Модуль FireWall включает два "демона" CheckPoint FireWallЦ1 (snmpd и fwd) и Инспекционный Модуль. CheckPoint FireWallЦ1 обычно устанавливается на dual-homed компьютере (Gateway), но может также быть установлен и на информационном сервере. Так как CheckPoint FireWallЦ1 загружается в ядро операционной системы, нет необходимости запрещать трансляцию IP пакетов, потому что CheckPoint FireWallЦ1 обрабатывает пакеты до их пересылки. Кроме того, процессы и "демоны" на шлюзе не должны уничтожаться или модифицироваться, так как CheckPoint FireWallЦ1 работает с ними на самом нижнем — сетевом — уровне.
Начиная с FireWall-1 Version 2.1, FireWall модуль может устанавливаться на NT системы. Вся функциональность FireWallЦ1 для Unix ® систем доступна и для Windows NT, в том числе и модель Клиент-Сервер.
В дополнение к возможности управления Списками Доступа маршрутизаторов Bay Networks, появится реализация Инспекционного Модуля FireWall,который будет поддерживать все стандартные функции FireWall, кроме шифрования, авторизации и адресной трансляции.
Это решение существенно усилит безопасность в сети, содержащей маршрутизаторы.
Когда Инспекционный Модуль установлен на шлюзе, он управляет трафиком между сетями. Инспекционный Модуль динамически загружается в ядро операционной системы, между драйвером сетевой платы и Сетевыми уровнями (уровни 2 и 3).
Таким образом, Инспекционный Модуль FireWall располагается на самом нижнем программном уровне.
Рисунок 20. Архитектура Инспекционного Модуля.
Работая на этом уровне, CheckPoint FireWallЦ1 гарантирует, что Инспекционный Модуль контролирует и проверяет весь входной и выходной трафик на всех интерфейсах. Ни один из входящих пакетов не будет обработан стеками протоколов более высоких уровней, независимо от того какой протокол или приложение использует этот пакет, до тех пор, пока Инспекционный Модуль не проверит пакет на соответствие стратегии защиты.
Поскольку Инспекционный Модуль имеет доступ к "необработанному сообщению", он может просматривать всю информацию в сообщении, включая информацию относящуюся к более высоким уровням протоколов, а также к данным, содержащимся в пакете. Инспекционный Модуль исследует IP заголовок, адреса, номера портов, и другую необходимую информацию, чтобы определить, должны ли пакеты быть пропущены в соответствии с Инспекционным Кодом из Базы Правил.
CheckPoint FireWallЦ1 понимает внутренние структуры семейства IP протоколов и приложений, сформированные на их верхних уровнях. Для stateless протоколов типа UDP и RPC, CheckPoint FireWallЦ1 выделяет и сохраняет контекстные данные. Он способен извлекать данные из пакетов и сохранять их в случае, если приложение не обеспечивает эту возможность. Кроме того, CheckPoint FireWallЦ1 способен динамически разрешать и запрещать соединения по мере необходимости. Описанные гибкие динамические возможности разработаны для обеспечения самого высокого уровня защиты для сложных протоколов. Однако существует и возможность их отключения, если это необходимо.
Способность CheckPoint FireWallЦ1 работать с данными внутри пакета предоставляет возможность разрешать некоторые команды внутри приложения, и запрещать другие. Например, CheckPoint FireWallЦ1 разрешит прохождения ping ICMP, в то время как переадресация будет запрещена; или разрешит функцию get SNMP, а put запретит, и так далее. CheckPoint FireWallЦ1 может сохранять и получать значения в таблицах (динамический контекст) и выполнять логические или арифметические операции над данными в любой части пакета. В дополнение к операциям из стратегии защиты, пользователь может создать свои собственные выражения и таблицы.
Пакеты, которые стратегия защиты явно не разрешает, просто уничтожаются в соответствии с принципом "Что явно не разрешено, то запрещено".
В правилах можно указать конкретный компьютер, интерфейс и направление трафика к которым правило применяется. Пакеты могут проверяться в любом из трех направлений:
На обычных шлюзах пакеты просматриваются на входе, хотя возможно проверять пакеты и на выходе.