Công nghệ Firewall có 3 loại: - Packet filtering - Application layer gateway - Statefull packet filtering 1.Packet filtering Lọc packet dựa vào source, destination IP; source port, destination port. Khuyết điểm: -Dễ bị ip spoofing -Không lọc fragment packet tốt. Vì IP packet phân mảnh mang TCP header trong mảnh đầu tiên và lọc packet trên TCP thông tin header, do đó tất cả những phân mảnh mà không phải phân mảnh đầu tiên sẽ cho qua mà không cần lọc. -Khó lọc những session động, ví dụ như FTP, SQLnet,những protocol được sử dụng cho voice, … Ví dụ ACL 100 cho phép ACK từ bên ngoài vào bên trong. Do đó chỉ cho máy Inside bên trong thiết lập kết nối ra ngoài. Những máy bên ngoài không thể thiết lập được với máy bên trong nếu không phải khởi tao ban đầu là từ bên trong. 2. Application layer gateway Những user bên trong muốn đi ra ngoài phải qua ALG, lúc này ALG sẽ đi thế đến những host bên ngoài, sau đó hồi đáp lại cho mạng bên trong. Nhược: -ALG cần xem xét nhiều thông tin trong nhiều packet, vì thế nó làm chậm tốc độ thực thi kết nối. -Được thiết kế để lọc một ứng dụng cụ thể. Vì thế muốn cộng thêm những dịch vụ mới phải chạy nhiều ALG trên một máy hoặc làm những máy ALG mới hoàn toàn. -Nếu máy ALG bị tổn thương, những máy bên trong có khả năng bị tấn công. 3.Statefull packet filtering Vì số lượng ứng dụng ngày càng gia tăng nên proxy server [ALG] không phát triển kịp những proxy server mới. Mà packet filter cũng không hỗ trợ những session động của nhiều ứng dụng mới. vì thế statefull ra đời, nó là sự kết hợp của Packet filtering và Application layer gateway nhưng ưu việt hơn. Statefull firewall gồm 2 phần + session table[state table] theo dõi tất cả các kết nối + additional connections: nhận ra những ứng dụng động và khởi tạo giữa 2 điểm đầu cuối đó. Cisco IOS feature Chứa 3 thành phần +Cisco IOS firewall: lọc TCP, UDP packet dựa trên session và những thông tin, giao thức tầng ứng dụng. Cisco IOS firewall trước đây gọi là CBAC, là statefull packet filterting của IOS router. Theo dõi packet ở tầng ứng dụng, duy trì thông tin session TCP/UDP , nhằm tránh tấn công, ví dụ SYN flooding. Theo dõi sequence number của TCP, cho phép nếu ở trong range nào đó. Ngoài range bị nghi ngờ sẽ drop. Ngoài ra nó còn phát hiện tầng số kết nối cao bất thường và đưa ra cảnh báo, có thể giúp hạn chế tấn công DoS gồm cả fragment IP packet. +Authentication proxy: Sử dụng để chứng thực và apply policy cho user trước khi user muốn sử dụng dịch vụ nào đó. user chỉ có thể truy cập dịch vụ nếu đã được chứng thực. ví dụ: HTTP, HTTPs, FTP, telnet. +IPS [intrusion prevention system]: nhận dạng tấn công, sử dụng signature như là những mẫu để nhận dạng tấn công. ngăn chặn sự xâm nhập dựa trên signature, có khoảng hơn 700 signature. Những hành động sau khi match signature: alarm [send log đến server log hoặc SDEE (security device event exchange)], drop, Reset[gửi TCP RST đến sender và receiver], block attacker [block tất cả các truyền thông với IP đã đưa ra trong khoảng thời gian ], Block connection [Block TCP/UDP session trong khoảng thời gian đã chỉ định] . cuối đó. Cisco IOS feature Chứa 3 thành phần +Cisco IOS firewall: lọc TCP, UDP packet dựa trên session và những thông tin, giao thức tầng ứng dụng. Cisco IOS firewall trước đây gọi là CBAC, là statefull. nó là sự kết hợp của Packet filtering và Application layer gateway nhưng ưu việt hơn. Statefull firewall gồm 2 phần + session table[state table] theo dõi tất cả các kết nối + additional connections:. Công nghệ Firewall có 3 loại: - Packet filtering - Application layer gateway - Statefull packet filtering 1.Packet