Firewall adalah suatu sistem perangkat lunak yang mengizinkan
lalu lintas jaringan yang dianggap aman untuk bisa melaluinya dan mencegah lalu
lintas jaringan yang dianggap tidak aman. Umumnya,
sebuah tembok-api diterapkan dalam sebuah mesin terdedikasi, yang berjalan pada
pintu gerbang (gateway) antara jaringan lokal dengan
jaringan Internet.
Tembok-api
digunakan untuk membatasi atau mengontrol akses terhadap siapa saja yang memiliki akses terhadap
jaringan pribadi dari pihak luar. Saat ini, istilah firewall menjadi
istilah lazim yang merujuk pada sistem yang mengatur komunikasi antar dua macam
jaringan yang berbeda. Mengingat saat ini banyak perusahaan yang memiliki akses
ke Internet dan juga tentu saja jaringan berbadan hukum di dalamnya, maka
perlindungan terhadap perangkat digital perusahaan tersebut dari serangan para peretas, pemata-mata, ataupun pencuri data lainnya,
menjadi kenyataan.
Jenis-jenis Firewall
Taksonomi Firewall
Firewall
terbagi menjadi dua jenis, yakni sebagai berikut
- § Personal Firewall: Personal Firewall didesain untuk
melindungi sebuah komputer yang terhubung ke jaringan dari akses yang tidak
dikehendaki. Firewall jenis ini akhir-akhir ini berevolusi menjadi sebuah
kumpulan program yang bertujuan untuk mengamankan komputer secara total, dengan
ditambahkannya beberapa fitur pengaman tambahan semacam perangkat proteksi terhadap virus, anti-spyware, anti-spam,
dan lainnya. Bahkan beberapa produk firewall lainnya dilengkapi dengan fungsi pendeteksian
gangguan keamanan jaringan (Intrusion Detection System). Contoh dari firewall jenis ini adalah
Microsoft Windows Firewall (yang telah terintegrasi dalam sistem operasi Windows XP Service Pack 2, Windows Vista dan Windows Server 2003 Service Pack 1), Symantec Norton
Personal Firewall, Kerio Personal
Firewall, dan lain-lain. Personal Firewall secara umum hanya memiliki dua fitur
utama, yakni Packet Filter Firewall dan Stateful Firewall.
- § Network Firewall: Network Firewall didesain untuk
melindungi jaringan secara keseluruhan dari berbagai serangan. Umumnya dijumpai
dalam dua bentuk, yakni sebuah perangkat terdedikasi atau sebagai sebuah perangkat lunak yang diinstalasikan dalam sebuah server. Contoh
dari firewall ini adalah Microsoft Internet Security and Acceleration Server (ISA
Server), Cisco PIX, Cisco ASA, IPTables dalam
sistem operasi GNU/Linux, pf dalam keluarga sistem operasi Unix BSD, serta
SunScreen dari Sun Microsystems, Inc. yang dibundel dalam sistem operasi Solaris. Network Firewall secara umum
memiliki beberapa fitur utama, yakni apa yang dimiliki oleh personal firewall
(packet filter firewall dan stateful firewall), Circuit Level Gateway, Application
Level Gateway, dan juga NAT Firewall. Network Firewall umumnya
bersifat transparan (tidak terlihat) dari pengguna dan menggunakan teknologi routing untuk menentukan paket mana yang diizinkan, dan mana
paket yang akan ditolak.
Fungsi Firewall
Secara
mendasar, firewall dapat melakukan hal-hal berikut:
- § Mengatur dan mengontrol lalu lintas jaringan
- § Melakukan autentikasi terhadap akses
- § Melindungi sumber daya dalam jaringan privat
- § Mencatat semua kejadian, dan
melaporkan kepada administrator
Mengatur dan Mengontrol Lalu lintas jaringan
Fungsi pertama yang dapat dilakukan oleh firewall
adalah firewall harus dapat mengatur dan mengontrol lalu lintas jaringan yang
diizinkan untuk mengakses jaringan privat atau komputer yang dilindungi oleh
firewall. Firewall melakukan hal yang demikian, dengan melakukan inspeksi
terhadap paket-paket dan memantau koneksi yang sedang dibuat, lalu melakukan
penapisan (filtering) terhadap koneksi berdasarkan hasil inspeksi paket
dan koneksi tersebut.
Proses inspeksi Paket
Inspeksi paket ('packet inspection) merupakan
proses yang dilakukan oleh firewall untuk 'menghadang' dan memproses data dalam
sebuah paket untuk menentukan bahwa paket tersebut diizinkan atau ditolak,
berdasarkan kebijakan akses (access policy) yang diterapkan oleh seorang
administrator. Firewall, sebelum menentukan
keputusan apakah hendak menolak atau menerima komunikasi dari luar, ia harus
melakukan inspeksi terhadap setiap paket (baik yang masuk ataupun yang keluar)
di setiap antarmuka dan membandingkannya dengan daftar kebijakan akses.
Inspeksi paket dapat dilakukan dengan melihat elemen-elemen berikut, ketika
menentukan apakah hendak menolak atau menerima komunikasi:
§ Port sumber pada komputer sumber
§ Port tujuan data pada komputer tujuan
§ Informasi header-header yang
disimpan dalam paket
§
Koneksi dan Keadaan Koneksi
Agar dua
host TCP/IP dapat saling berkomunikasi, mereka harus saling membuat koneksi
antara satu dengan lainnya. Koneksi ini memiliki dua tujuan:
1. Komputer dapat menggunakan koneksi
tersebut untuk mengidentifikasikan dirinya kepada komputer lain, yang
meyakinkan bahwa sistem lain yang tidak membuat koneksi tidak dapat mengirimkan
data ke komputer tersebut. Firewall juga dapat menggunakan informasi koneksi
untuk menentukan koneksi apa yang diizinkan oleh kebijakan akses dan
menggunakannya untuk menentukan apakah paket data tersebut akan diterima atau
ditolak.
2. Koneksi digunakan untuk
menentukan bagaimana cara dua host tersebut akan berkomunikasi antara satu
dengan yang lainnya (apakah dengan menggunakan koneksi connection-oriented,
atau connectionless).
Ilustrasi mengenai percakapan antara dua buah host
Kedua tujuan tersebut dapat digunakan untuk menentukan
keadaan koneksi antara dua host tersebut, seperti halnya cara manusia
bercakap-cakap. Jika Amir bertanya kepada Aminah mengenai sesuatu, maka Aminah
akan meresponsnya dengan jawaban yang sesuai dengan pertanyaan yang diajukan
oleh Amir; Pada saat Amir melontarkan pertanyaannya kepada Aminah, keadaan
percakapan tersebut adalah Amir menunggu respons dari Aminah. Komunikasi di
jaringan juga mengikuti cara yang sama untuk memantau keadaan percakapan
komunikasi yang terjadi.
Firewall dapat memantau informasi keadaan koneksi
untuk menentukan apakah ia hendak mengizinkan lalu lintas jaringan. Umumnya hal
ini dilakukan dengan memelihara sebuah tabel keadaan koneksi (dalam istilah
firewall: state table) yang memantau keadaan semua komunikasi yang
melewati firewall. Dengan memantau keadaan koneksi ini, firewall dapat
menentukan apakah data yang melewati firewall sedang "ditunggu" oleh
host yang dituju, dan jika ya, aka mengizinkannya. Jika data yang melewati
firewall tidak cocok dengan keadaan koneksi yang didefinisikan oleh tabel
keadaan koneksi, maka data tersebut akan ditolak. Hal ini umumnya disebut
sebagai Stateful Inspection.
Stateful Packet Inspection
Ketika sebuah firewall menggabungkan stateful
inspection dengan packet inspection, maka firewall tersebut
dinamakan dengan Stateful Packet Inspection (SPI). SPI merupakan proses
inspeksi paket yang tidak dilakukan dengan menggunakan struktur paket dan data
yang terkandung dalam paket, tapi juga pada keadaan apa host-host yang saling
berkomunikasi tersebut berada. SPI mengizinkan firewall untuk melakukan
penapisan tidak hanya berdasarkan isi paket tersebut, tapi juga berdasarkan
koneksi atau keadaan koneksi, sehingga dapat mengakibatkan firewall memiliki
kemampuan yang lebih fleksibel, mudah diatur, dan memiliki skalabilitas dalam
hal penapisan yang tinggi.
Salah satu keunggulan dari SPI dibandingkan dengan
inspeksi paket biasa adalah bahwa ketika sebuah koneksi telah dikenali dan
diizinkan (tentu saja setelah dilakukan inspeksi), umumnya sebuah kebijakan
(policy) tidak dibutuhkan untuk mengizinkan komunikasi balasan karena firewall
tahu respons apa yang diharapkan akan diterima. Hal ini memungkinkan inspeksi
terhadap data dan perintah yang terkandung dalam sebuah paket data untuk
menentukan apakah sebuah koneksi diizinkan atau tidak, lalu firewall akan secara
otomatis memantau keadaan percakapan dan secara dinamis mengizinkan lalu lintas
yang sesuai dengan keadaan. Ini merupakan peningkatan yang cukup signifikan
jika dibandingkan dengan firewall dengan inspeksi paket biasa. Apalagi, proses
ini diselesaikan tanpa adanya kebutuhan untuk mendefinisikan sebuah kebijakan
untuk mengizinkan respons dan komunikasi selanjutnya. Kebanyakan firewall
modern telah mendukung fungsi ini.
Melakukan autentikasi terhadap akses
Fungsi fundamental firewall yang kedua adalah firewall
dapat melakukan autentikasi terhadap akses.
Protokol
TCP/IP dibangun dengan premis bahwa protokol tersebut mendukung komunikasi yang
terbuka. Jika dua host saling mengetahui alamat IP satu sama lainnya, maka
mereka diizinkan untuk saling berkomunikasi. Pada awal-awal perkembangan
Internet, hal ini boleh dianggap sebagai suatu berkah. Tapi saat ini, di saat
semakin banyak yang terhubung ke Internet, mungkin kita tidak mau siapa saja
yang dapat berkomunikasi dengan sistem yang kita miliki. Karenanya, firewall
dilengkapi dengan fungsi autentikasi dengan menggunakan beberapa mekanisme
autentikasi, sebagai berikut:
§ Firewall dapat meminta input dari
pengguna mengenai nama pengguna (user name) serta kata kunci (password). Metode
ini sering disebut sebagai extended authentication atau xauth. Menggunakan
xauth pengguna yang mencoba untuk membuat sebuah koneksi akan diminta input
mengenai nama dan kata kuncinya sebelum akhirnya diizinkan oleh firewall.
Umumnya, setelah koneksi diizinkan oleh kebijakan keamanan dalam firewall,
firewall pun tidak perlu lagi mengisikan input password dan namanya, kecuali
jika koneksi terputus dan pengguna mencoba menghubungkan dirinya kembali.
§ Metode kedua adalah dengan
menggunakan sertifikat digital dan kunci publik. Keunggulan
metode ini dibandingkan dengan metode pertama adalah proses autentikasi dapat
terjadi tanpa intervensi pengguna. Selain itu, metode ini lebih cepat dalam
rangka melakukan proses autentikasi. Meskipun demikian, metode ini lebih rumit
implementasinya karena membutuhkan banyak komponen seperti halnya implementasi infrastruktur
kunci publik.
§ Metode selanjutnya adalah dengan
menggunakan Pre-Shared Key (PSK) atau kunci yang telah diberitahu kepada
pengguna. Jika dibandingkan dengan sertifikat digital, PSK lebih mudah
diimplenentasikan karena lebih sederhana, tetapi PSK juga mengizinkan proses
autentikasi terjadi tanpa intervensi pengguna. Dengan menggunakan PSK, setiap
host akan diberikan sebuah kunci yang telah ditentukan sebelumnya yang kemudian
digunakan untuk proses autentikasi. Kelemahan metode ini adalah kunci PSK
jarang sekali diperbarui dan banyak organisasi sering sekali menggunakan kunci
yang sama untuk melakukan koneksi terhadap host-host yang berada pada jarak
jauh, sehingga hal ini sama saja meruntuhkan proses autentikasi. Agar tercapai
sebuah derajat keamanan yang tinggi, umumnya beberapa organisasi juga
menggunakan gabungan antara metode PSK dengan xauth atau PSK dengan sertifikat
digital.
Dengan mengimplementasikan proses autentikasi, firewall
dapat menjamin bahwa koneksi dapat diizinkan atau tidak. Meskipun jika paket
telah diizinkan dengan menggunakan inspeksi paket (PI) atau berdasarkan keadaan
koneksi (SPI), jika host tersebut tidak lolos proses autentikasi, paket
tersebut akan dibuang.
Melindungi sumber daya dalam jaringan privat
Salah satu tugas firewall adalah melindungi sumber
daya dari ancaman yang mungkin datang. Proteksi ini dapat diperoleh dengan
menggunakan beberapa pengaturan peraturan akses (access control), penggunaan
SPI, application proxy, atau kombinasi dari semuanya untuk mengamankan host
yang dilindungi supaya tidak dapat diakses oleh host-host yang mencurigakan
atau dari lalu lintas jaringan yang mencurigakan. Meskipun demikian, firewall
bukan satu-satunya metode proteksi teraman terhadap sumber daya, dan
mempercayakan proteksi firewall dari ancaman secara eksklusif adalah salah satu
kesalahan fatal.
Jika sebuah host yang menjalankan sistem operasi
tertentu yang memiliki lubang keamanan yang belum ditambal dikoneksikan ke Internet,
firewall mungkin tidak dapat mencegah dieksploitasinya host tersebut oleh
host-host lainnya, khususnya jika exploit tersebut menggunakan lalu lintas yang
oleh firewall telah diizinkan (dalam konfigurasinya). Sebagai contoh, jika
sebuah packet-inspection firewall mengizinkan lalu lintas HTTP ke sebuah web
server yang menjalankan sebuah layanan web yang memiliki lubang keamanan yang
belum ditambal, maka seorang pengguna yang "iseng" dapat saja membuat
exploit untuk meruntuhkan web server tersebut karena memang web server yang
bersangkutan memiliki lubang keamanan yang belum ditambal.
Dalam contoh ini, web server tersebut akhirnya
mengakibatkan proteksi yang ditawarkan oleh firewall menjadi tidak berguna. Hal
ini disebabkan oleh firewall tidak dapat membedakan antara request HTTP yang
mencurigakan atau tidak. Apalagi, jika firewall yang digunakan bukan
application proxy. Oleh karena itulah, sumber daya yang dilindungi haruslah
dipelihara dengan melakukan penambalan terhadap lubang-lubang keamanan, selain
tentunya dilindungi oleh firewall.
Cara Kerja Firewall
Firewall berada di antara kedua jaringan seperti
internet dan komputer sehingga firewall berfungsi sebagai pelindung. Tujuan
utama adanya firewall adalah untuk user yang tidak menginginkan lalu lintas
jaringan yang berusaha masuk ke komputer, namun tidak hanya itu saja yang bisa
dilakukan firewall. Firewall juga dapat menganalisis jaringan yang mencoba
masuk ke komputer anda, dan dapat melakukan apa yang harus dilakukan ketika
jaringan tersebut masuk. Contohnya saja, firewall bisa diatur untuk memblokir
beberapa jenis jaringan yang mencoba keluar atau mencatat log lalu lintas
jaringan yang mencurigakan.
Firewall
bisa memiliki berbagai aturan yang dapat anda tambahkan atau hapus untuk
menolak jaringan tertentu. Contohnya saja, hanya dapat mengakses alamat IP
tertentu atau mengumpulkan semua akses dari tempat lain untuk ke satu tempat
yang aman terlebih dahulu
Packet-Filter Firewall
Contoh pengaturan akses (access control) yang
diterapkan dalam firewall
Pada bentuknya yang paling sederhana, sebuah firewall
adalah sebuah router atau komputer yang dilengkapi dengan dua buah NIC (Network
Interface Card, kartu antarmuka jaringan) yang mampu melakukan penapisan atau
penyaringan terhadap paket-paket yang masuk.
Perangkat jenis ini umumnya disebut dengan packet-filtering router.
Firewall jenis ini bekerja dengan cara membandingkan
alamat sumber dari paket-paket tersebut dengan kebijakan pengontrolan akses
yang terdaftar dalam Access Control List firewall, router tersebut akan mencoba memutuskan apakah hendak meneruskan
paket yang masuk tersebut ke tujuannya atau menghentikannya. Pada bentuk yang
lebih sederhana lagi, firewall hanya melakukan pengujian terhadap alamat IP atau nama domain yang menjadi sumber paket dan akan menentukan apakah
hendak meneruskan atau menolak paket tersebut. Meskipun demikian,
packet-filtering router tidak dapat digunakan untuk memberikan akses (atau
menolaknya) dengan menggunakan basis hak-hak yang dimiliki oleh pengguna.
Cara kerja packet filter firewall
Packet-filtering router juga dapat dikonfigurasikan
agar menghentikan beberapa jenis lalu lintas jaringan dan tentu saja
mengizinkannya. Umumnya, hal ini dilakukan dengan mengaktifkan/menonaktifkan port TCP/IP dalam sistem firewall tersebut. Sebagai contoh, port
25 yang digunakan oleh Protokol SMTP (Simple Mail Transfer Protocol)
umumnya dibiarkan terbuka oleh beberapa firewall untuk mengizinkan surat elektronik dari Internet masuk ke dalam jaringan privat, sementara port lainnya
seperti port 23 yang digunakan oleh Protokol Telnet dapat
dinonaktifkan untuk mencegah pengguna Internet untuk mengakses layanan yang
terdapat dalam jaringan privat tersebut. Firewall juga dapat memberikan semacam
pengecualian (exception) agar beberapa aplikasi dapat melewati firewall
tersebut. Dengan menggunakan pendekatan ini, keamanan akan lebih kuat tapi
memiliki kelemahan yang signifikan yakni kerumitan konfigurasi terhadap
firewall: daftar Access Control List firewall akan membesar seiring dengan
banyaknya alamat IP, nama domain, atau port yang dimasukkan ke dalamnya, selain
tentunya juga exception yang diberlakukan.
Circuit Level Gateway
Cara kerja circuit level firewall
Firewall jenis lainnya adalah Circuit-Level Gateway,
yang umumnya berupa komponen dalam sebuah proxy server. Firewall jenis ini beroperasi pada level yang lebih
tinggi dalam model referensi tujuh lapis OSI (bekerja pada lapisan sesi/session
layer) daripada Packet Filter Firewall. Modifikasi ini membuat firewall jenis
ini berguna dalam rangka menyembunyikan informasi mengenai jaringan
terproteksi, meskipun firewall ini tidak melakukan penyaringan terhadap
paket-paket individual yang mengalir dalam koneksi.
Dengan menggunakan firewall jenis ini, koneksi yang
terjadi antara pengguna dan jaringan pun disembunyikan dari pengguna. Pengguna
akan dihadapkan secara langsung dengan firewall pada saat proses pembuatan
koneksi dan firewall pun akan membentuk koneksi dengan sumber daya jaringan
yang hendak diakses oleh pengguna setelah mengubah alamat IP dari paket yang
ditransmisikan oleh dua belah pihak. Hal ini mengakibatkan terjadinya sebuah
sirkuit virtual (virtual circuit) antara pengguna dan sumber daya
jaringan yang ia akses.
Firewall ini dianggap lebih aman dibandingkan dengan
Packet-Filtering Firewall, karena pengguna eksternal tidak dapat melihat alamat
IP jaringan internal dalam paket-paket yang ia terima, melainkan alamat IP dari
firewall.
Application Level Firewall
Application Level Firewall (disebut juga sebagai application
proxy atau application level gateway)
Firewall jenis lainnya adalah Application Level
Gateway (atau Application-Level Firewall atau sering juga disebut sebagai Proxy
Firewall), yang umumnya juga merupakan komponen dari sebuah proxy server.
Firewall ini tidak mengizinkan paket yang datang untuk melewati firewall secara
langsung. Tetapi, aplikasi proxy yang berjalan dalam komputer yang menjalankan
firewall akan meneruskan permintaan tersebut kepada layanan yang tersedia dalam
jaringan privat dan kemudian meneruskan respons dari permintaan tersebut kepada
komputer yang membuat permintaan pertama kali yang terletak dalam jaringan
publik yang tidak aman.
Umumnya, firewall jenis ini akan melakukan autentikasi
terlebih dahulu terhadap pengguna sebelum mengizinkan pengguna tersebut untuk
mengakses jaringan. Selain itu, firewall ini juga mengimplementasikan mekanisme
auditing dan pencatatan (logging) sebagai bagian dari kebijakan keamanan yang
diterapkannya. Application Level Firewall juga umumnya mengharuskan beberapa
konfigurasi yang diberlakukan pada pengguna untuk mengizinkan mesin klien agar
dapat berfungsi. Sebagai contoh, jika sebuah proxy FTP
dikonfigurasikan di atas sebuah application layer gateway, proxy tersebut dapat
dikonfigurasikan untuk mengizinlan beberapa perintah FTP, dan menolak beberapa
perintah lainnya. Jenis ini paling sering diimplementasikan pada proxy SMTP sehingga
mereka dapat menerima surat elektronik dari luar (tanpa menampakkan alamat
e-mail internal), lalu meneruskan e-mail tersebut kepada e-mail server dalam
jaringan. Tetapi, karena adanya pemrosesan yang lebih rumit, firewall jenis ini
mengharuskan komputer yang dikonfigurasikan sebagai application gateway
memiliki spesifikasi yang tinggi, dan tentu saja jauh lebih lambat dibandingkan
dengan packet-filter firewall.
NAT Firewall
NAT (Network Address Translation) Firewall secara
otomatis menyediakan proteksi terhadap sistem yang berada di balik firewall
karena NAT Firewall hanya mengizinkan koneksi yang datang dari
komputer-komputer yang berada di balik firewall. Tujuan dari NAT adalah untuk
melakukan multiplexing terhadap lalu lintas dari jaringan internal untuk
kemudian menyampaikannya kepada jaringan yang lebih luas (MAN, WAN atau
Internet) seolah-olah paket tersebut datang dari sebuah alamat IP atau beberapa
alamat IP. NAT Firewall membuat tabel dalam memori yang mengandung informasi
mengenai koneksi yang dilihat oleh firewall. Tabel ini akan memetakan alamat
jaringan internal ke alamat eksternal. Kemampuan untuk menaruh keseluruhan
jaringan di belakang sebuah alamat IP didasarkan terhadap pemetaan terhadap
port-port dalam NAT firewall.
Stateful Firewall
Cara kerja stateful firewall
Stateful Firewall merupakan sebuah firewall yang
menggabungkan keunggulan yang ditawarkan oleh packet-filtering firewall, NAT
Firewall, Circuit-Level Firewall dan Proxy Firewall dalam satu sistem. Stateful
Firewall dapat melakukan filtering terhadap lalu lintas berdasarkan
karakteristik paket, seperti halnya packet-filtering firewall, dan juga
memiliki pengecekan terhadap sesi koneksi untuk meyakinkan bahwa sesi koneksi
yang terbentuk tersebut diizinlan. Tidak seperti Proxy Firewall atau Circuit
Level Firewall, Stateful Firewall umumnya didesain agar lebih transparan
(seperti halnya packet-filtering firewall atau NAT firewall). Tetapi, stateful
firewall juga mencakup beberapa aspek yang dimiliki oleh application level
firewall, sebab ia juga melakukan inspeksi terhadap data yang datang dari
lapisan aplikasi (application layer) dengan menggunakan layanan tertentu.
Firewall ini hanya tersedia pada beberapa firewall kelas atas, semacam Cisco
PIX. Karena menggabungkan keunggulan jenis-jenis firewall lainnya, stateful
firewall menjadi lebih kompleks.
Virtual Firewall
Virtual Firewall adalah sebutan untuk beberapa
firewall logis yang berada dalam sebuah perangkat fisik (komputer atau
perangkat firewall lainnya). Pengaturan ini mengizinkan beberapa jaringan agar dapat
diproteksi oleh sebuah firewall yang unik yang menjalankan kebijakan keamanan
yang juga unik, cukup dengan menggunakan satu buah perangkat. Dengan
menggunakan firewall jenis ini, sebuah ISP (Internet
Service Provider) dapat
menyediakan layanan firewall kepada para pelanggannya, sehingga mengamankan
lalu lintas jaringan mereka, hanya dengan menggunakan satu buah perangkat. Hal
ini jelas merupakan penghematan biaya yang signifikan, meski firewall jenis ini
hanya tersedia pada firewall kelas atas, seperti Cisco PIX 535.
Transparent Firewall
Transparent Firewall (juga dikenal sebagai bridging
firewall) bukanlah sebuah firewall yang murni, tetapi ia hanya berupa turunan
dari stateful Firewall. Daripada firewall-firewall lainnya yang beroperasi pada
lapisan IP ke atas, transparent firewall bekerja pada lapisan Data-Link Layer,
dan kemudian ia memantau lapisan-lapisan yang ada di atasnya. Selain itu,
transparent firewall juga dapat melakukan apa yang dapat dilakukan oleh
packet-filtering firewall, seperti halnya stateful firewall dan tidak terlihat
oleh pengguna (karena itulah, ia disebut sebagai Transparent Firewall).
Intinya, transparent firewall bekerja sebagai sebuah
bridge yang bertugas untuk menyaring lalu lintas jaringan antara dua segmen
jaringan. Dengan menggunakan transparent firewall, keamanan sebuah segmen
jaringan pun dapat diperkuat, tanpa harus mengaplikasikan NAT Filter.
Transparent Firewall menawarkan tiga buah keuntungan, yakni sebagai berikut:
§ Konfigurasi yang mudah (bahkan
beberapa produk mengklaim sebagai "Zero Configuration"). Hal ini
memang karena transparent firewall dihubungkan secara langsung dengan jaringan
yang hendak diproteksinya, dengan memodifikasi sedikit atau tanpa memodifikasi
konfigurasi firewall tersebut. Karena ia bekerja pada data-link layer,
pengubahan alamat IP pun tidak dibutuhkan. Firewall juga dapat dikonfigurasikan
untuk melakukan segmentasi terhadap sebuah subnet jaringan antara jaringan yang
memiliki keamanan yang rendah dan keamanan yang tinggi atau dapat juga untuk
melindungi sebuah host, jika memang diperlukan.
§ Kinerja yang tinggi. Hal ini
disebabkan oleh firewall yang berjalan dalam lapisan data-link lebih sederhana
dibandingkan dengan firewall yang berjalan dalam lapisan yang lebih tinggi.
Karena bekerja lebih sederhana, maka kebutuhan pemrosesan pun lebih kecil
dibandingkan dengan firewall yang berjalan pada lapisan yang tinggi, dan
akhirnya performa yang ditunjukannya pun lebih tinggi.
§ Tidak terlihat oleh pengguna (stealth).
Hal ini memang dikarenakan Transparent Firewall bekerja pada lapisan data-link,
dan tidak membutuhkan alamat IP yang ditetapkan untuknya (kecuali untuk
melakukan manajemen terhadapnya, jika memang jenisnya managed firewall).
Karena itulah, transparent firewall tidak dapat terlihat oleh para penyerang.
Karena tidak dapat diraih oleh penyerang (tidak memiliki alamat IP), penyerang
pun tidak dapat menyerangnya.