Jenis-jenis Firewall
Cara Kerja
Firewall
Firewall
berada di antara kedua jaringan seperti internet dan komputer sehingga firewall
berfungsi sebagai pelindung. Tujuan utama adanya firewall adalah untuk user
yang tidak menginginkan lalu lintas jaringan yang berusaha masuk ke komputer,
namun tidak hanya itu saja yang bisa dilakukan firewall. Firewall juga dapat
menganalisis jaringan yang mencoba masuk ke komputer anda, dan dapat melakukan
apa yang harus dilakukan ketika jaringan tersebut masuk. Contohnya saja,
firewall bisa diatur untuk memblokir beberapa jenis jaringan yang mencoba
keluar atau mencatat log lalu lintas jaringan yang mencurigakan.
Firewall
bisa memiliki berbagai aturan yang dapat anda tambahkan atau hapus untuk
menolak jaringan tertentu. Contohnya saja, hanya dapat mengakses alamat IP tertentu
atau mengumpulkan semua akses dari tempat lain untuk ke satu tempat yang aman
terlebih dahulu
1.
Packet-Filter Firewall
Contoh
pengaturan akses (access control) yang diterapkan dalam firewall
Pada
bentuknya yang paling sederhana, sebuah firewall adalah sebuah router atau
komputer yang dilengkapi dengan dua buah NIC (Network Interface Card, kartu
antarmuka jaringan) yang mampu melakukan penapisan atau penyaringan terhadap
paket-paket yang masuk. Perangkat jenis ini umumnya disebut dengan packet-filtering
router.
Firewall
jenis ini bekerja dengan cara membandingkan alamat sumber dari paket-paket
tersebut dengan kebijakan pengontrolan akses yang terdaftar dalam Access
Control List firewall, router tersebut akan mencoba memutuskan apakah hendak
meneruskan paket yang masuk tersebut ke tujuannya atau menghentikannya. Pada
bentuk yang lebih sederhana lagi, firewall hanya melakukan pengujian terhadap
alamat IP atau nama domain yang menjadi sumber paket dan akan menentukan apakah
hendak meneruskan atau menolak paket tersebut. Meskipun demikian,
packet-filtering router tidak dapat digunakan untuk memberikan akses (atau
menolaknya) dengan menggunakan basis hak-hak yang dimiliki oleh pengguna.
Cara
kerja packet filter firewall
Packet-filtering
router juga dapat dikonfigurasikan agar menghentikan beberapa jenis lalu lintas
jaringan dan tentu saja mengizinkannya. Umumnya, hal ini dilakukan dengan
mengaktifkan/menonaktifkan port TCP/IP dalam sistem firewall tersebut. Sebagai
contoh, port 25 yang digunakan oleh Protokol SMTP (Simple Mail Transfer
Protocol) umumnya dibiarkan terbuka oleh beberapa firewall untuk mengizinkan
surat elektronik dari Internet masuk ke dalam jaringan privat, sementara port
lainnya seperti port 23 yang digunakan oleh Protokol Telnet dapat dinonaktifkan
untuk mencegah pengguna Internet untuk mengakses layanan yang terdapat dalam
jaringan privat tersebut. Firewall juga dapat memberikan semacam pengecualian
(exception) agar beberapa aplikasi dapat melewati firewall tersebut. Dengan
menggunakan pendekatan ini, keamanan akan lebih kuat tapi memiliki kelemahan
yang signifikan yakni kerumitan konfigurasi terhadap firewall: daftar Access
Control List firewall akan membesar seiring dengan banyaknya alamat IP, nama
domain, atau port yang dimasukkan ke dalamnya, selain tentunya juga exception
yang diberlakukan.
2. Circuit
Level Gateway
Cara kerja circuit level firewall
Firewall
jenis lainnya adalah Circuit-Level Gateway, yang umumnya berupa komponen dalam
sebuah proxy server. Firewall jenis ini beroperasi pada level yang lebih tinggi
dalam model referensi tujuh lapis OSI (bekerja pada lapisan sesi/session layer)
daripada Packet Filter Firewall. Modifikasi ini membuat firewall jenis ini
berguna dalam rangka menyembunyikan informasi mengenai jaringan terproteksi,
meskipun firewall ini tidak melakukan penyaringan terhadap paket-paket
individual yang mengalir dalam koneksi.
Dengan
menggunakan firewall jenis ini, koneksi yang terjadi antara pengguna dan
jaringan pun disembunyikan dari pengguna. Pengguna akan dihadapkan secara
langsung dengan firewall pada saat proses pembuatan koneksi dan firewall pun
akan membentuk koneksi dengan sumber daya jaringan yang hendak diakses oleh
pengguna setelah mengubah alamat IP dari paket yang ditransmisikan oleh dua
belah pihak. Hal ini mengakibatkan terjadinya sebuah sirkuit virtual (virtual
circuit) antara pengguna dan sumber daya jaringan yang ia akses.
Firewall
ini dianggap lebih aman dibandingkan dengan Packet-Filtering Firewall, karena
pengguna eksternal tidak dapat melihat alamat IP jaringan internal dalam
paket-paket yang ia terima, melainkan alamat IP dari firewall.
3.
Application Level Firewall
Application
Level Firewall (disebut juga sebagai application proxy atau application level
gateway)
Firewall
jenis lainnya adalah Application Level Gateway (atau Application-Level Firewall
atau sering juga disebut sebagai Proxy Firewall), yang umumnya juga merupakan
komponen dari sebuah proxy server. Firewall ini tidak mengizinkan paket yang
datang untuk melewati firewall secara langsung. Tetapi, aplikasi proxy yang
berjalan dalam komputer yang menjalankan firewall akan meneruskan permintaan
tersebut kepada layanan yang tersedia dalam jaringan privat dan kemudian
meneruskan respons dari permintaan tersebut kepada komputer yang membuat permintaan
pertama kali yang terletak dalam jaringan publik yang tidak aman.
Umumnya,
firewall jenis ini akan melakukan autentikasi terlebih dahulu terhadap pengguna
sebelum mengizinkan pengguna tersebut untuk mengakses jaringan. Selain itu,
firewall ini juga mengimplementasikan mekanisme auditing dan pencatatan
(logging) sebagai bagian dari kebijakan keamanan yang diterapkannya.
Application Level Firewall juga umumnya mengharuskan beberapa konfigurasi yang
diberlakukan pada pengguna untuk mengizinkan mesin klien agar dapat berfungsi.
Sebagai contoh, jika sebuah proxy FTP dikonfigurasikan di atas sebuah
application layer gateway, proxy tersebut dapat dikonfigurasikan untuk
mengizinlan beberapa perintah FTP, dan menolak beberapa perintah lainnya. Jenis
ini paling sering diimplementasikan pada proxy SMTP sehingga mereka dapat
menerima surat elektronik dari luar (tanpa menampakkan alamat e-mail internal),
lalu meneruskan e-mail tersebut kepada e-mail server dalam jaringan. Tetapi,
karena adanya pemrosesan yang lebih rumit, firewall jenis ini mengharuskan
komputer yang dikonfigurasikan sebagai application gateway memiliki spesifikasi
yang tinggi, dan tentu saja jauh lebih lambat dibandingkan dengan packet-filter
firewall.
4. NAT
Firewall
NAT
(Network Address Translation) Firewall secara otomatis menyediakan proteksi
terhadap sistem yang berada di balik firewall karena NAT Firewall hanya
mengizinkan koneksi yang datang dari komputer-komputer yang berada di balik
firewall. Tujuan dari NAT adalah untuk melakukan multiplexing terhadap lalu
lintas dari jaringan internal untuk kemudian menyampaikannya kepada jaringan
yang lebih luas (MAN, WAN atau Internet) seolah-olah paket tersebut datang dari
sebuah alamat IP atau beberapa alamat IP. NAT Firewall membuat tabel dalam memori
yang mengandung informasi mengenai koneksi yang dilihat oleh firewall. Tabel
ini akan memetakan alamat jaringan internal ke alamat eksternal. Kemampuan
untuk menaruh keseluruhan jaringan di belakang sebuah alamat IP didasarkan
terhadap pemetaan terhadap port-port dalam NAT firewall.
5. Stateful
Firewall
Cara kerja stateful firewall
Stateful
Firewall merupakan sebuah firewall yang menggabungkan keunggulan yang
ditawarkan oleh packet-filtering firewall, NAT Firewall, Circuit-Level Firewall
dan Proxy Firewall dalam satu sistem. Stateful Firewall dapat melakukan
filtering terhadap lalu lintas berdasarkan karakteristik paket, seperti halnya
packet-filtering firewall, dan juga memiliki pengecekan terhadap sesi koneksi
untuk meyakinkan bahwa sesi koneksi yang terbentuk tersebut diizinlan. Tidak
seperti Proxy Firewall atau Circuit Level Firewall, Stateful Firewall umumnya
didesain agar lebih transparan (seperti halnya packet-filtering firewall atau
NAT firewall). Tetapi, stateful firewall juga mencakup beberapa aspek yang
dimiliki oleh application level firewall, sebab ia juga melakukan inspeksi
terhadap data yang datang dari lapisan aplikasi (application layer) dengan
menggunakan layanan tertentu. Firewall ini hanya tersedia pada beberapa
firewall kelas atas, semacam Cisco PIX. Karena menggabungkan keunggulan
jenis-jenis firewall lainnya, stateful firewall menjadi lebih kompleks.
6. Virtual
Firewall
Virtual
Firewall adalah sebutan untuk beberapa firewall logis yang berada dalam sebuah
perangkat fisik (komputer atau perangkat firewall lainnya). Pengaturan ini
mengizinkan beberapa jaringan agar dapat diproteksi oleh sebuah firewall yang
unik yang menjalankan kebijakan keamanan yang juga unik, cukup dengan
menggunakan satu buah perangkat. Dengan menggunakan firewall jenis ini, sebuah
ISP (Internet Service Provider) dapat menyediakan layanan firewall kepada para
pelanggannya, sehingga mengamankan lalu lintas jaringan mereka, hanya dengan
menggunakan satu buah perangkat. Hal ini jelas merupakan penghematan biaya yang
signifikan, meski firewall jenis ini hanya tersedia pada firewall kelas atas,
seperti Cisco PIX 535.
7.
Transparent Firewall
Transparent
Firewall (juga dikenal sebagai bridging firewall) bukanlah sebuah firewall yang
murni, tetapi ia hanya berupa turunan dari stateful Firewall. Daripada
firewall-firewall lainnya yang beroperasi pada lapisan IP ke atas, transparent
firewall bekerja pada lapisan Data-Link Layer, dan kemudian ia memantau
lapisan-lapisan yang ada di atasnya. Selain itu, transparent firewall juga
dapat melakukan apa yang dapat dilakukan oleh packet-filtering firewall,
seperti halnya stateful firewall dan tidak terlihat oleh pengguna (karena
itulah, ia disebut sebagai Transparent Firewall).
Intinya,
transparent firewall bekerja sebagai sebuah bridge yang bertugas untuk
menyaring lalu lintas jaringan antara dua segmen jaringan. Dengan menggunakan
transparent firewall, keamanan sebuah segmen jaringan pun dapat diperkuat,
tanpa harus mengaplikasikan NAT Filter. Transparent Firewall menawarkan tiga
buah keuntungan, yakni sebagai berikut:
Konfigurasi
yang mudah (bahkan beberapa produk mengklaim sebagai “Zero Configuration”). Hal
ini memang karena transparent firewall dihubungkan secara langsung dengan
jaringan yang hendak diproteksinya, dengan memodifikasi sedikit atau tanpa
memodifikasi konfigurasi firewall tersebut. Karena ia bekerja pada data-link
layer, pengubahan alamat IP pun tidak dibutuhkan. Firewall juga dapat
dikonfigurasikan untuk melakukan segmentasi terhadap sebuah subnet jaringan
antara jaringan yang memiliki keamanan yang rendah dan keamanan yang tinggi
atau dapat juga untuk melindungi sebuah host, jika memang diperlukan.
Kinerja yang tinggi. Hal ini disebabkan oleh firewall yang berjalan dalam lapisan data-link lebih sederhana dibandingkan dengan firewall yang berjalan dalam lapisan yang lebih tinggi. Karena bekerja lebih sederhana, maka kebutuhan pemrosesan pun lebih kecil dibandingkan dengan firewall yang berjalan pada lapisan yang tinggi, dan akhirnya performa yang ditunjukannya pun lebih tinggi.
Tidak terlihat oleh pengguna (stealth). Hal ini memang dikarenakan Transparent Firewall bekerja pada lapisan data-link, dan tidak membutuhkan alamat IP yang ditetapkan untuknya (kecuali untuk melakukan manajemen terhadapnya, jika memang jenisnya managed firewall). Karena itulah, transparent firewall tidak dapat terlihat oleh para penyerang. Karena tidak dapat diraih oleh penyerang (tidak memiliki alamat IP), penyerang pun tidak dapat menyerangnya.
Kinerja yang tinggi. Hal ini disebabkan oleh firewall yang berjalan dalam lapisan data-link lebih sederhana dibandingkan dengan firewall yang berjalan dalam lapisan yang lebih tinggi. Karena bekerja lebih sederhana, maka kebutuhan pemrosesan pun lebih kecil dibandingkan dengan firewall yang berjalan pada lapisan yang tinggi, dan akhirnya performa yang ditunjukannya pun lebih tinggi.
Tidak terlihat oleh pengguna (stealth). Hal ini memang dikarenakan Transparent Firewall bekerja pada lapisan data-link, dan tidak membutuhkan alamat IP yang ditetapkan untuknya (kecuali untuk melakukan manajemen terhadapnya, jika memang jenisnya managed firewall). Karena itulah, transparent firewall tidak dapat terlihat oleh para penyerang. Karena tidak dapat diraih oleh penyerang (tidak memiliki alamat IP), penyerang pun tidak dapat menyerangnya.