c. Demilitarized Zone (DMZ khu vực phi quân sự) hay Screened-subnet Firewall
2.4.3.Bộ lọc Sesion thông minh (Smart Sesion Filtering)
Cơ chế hoạt động phối hợp giữa bộ lọc packet và cổng ứng dụng như đề cập ở trên cung cấp một chế độ an ninh cao tuy nhiên nó cũng tồn tại một vài hạn chế. Vấn đề chính hiện nay là làm sao để cung cấp đủ Proxy Service cho rất nhiều ứng dụng khác nhau đang phát triển ồ ạt. Điều này có nghĩa là nguy cơ, áp lực đối với việc firewall bị đánh lừa gia tăng lên rất lớn nếu các Proxy không kịp đáp ứng.
Trong khi giám sát các packet ở những mức phía trên, nếu như lớp Network đòi hỏi nhiều công sức đối với việc lọc các packet đơn giản, thì việc giám sát các giao dịch lưu thông ở mức mạng (Sesion) đòi hỏi ít công việc hơn. Cách này cũng loại bỏ được các dịch vụ đặc thù cho từng loại ứng dụng khác nhau.
Cơ chế hoạt động của bộ lọc sesion thông minh chính là việc kết hợp khả năng ghi nhận thông tin về các Sesion và sử dụng nó để tạo các quy tắc cho bộ lọc. Biết rằng, một Sesion ở mức network được tạo bởi hai packet lưu thông hai chiều:
Một để kiểm soát các packet lưu thông từ host phát sinh ra nó đến máy chủ cần tới.
Một để kiểm soát packet trở về từ máy chủ phát sinh
Một bộ lọc thông minh sẽ nhận biết được rằng packet trở về theo chiều ngược lại nên quy tắc thứ hai là không cần thiết. Do vậy, cách tiếp nhận các packet không mong muốn sinh ra từ bên ngoài firewall sẽ khác biệt rất rõ với cách
tiếp nhận cho các packet do những kết nối được phép (ra bên ngoài). Và như vậy dễ dàng nhận dạng được các packet “bất hợp pháp”.