Application-Layer-Firewall
Ist eine Firewall, welche auf Schicht 7 (Applikationsschicht) des ISO-OSI-Modells arbeitet. Eine Firewall, welche den Inhalt von angeforderten HTML-Seiten vor der Auslieferung z. B. auf Viren überprüft, ist ein Beispiel für eine Application-Layer-Firewall.
Content-Filter
Eine Firewall kann nicht nur auf der niedrigen Ebene des Paketfilters arbeiten, sondern auch komplexere Aufgaben übernehmen. Ein Content-Filter überprüft zum Beispiel die Inhalte der Pakete und nicht nur die Meta-Daten der Pakete wie Quell- und/oder Zieladresse.
Hardware Firewall
Üblicherweise wird ein Gerät "Hardware-Firewall" genannt, wenn es sich um ein spezifisches Produkt für genau diesen Zweck handelt. Es ist ein Gerät mit mehreren Netzwerk-Schnittstellen und einer darauf laufenden Software, welche hauptsächlich als Firewall dient.
Paketfilter Firewall
Mit einer Paketfilter Firewall lassen sich Internet-Adressen und Internetprotokolle kontrollieren, welche die Firewall passieren dürfen. Da sich IP-Adressen jedoch leicht fälschen lassen, bilden sie keinen umfassenden Schutz. Ebenso wird die Kontrolle auf der Protokoll-Ebene teilweise unterwandert, da der Inhalt der Datenpakete nicht überprüft wird.
Personal Firewall
Personal Firewalls oder auch Desktop Firewalls sind Programme, die direkt lokal auf dem zu schützenden Rechner installiert sind. Diese Art von Firewall ist dafür gedacht, bestimmten Verkehr nicht in den lokalen Rechner hineinzulassen oder hinauszulassen. Viele Produkte legen ihren Schwerpunkt auf einfache Konfiguration. Die Schutzwirkung von Personal Firewalls ist allerdings eher gering.
Split Tunneling
Ist ein Remote-Client mit dem Firmennetz per VPN verbunden und surft er gleichzeitig im Internet über seine eigene Leitung spricht man von Split-Tunneling. Die Gefahr besteht darin, dass Eindringlinge über die Hintertür des Remote-PCs ins Unternehmensnetz gelangen.
Stateful Inspection
Die Zustandsgesteuerte Filterung (engl. stateful inspection) ist eine Methode zur Erweiterung der Funktion eines Paketfilters. Die Schwäche eines einfachen Paketfilters ist es, dass jedes Paket einzeln betrachtet wird und nur anhand der Informationen in diesem einen Datenpaket entschieden wird, ob es gültig ist oder nicht. Die Zustandsgesteuerte Filterung merkt sich dagegen den Status einer Verbindung (identifiziert durch geeignete Kenndaten, beispielsweise IP-Adressen und Ports) und kann ein neues Datenpaket einem zusammenhängenden logischen Datenstrom zuordnen. Diese Information kann als weiteres Filterkriterium herangezogen werden. Im Gegensatz zu einem Proxy wird aber die Verbindung selbst nicht beeinflusst.
Application Proxies
Firewalls mit Application Proxies Funktionalität haben eine vollständige Kenntnis von den Applikationen, die über die Firewall laufen. So wird beispielsweise überprüft, ob über Port 80 tatsächlich das Protokoll HTTP gesprochen wird, oder ob versucht wird schädlichen Code über diesen Port zu senden. Die Verwendung von Application Proxies ermöglicht eine professionelle Überprüfung von Netzwerkverkehr, der vom Internet in das Unternehmensnetz fließt. Viele Firewallsysteme besitzen einen oder mehrere integrierte transparente Proxys, die für Client und Server weitgehend unbemerkbar sind und von der Firewall automatisch auf entsprechende Verbindungen angewendet werden. Zweck dieser Proxys ist die (vereinfachte) Realisation der Protokollvalidierung und Anpassung (i. S. einer Normalisierung oder definierten Beschränkung) der übertragenen Protokollkommunikation zur Reduktion der Angriffsfläche auf Applikationsebene oder dem gezielten Sperren bestimmter Protokolltransaktionen (z. B. gezielte Verhinderung von Port Mode FTP). Firewallsysteme unterscheiden sich stark in der Anzahl und Art der von Proxys unterstützten Protokolle (z. B. FTP, DNS, HTTP, SMTP, SQL*Net, POP3, MS-RPC usw.) sowie ggf. vorhandenen Konfigurationsmöglichkeiten für diese Proxys.
