- Firewall cứng được tích hợp trực tiếp lên phần cứng (như : Router Cisco, Check point, Planet, Juniper ) nó vẫn có thể bị hỏng, lỗi phần cứng làm treo
1.1.Packet filtering:
Chức năng:
Packet filtering là một hệ thống thực hiện chức năng như một router, chuyển các gói tin (IP packet) giữa mạng nội bộ và Internet. Khác với một router thông thường, hệ thống đảm nhiệm chức năng packet filtering chuyển các gói tin một cách chọn lọc dựa vào các thông tin : địa chỉ của máy nguồn, địa chỉ của máy đích, thủ tục truyền (TCP, UDP, ICMP . . . ) và dịch vụ - được xác định qua cổng (port) nguồn và cổng đích mà kết nối giữa hai máy yêu cầu. Dựa vào các thông tin này, hệ packet filtering có thể cho phép người điều hành mạng thể hiện các yêu cầu về bảo vệ có dạng: "Không" cho phép máy tính A sử dụng dịch vụ S tại máy tính B.
Ethernet Packet Filtering
Sơ đồ làm việc của Packet Filtering
Ưu điểm của Packet Filtering:
Cài đặt và vận hành một hệ thống làm nhiệm vụ Packet Filtering tương đối đơn giản, tốc độ làm việc cao, có thể dễ dàng thích ứng với các dịch vụ mới được đưa ra trong tương lai.
Cho phép các thao tác bảo vệ mạng nội bộ diễn ra một cách trong suốt đối với các ứng dụng và ngươì sử dụng máy.
Các router thông thường có sẵn khả năng Packet Filtering được bán rộng rãi trên thị trường.
Nhược điểm của Packet Filtering:
Xác định các dịch vụ thông qua địa chỉ cổng nguồn và đích. Các địa chỉ này được sử dụng theo thói quen chứ không được quy định một cách chuẩn tắc. Do đó một máy tính có thể qui định một địa chỉ cổng cho một dịch vụ nào đó khác với địa chỉ truyền thông và làm vô hiệu hoá Packet Filtering.
Nhược điểm của một số hệ Packet Filtering là coi các cổng ở địa chỉ thấp (nhỏ hơn 1024 hoặc nhỏ hơn 900) là các cổng của máy chủ (Server) và cho phép các packet đi từ các cổng này vào mạng nội bộ một cách tự do. Sự lựa chọn ngầm định này sẽ trở nên nguy hiểm khi một hacker thiết đặt lại máy tính của mình để các chương trình client sử dụng địa chỉ thấp, bằng cách đó vượt qua sự kiểm soát của Packet Filtering.
Cho phép các dịch vụ có những điểm yếu về mặt bảo mật đi qua. Một ví dụ điển hình là dịch vụ thư điện tử (Email) thông qua thủ tục SMTP. SMTP thực hiện nhiệm vụ là chuyển thư từ máy này đến máy khác, tuy nhiên trong quá trình này chương trình phân phối thư được thực hiện với quyền của người quản trị máy (root privilege). Dựa vào lỗ hổng trong chương trình chuyển nhận thư, virus Internet có thể làm tê liệt hệ thống mạng.
Không kiểm soát được người sử dụng máy. Do vậy, nếu một máy được coi là "an toàn" bị truy nhập bất hợp pháp, nó sẽ là xuất phát điểm rất tốt để vượt qua hệ thống Packet Filtering.
Việc giả mạo địa chỉ IP để đánh lừa hệ thống Packet Filtering có thể thực hiện được. Địa chỉ IP được gán một cách đơn giản, không mang yếu tố xác thực, do đó không thể dựa vào nó để đưa ra những quyết định ảnh hưởng tới sự an toàn của hệ thống mạng được.