Tường lửa lọc nội dung tại mức kernel mode về cơ bản tương tự như mức user mode. Tuy nhiên, do tại các mức khác nhau nên có một số thay đổi đối với thông tin kiểm soát [ 7, 8, 9, 10, 11, 12, 13 ]:
• Địa chỉ nguồn, địa chỉ đích. • Cổng nguồn, cổng đích. • Giao thức (protocol). • Nội dung.
Nội dung kiểm soát thêm thông tin địa chỉ nguồn, địa chỉ đích nhưng không kiểm soát được thông tin về người sử dụng, mật khẩu như tường lửa mức ứng dụng user mode.
Để thực hiện lọc nội dung mức kernel mode, tường lửa lọc nội dung cần can thiệp vào giao thức TCP/IP như hình vẽ dưới đây:
Hình 3.1. Các chế độ Hook Firewall trên Windows
Tường lửa hoạt động ở lớp mạng của mô hình OSI, hoặc lớp IP của TCP/IP. Dữ liệu truyền qua lớp này đều ở dạng gói. Mỗi gói là một lượng dữ liệu có kích thước giới hạn, đủ nhỏ để dễ điều khiển. Khi lượng lớn dữ liệu được gửi chúng được chia ra thành nhiều gói và tái hợp ở nơi nhận.
Trong tường lửa mức mạng, thường chỉ giao thức và thông tin địa chỉ của mỗi gói được kiểm tra. Nội dung và ngữ cảnh (mối liên hệ với các gói khác) của nó bị bỏ qua.
Các gói vào/ra được kiểm soát dựa trên một tập luật, được gọi là chính sách (policies).
Về cơ bản, giải thuật lọc nội dung mức kernel mode giống như user mode, tuy nhiên trong các gói tin mức mạng đều có địa chỉ IP nguồn và địa chỉ IP đích nên bất kỳ gói tin nào cũng có thể thực hiện lọc cụ thể, lọc loại trừ (IP).
Đa số các tường lửa được xây dựng trên việc kiểm soát luồng dữ liệu mức mạng.
Ưu điểm:
• Kiểm soát đầy đủ các thông tin vào ra. • Ít ảnh hưởng đến chất lượng mạng.
• Hiệu quả trong việc đóng khối các kiểu riêng biệt: dịch vụ, nguồn. Ví dụ, telnet có thể dễ dàng được đóng khối bằng cách áp dụng một luật lọc để đóng khối TCP cổng 23.
Nhược điểm:
• Không thực hiện kiểm soát việc xác thực người dùng.
• Xây dựng cơ chế tổng hợp dữ liệu từ các gói đơn lẻ là rất khó.