II. một số kiểu firewall thông dụng
1.Ưu điểm của lọc gói:
• Một Router lọc gói có thể bảo vệ cho cả một hệ thống mạng:
Một u điểm hàng đầu của lọc gói là cho phép một Router lọc gói độc lập, đợc cấu hình theo đúng chiến lợc an ninh và đặt ở vị trí phù hợp sẽ bảo vệ đợc cho cả một hệ thống mạng. Một hệ thống mạng với số lợng trạm lớn thì việc cấu hình lọc cho tất cả các trạm đơn lẻ sẽ trở nên tốn kém và phức tạp hơn nhiều so với lọc gói
bằng Router. Hơn nữa khi ngời dùng vô tình (hay hữu ý) nối thêm vào hệ thống một trạm có hỗ trợ cho truy nhập từ ngoài vào và không đợc lọc cẩn thận thì đó sẽ là một lỗ hổng trong cơ chế đảm bảo an ninh trên mạng.
Nếu mạng địa phơng chỉ có một Router để kết nối ra INTERNET thì ta hoàn toàn có thể đảm bảo an ninh cho mạng đó bằng cách cấu hình lọc gói cho Router, bất kể số lợng trạm trong mạng có lớn hơn bao nhiêu. Ngay cả khi mạng có nhiều đờng kết nối ra ngoài qua nhiều Router thì số lợng Router cũng vẫn nhỏ hơn nhiều so với số lợng trạm và do đó việc cấu hình lọc gói trên Router vẫn đỡ tốn kém thời gian cũng nh công sức hơn so với việc bảo vệ từng trạm riêng biệt.
• Lọc gói không đòi hỏi bất kỳ sự hợp tác hoặc kiến thức nào khác về phía ngời dùng.
Không giống nh cơ chế uỷ quyền (proxy), lọc gói không đòi hỏi bất cứ một phần mềm hay cấu hình đặc biệt nào khác cho các máy client cũng nh không yêu cầu ngời dùng phải học thêm một điều gì mới để sử dụng. Ngời dùng thậm chí sẽ không biết rằng hệ thống lọc gói đang hoạt động nếu nh họ không thử làm một việc gì đó bị cấm (vì lý do an ninh) bởi các luật lọc trong Router. Điều này có nghĩa là ta có thể xây dựng hệ thống lọc hoặc thay đổi chiến lợc an ninh trong các luật lọc một cách độc lập và trong suốt đối với ngời dùng.
• Rất nhiều Router hỗ trợ chức năng lọc gói:
Tính năng lọc gói có thể đợc sử dụng trong rất nhiều sản phẩm phần cứng hoặc phần mềm định tuyến. Nhờ sự hỗ trợ đầy đủ và rộng khắp của các nhà sản xuất mà ta có thể xây dựng một hệ thống lọc gói hoạt động an toàn và ổn định trong các thiết bị định tuyến chuyên dụng của Bay-Networks, Cisco... hoặc trong các phần mềm giả lập nh DrawBridge, KarlBridge...