2.2.3.1. Phân loại Firewall:
Firewall có thể đợc phân thành bốn loại nh sau: a. Lọc gói tin:
Loại Firewall này cho phép việc điều khiển truy cập tại lớp IP và hoặc chấp nhận, từ chối hoặc loại bỏ các gói tin dựa trên một nguồn chính, những địa chỉ của mạng đích và các loại chơng trình ứng dụng.
Loại Firewall này cung cấp độ bảo mật ở mức đơn giản với giá thành tơng đối rẻ. Những Firewall loại này cũng cung cấp sự thực thi ở mức cao và thờng rõ ràng đối với ngời sử dụng.
Nhợc điểm của Firewall lọc gói tin:
- Dễ bị làm hại khi những kẻ tấn công nhắm vào những thủ tục ở mức cao hơn thủ tục mức mạng, là những thủ tục chúng hiểu.
- Vì không phải quản trị viên nào cũng có những hiểu biết chi tiết về kỹ thuật của thủ tục ở mức mạng nên Firewall loại này thờng quá khó để định hình và kiểm tra. Đây là thứ làm tăng rủi ro cho hệ thống.
- Không thể che dấu cấu trúc của mạng cá nhân, vì vậy, mạng cá nhân sẽ bị phơi bày với thế giới bên ngoài.
- Loại này có khả năng kiểm định rất giới hạn, và nh ta đã biết, việc kiểm định chính là lỗ hổng chính trong chính sách bảo mật mạng.
- Không phải tất cả các chơng trình ứng dụng trên mạng Internet đợc Firewall loại này hỗ trợ.
- Firewall loại này không luôn hỗ trợ cho một số điều khoản của chính sách bảo mật nh việc thẩm định quyền và điều khiển truy cập giới hạn thời gian trong ngày.
Firewall loại này cho phép điều khiển truy cập tại lớp ứng dụng. Vì vậy, có hoạt động nh những Gateway mức ứng dụng giữa hai mạng. Vì nó thực hiện các chức năng tại lớp ứng dụng nên chúng có khả năng kiểm tra sự lu thông một cách chi tiết, khiến chúng an toàn hơn so với Firewall lọc gói tin.
Loại này thờng chậm hơn loại Firewall lọc gói tin vì chính sự khảo sát kỹ lỡng việc lu thông của chúng. Vì vậy, để đạt đợc những mục đích của chính sách, chúng giới hạn và yêu cầu ngời sử dụng bình thờng hoặc thay đổi nhu cầu sử dụng hoặc sử dụng những phần mềm đặc biệt.
Firewall loại này không dễ hiểu đối với ngời sử dụng. Ưu điểm:
- Vì chúng hiểu đợc thủ tục ở lớp mạng nên chúng có thể chống lại tất cả những kẻ tấn công.
- Thờng dễ dàng hơn rất nhiều khi định hình so với Firewall loại lọc gói tin, vì không đòi ta phảI biết chi tiết về thủ tục của những mức dói.
- Chê dấu đợc cấu hình mạng cá nhân.
- Có đầy đủ điều kiện để thẩm định cùng các công cụ nhằm kiểm soát sự lu thông và vận dụng những file chứa thông tin nh địa chỉ mạng nguồn và đích, loại chơng trình ứng dụng, xác minh ngời sử dụng và password, bắt đầu và kết thúc thời gian truy cập, số byte thông tin đợc truyền đi. - Chúng có thể hỡ trợ hơn cho chính sách bảo mật bao gồm
sự thẩm định ngời sử dụng có quyền ở mức nào và điều khiển truy cập giới hạn thời gian trong ngày.
Vì nhận ra đợc một số nhợc điểm của hai loại Firewall trên, một số nhà cung cấp đã giới thiệu Firewall Hybrid, loại này chứa những kỹ thuật của cả hai loại trên. Chúng khắc phục đợc gần hết các nhợc điểm ở trên nhng vì vẫn tin và dùng phơng pháp lọc gói tin để hỗ trợ những ứng dụng nhất định nên Firewall loại này có chung những nhợc điểm bảo mật.
d. Firewall mức ứng dụng thế hệ thứ hai:
Vẫn là Firewall mức ứng dụng, chỉ khác là loại này dễ dàng giải quyết vấn đề của phiên bản trớc mà không làm ảnh hởng tới khả năng thực thi.
Những u điểm của Firewall loại này:
- Có thể sử dụng nh một firewall cho mạng Intranet vì khả năng thực thi dễ dàng và tổng quát hơn của chúng.
- Có thể cung cấp đầy đủ địa chỉ mạng cần chuyển dữ liệu tới, thêm vào đố là cấu hình mạng đợc che dấu.
- Có thể hỗ trợ những phơng pháp thẩm định mức ngời sử dụng có quyền tiên tiến hơn.