II- Các mô hình ứng dụng 1 Packet Filtering Firewall
3-Screened host firewall
Screened host firewall mềm dẻo hơn dual-home gateway firewall, tuy nhiên sự mềm dẻo này lại làm suy yếu đi công tác an ninh. Screened host firewall thường là thích hợp cho các sites nơi mà vấn đề mềm dẻo được đặt ra, cao hơn so với dual-homed gateway firewall.
Screened host firewall phối hợp packet-filtering router với một application gateway được đặt ở phía bảo vệ của router. Application Gateway chỉ cần một giao diện mạng. Các dịch vụ ủy nhiệm trên Application Gateway chuyển các dịch vụ như Telnet FTP, v...v tới site system. Router làm nhiệm vụ lọc (screened) các giao thức nguy hại, không cho chúng tới được application gateway và site system. Nó loại bỏ hay chấp nhận các giao thông ứng dụng theo các quy tắc sau.
- Giao thông của các ứng dụng từ các Internet tới application gateway được chấp nhận - Tất cả các giao thông khác từ Internet sites bị loại bỏ.
- Router loại bỏ các lưu thông khác từ phía trong, trừ khi nó đến từ application gateway. Không giống như dual-homed gateway firewall, application gateway chỉ cần có một giao diện mạng và không đòi hỏi một mạng con riêng biệt giữa application gateway và router. Điều đó làm cho Firewall trở nên mềm dẻo, nhưng lại không an toàn bằng bởi router được phép chuyển các dịch vụ “tin cậy” quanh application gateway và trực tiếp tới site system. Các dịch vụ “tin cậy” này có khả năng là các dịch vụ mà cho nó không tồn tại dịch vụ ủy quyền. Tin cậy ở trong nghĩa là sự mạo hiểm khi sử dụng các dịch vụ này là chấp nhận được. Ví dụ một trong các dịch vụ có sự mạo hiểm không cao là NTP. NTP có thể chấp nhận chuyển qua router tới site system. Trong cấu hình này, firewall sử dụng một sự pha trộn bởi hai chính sách, tỷ lệ pha trộn phụ thuộc vào bao nhiêu và loại nào của dịch vụ được chuyển thẳng tới site system.
Screened host firewall
Sự mềm dẻo nữa của screened host firewall là nguyên nhân cho hai mối quan tâm khác. Thứ nhất, bây giờ tồn tại hai hệ thống, router và application gateway. Cả hai hệ thống này đều được phải cài đặt một cách cẩn thận. Như đã nêu ở trên, việc cài đặt các quy tắc cho router có thể sẽ trở nên rất phức tạp, rất khó khăn để thử nghiệm và rất dễ mắc sai lầm để có thể dẫn tới các lỗ hổng trên router. Tập hợp của các quy tắc này không được phức tạp hơn tập hợp cho các sites thông dụng sử dụng packet filtering firewall.
Bất lợi thứ hai là chính sự mềm dẻo này đã mở ra khả năng chính sách an ninh bị vi phạm. Vấn đề này không phải là vấn đề lớn đối với dual-homed gateway firewall, bởi lẽ theo phương diện kỹ thuật thì không thể chuyển giao thông qua dual-homed gateway nếu như dịch vụ ủy quyền không tồn tại.