là ta không thể xác định chắc chắn nguồn gốc các gói dữ liệu. Nếu nh ta không đợc hỗ trợ một phơng thức nào để xác thực liên kết thì ta không thể biêt đợc rằng trạm ở đầu bên kia liệu có đúng địa chỉ nguồn của các gói đến hay là một trạm nào khác giả danh. Ví dụ lọc trình bày ở trên chỉ giúp ta phát hiện các trạm bên ngoài giả làm một trạm nào đó bên trong mạng địa phơng chứ không làm gì đợc với một trạm bên ngoài giả làm một trạm nào khác cũng ở bên ngoài (các trạm mà ta coi là có thể tin tởng đợc).