Đang tải... (xem toàn văn)
Firewall giải pháp an toàn khi kết nối internet
Trang 1
(Tiếp theo kỳ trớc)
III- Các vấn đề an toàn trên mạng Internet
Phần dới đây đề cập đến các vấn đề về an toàn trên mạng Internet và tập trung
vào Firewall nh một chiến lợc hữu hiệu để giải quyết vấn đề này A- Tại sao phải có FireWall trên mạng Internet
Ngày nay, không ai có thể phủ nhận những hiệu quả to lớn thu đợc từ việc sử dụng mạng Internet Song nó cũng tiềm ẩn những mối nguy hiểm gây hỏng và phá huỷ hệ thống thông tin Xây dựng và sử dụng Firewall trên mạng Internet là biện pháp tốt nhất nhằm khai thác những thế mạnh và hạn chế những mối hiểm hoạ cho các hệ thống muốn tham gia vào mạng Internet.
1- Chúng ta cần bảo vệ cái gì ?
Về cơ bản, Firewall là một thiết bị bảo vệ Muốn xây dựng một Firewall, điều trớc tiên phải quan tâm tới là " cần bảo vệ cái gì?".
Khi hệ thống kết nối vào Internet, những vấn đề sau đây luôn đợc đặt trong tình trạng bị đe doạ:
Dữ liệu: Thông tin đợc lu giữ trong máy.
Tài nguyên: Máy và các thiết bị có trong mạng.Thanh danh: Uy tín của NSD mạng.
a- Dữ liệu:
Với dữ liệu, có ba đặc điểm riêng biệt cần đợc bảo vệ
Tính bí mật: Không muốn ngời khác biết.
Tính toàn vẹn: Không muốn ngời khác thay đổi.
Tính sẵn dùng: Luôn sẵn sàng đáp ứng yêu cầu khai thác của NSD.
Mọi ngời thờng quan tâm tới những rủi ro liên quan đến tính bí mật và tính chân thực của dữ liệu Điều này hoàn toàn đúng vì đây là lĩnh vực có nhiều nguy hiểm nhất Nhiều tổ chức có những thông tin tối mật (thiết kế về sản phẩm, số liệu tài chính, an ninh quốc phòng v.v ) và đã phải chi phí nhiều để xây dựng các phơng án bảo vệ an toàn cho các thông tin đó Mặt khác, có thể thấy rằng, tại các hệ thống cục bộ, việc tách các máy chứa đựng những dữ liệu tối mật từ các máy khác nối vào Internet là rất dễ dàng Cứ cho rằng ta có thể tách dữ liệu của
Trang 2mình theo cách này và bảo đảm ngăn chặn đợc các truy nhập bất hợp pháp từ mạng Internet Trờng hợp này tại sao chúng ta vẫn phải quan tâm đến vấn đề an toàn? Bởi vì vấn đề bí mật không phải là vấn đề duy nhất chúng ta cần bảo vệ Ta vẫn phải lo lắng đến tính toàn vẹn và tính sẵn dùng của dữ liệu Dù dữ liệu của chúng ta không có gì là bí mật, ta không phải lo lắng về việc nó có bị thay đổi hay ngời khác có sử dụng nó hay không thì chúng ta vẫn phải gánh chịu những ảnh hởng nếu nó bị phá huỷ hoặc thay đổi Một số ảnh hởng này gây ra những chi phí nhất định, chẳng hạn, nếu mất dữ liệu, ta phải chi phí để khôi phục lại nó; Nếu có ý định thơng mại thì ta sẽ mất cơ hội v.v Ngoài ra còn một số chi phí vô hình khác có liên quan đến bất kỳ một sự cố an toàn nào Nghiêm trọng nhất là việc làm mất sự tin tởng của tổ chức, NSD, khách hàng, ngời đầu t, d luận vào những hệ thống và dữ liệu của ta.
Dữ liệu của chúng ta có bị thay đổi không?
Các hậu quả về an toàn khác biệt so với các loại tội hình khác bởi vì việc phát hiện là hết sức khó khăn, đôi khi phải mất nhiều thời gian để tìm ra kẻ đột nhập vào hệ thống và cũng có khi thất bại trong việc tìm thủ phạm.
Thậm chí một kẻ "tội phạm" đột nhập vào hệ thống của ta nhng lại không làm bất cứ cái gì trong hệ thống và dữ liệu Nh vậy có khi chúng ta phải mất hàng giờ hoặc hàng ngày để khẳng định đợc dữ liệu và hệ thống không bị thay đổi Trong hầu hết các trờng hợp, việc xử lý một kẻ "tấn công tàn bạo" (brute-force trash-everything) còn dễ dàng hơn rất nhiều so với một kẻ đột nhập vào hệ thống nhng lại không phá huỷ hệ thống Vì nếu kẻ "tội phạm" phá huỷ toàn bộ hệ thống và dữ liệu thì chúng ta có thể khôi phục lại từ hệ thống sao lu dữ liệu (backup) Nh-ng nếu chúNh-ng khôNh-ng làm gì thì chúNh-ng ta phải tốn thời gian để nhận biết, kiểm tra
và phải bảo đảm rằng họ không làm điều gì để phá huỷ hệ thống và dữ liệu.
B- Tài nguyên
Tài nguyên trên mạng chính là hệ thống máy và các thiết bị (CPU, Disk driver v.v ) một khi kẻ đột nhập sử dụng với mục đích của chúng thì nguồn tài nguyên này có thể không thể sẵn sàng phục vụ ta nữa.
C- Thanh danh
Một kẻ xuất hiện trên Internet với danh nghĩa của chúng ta thì tất cả những gì kẻ đó làm đợc coi là xuất phát từ chúng ta Nh vậy, hậu quả sẽ nh thế nào?
Trong hầu hết các trờng hợp, hậu quả của nó chỉ đơn giản là các hệ thống bị đột nhập sẽ nghi ngờ và hỏi chúng ta tại sao lại đột nhập vào hệ thống của họ.
Nhng đôi khi kẻ mạo danh đơn giản là thích gây khó dễ cho ngời khác, anh ta có thể gửi một bức th điện tử dới danh nghĩa ta và hậu quả là ta phải tốn kém nhiều thời gian và tiền của Nhìn chung những kẻ làm điều này thờng với mục
Trang 3đích có ý gây hại chứ không phải tạo sự tin tởng từ mọi ngời: cho dù chỉ có một số ngời tin vào bức th này thì việc giải thích nó cũng làm mất nhiều thời gian và hạ thấp danh dự của chúng ta Chẳng hạn, Một vài năm gần đây, một kẻ mạo danh gửi đi một bức th ác ý cho hàng nghìn ngời dới danh nghĩa của một giáo s A&M Taxas chứa đựng nội dung phân biệt chủng tộc và ngời ta đã không thể tìm ra thủ phạm, nhà giáo đó vẫn phải đơng đầu với sự phản ứng từ độc giả của bức th.
Thậm chí, một kẻ thâm nhập không sử dụng danh nghĩa của ta, thì việc đột nhập vào hệ thống cũng không có lợi cho thanh danh của ta Nó cũng làm lung lay sự tin tởng của mọi ngời trong tổ chức của chúng ta Hơn nữa, hầu hết kẻ thâm nhập đều cố gắng tiếp cận các máy khác từ máy của chúng ta và thêm
nhiều nạn nhân nữa cho rằng hệ thống của chúng ta là một hệ thống máy dànhcho các hoạt động tội phạm.
2- Chúng ta chống lại cái gì?
Loại hình tấn công nào chúng ta đang phải đối mặt với trên Internet, và kẻ tấn công nào đang thực hiện chúng? Còn những sự cố do vô tình hay cố ý thì sao?
Chủ yếu các vụ tấn công vào hệ thống bằng cách thâm nhập để sử dụng hệ thống bất hợp pháp Hầu hết những kẻ thâm nhập bất hợp pháp dùng nhiều cách để tiếp cận hệ thống Chẳng hạn, sử dụng "kỹ thuật xã hội"- nghiã là mạo danh ngời có địa vị cao trong Công ty để điều hành ngời quản trị hệ thống, buộc phải thay đổi mật khẩu (password) để có thể truy nhập phá hoại hệ thống; Dùng biện pháp phỏng đoán để truy nhập hệ thống, bỏ qua tên NSD và mật khẩu
Firewall sẽ chống lại sự thâm nhập bằng một số phơng pháp Chẳng hạn, Firewall khóa mọi "cánh cửa" vào hệ thống khi cha biết tên và mật khẩu truy nhập của NSD; hạn chế số user có thể truy nhập từ bên ngoài; đặt cấu hình Firewall chỉ cho phép sử dụng mật khẩu một lần (one - time) để tránh truy nhập bất hợp pháp bằng cách đoán.
- Lấy cắp thông tin:
Một số kiểu đột nhập lấy cắp dữ liệu mà không cần sử dụng trực tiếp máy của chúng ta Rất nhiều các dịch vụ Internet đợc thiết kế để sử dụng nh các mạng cục bộ, và không có loại an toàn nào có thể cho phép chúng đợc sử dụng an toàn trên qua Internet
Trang 4Kẻ lấy cắp thông tin có thể là ngời không chuyên về kỹ thuật Nếu muốn lấy những thông tin riêng t, biện pháp đơn giản là gọi và hỏi trực tiếp (giả danh là ai đó có quyền hỏi bạn) Hoặc họ có thể nghe trộm điện thoại Những ngời muốn lấy cắp thông tin điện tử, có thể trích mạng (network-tap) và đợi thông tin đi qua Hầu hết những kẻ lấy trộm thông tin đều cố tìm kiếm tên và mật khẩu NSD, đây là cách dễ nhất để lấy thông tin khi trích từ mạng.
Lấy cắp thông tin cụ thể từ một hệ thống đòi hỏi việc dự đoán và tính kiên trì cao Ngoài ra, kẻ cắp phải biết chắc thông tin sẽ đi qua một vị trí đã định trong một thời gian đã định.
Những nơi cung cấp dịch vụ mạng và các hệ thống truy nhập công cộng là những mục tiêu chủ yếu của ý đồ thâm nhập Kẻ lấy cắp thờng quan tâm những vị trí đó và sẽ thành công bởi vì, có rất nhiều thông tin phải đi qua các mạng này Có một số phơng pháp chống lại sự lấy cắp thông tin Firewall sẽ đợc cấu hình để chống lại những ngời lấy thông tin bất hợp pháp Khi chúng ta quyết định đa thông tin vào Internet, thì việc ngăn nó không tới tay những ngời không có chủ định gửi tới là một điều hết sức khó khăn, cả những ngời không đợc uỷ quyền (một số ngời tự nhận là đợc uỷ quyền), hay những kẻ chuyên dò tìm Mặc dù vi phạm này nằm ngoài sự bảo vệ mà Firewall có thể đem lại, chúng ta sẽ bàn đến vấn đề này và các biệt pháp để giảm bớt chúng sau.
2-2 Các đối tợng đột nhập
Tất cả những đối tợng đột nhập đều có một số đặc điểm chung là không muốn
bị phát hiện, do đó họ tìm mọi cách để tự che giấu Nếu chúng truy nhập đợc hệ thống nào đó, chúng sẽ tìm mọi cách để giữ lại cách tiếp cận này Hầu hết những
đối tợng đột nhập đều có liên lạc với nhau để chia sẻ thông tin kiếm đợc từ
những hệ thống đã đột nhập vào Dới đây là một số đối tợng đột nhập thờng gặp trên mạng Internet.
- Joyriders (kẻ nhàn rỗi): Là những ngời rỗi việc đi tìm thú vui, họ thích đột
nhập hệ thống khác vì họ quan niệm rằng các hệ thống lạ thờng có nhiều thông tin thú vị, hoặc đơn giản chỉ vì họ cảm thấy thú vị khi sử dụng hệ thống của ngời khác và ngoài ra họ không có việc gì để làm Đây là những đối tợng tò mò không có ác ý Thờng họ hay đột nhập vào các vị trí nổi tiếng hoặc các máy tính cá nhân.
-Vandal (kẻ phá hoại): là đối tợng có mục đích phá hoại rõ ràng bởi vì họ cảm
thấy thích thú khi phá huỷ một cái gì đó hoặc có các mối thù cá nhân Khi tiếp cận hệ thống, ta có thể phát hiện đợc Đối tợng phá hoại là một trở ngại lớn nếu hệ thống của ta đợc xem là mục tiêu phá hoại (Ví dụ: Một công ty điện thoại hay tổ chức chính phủ) hay nếu bạn có ý định quấy nhiễu những ngời có máy và thời
Trang 5gian (Ví dụ: bạn có biểu hiện công kích thơng mại trên Internet ) bạn có thể trở thành mục tiêu chỉ đơn giản vì bạn để cho ngời khác nhìn thấy đợc.
Không giống nh những kẻ thâm nhập, nạn vandal khá hiếm Hầu hết chúng đều dẫn đến sự phá huỷ những gì không hài lòng nhng dễ bị phát hiện ra và khôi phục lại Trong các trờng hợp xóa dữ liệu thậm chí làm hỏng các thiết bị máy móc cha phải là điều tồi tệ nhất mà một ai đó có thể gây ra, nhng đó là những gì vandal làm.
Cho đến nay, thật khó có thể ngăn chặn ý đồ của vandal, bởi vì, nếu một ai đó có thù hằn với ta, thì dù sớm muộn cũng tìm đợc cách hại ta.
- Score Keeper : Giống nh vandal và sniffer, score keeper chọn những vị trí mà
chúng có mối quan tâm riêng Đột nhập vào một nơi nổi tiếng, đợc bảo vệ chắc chắn, thờng có giá trị rất lớn đối với chúng Tuy nhiên, chúng sẽ tấn công vào tất cả những gì có thể về cả số lợng và chất lợng Chúng có thể không gây ra sự phá huỷ, mà chủ yếu chỉ thu nhập thông tin để sử dụng sau này (có thể dùng chúng để bán cho các kẻ tấn công khác) và nếu có thể chúng sẽ dùng máy của ta để làm cơ sở đột nhập vào các hệ thống khác.
- Spies (gián điệp) Hầu hết những đối tợng đột nhập các hệ thống trên Internet
với mục đích trộm cắp những thông tin có thể chuyển thành tiền Các thông tin đợc bảo vệ cẩn mật, khi tìm đợc, họ có thể nghĩ rằng nó có giá, bán đợc và thông tin bị lấy cắp.
Các gián điệp máy tính khá hiếm và việc phát hiện là hết sức khó khăn vì không giống đối tợng đột nhập, gián điệp thờng không để lại dấu vết ở nơi chúng truy nhập.
Hầu hết các tổ chức đều không thể ngăn chặn đợc nạn gián điệp điện tử Biện pháp mà các chính phủ đa ra để bảo vệ thông tin trên máy là quá phức tạp, tốn kém bởi vậy, chúng chỉ đợc dùng ở những nơi quan trọng Các biện pháp có thế là: Che đậy điện tử (eletronametic), điều khiển truy nhập thận trọng và không hoà mạng với các mạng không đợc bảo vệ.
2.3 Sự kém hiểu biết (Stupidity)
Trang 6Rất nhiều sự phá huỷ là do sự nhầm lẫn không đáng có Một nghiên cứu gần đây cho biết: 55% các sự cố an toàn đợc gây ra bởi những ngời sử dụng không qua đào tạo và làm những việc lẽ ra không nên làm.
Firewall không đợc thiết kế để xử lý loại sự cố này Trong thực tế cũng không có cách nào để bảo vệ, ngăn chặn các sự cố bất ngờ hoặc do thiếu hiểu biết gây ra.
3- Làm thế nào để bảo vệ đợc hệ thống?
Phải làm gì để chống lại các đối tợng đột nhập nêu trên; Có nhiều mô hình an toàn đợc đa ra Sau đây ta sẽ xem xét một số mô hình cơ bản.
3-1 No Security: Một mô hình dựa trên mức an toàn tối thiểu, mặc định do các
nhà cung cấp thiết bị đặt ra.
3-2 Security through obsucrity: Mô hình xây dựng dựa trên quan niệm một hệ
thống sẽ đợc xem là đã đợc bảo vệ nếu không một ai biết về nó – về sự tồn tại, nội dung các cấp độ an toàn của nó, hay bất kỳ một điều gì khác.
3-3 Host security: Một mô hình ấn định mức độ an toàn cho từng máy riêng
biệt Mô hình host security có điều bất lợi ở chỗ, nó không đợc thiết kế cho các hệ thống sử dụng một số lợng lớn các máy.
Host security dựa trên kỹ năng và mục đích hợp pháp của những ngời đợc uỷ quyền truy nhập vào các máy Do số lợng máy càng ngày càng tăng nên số lợng ngời truy nhập hợp pháp cũng tăng Việc bảo vệ an toàn cho các máy khó hơn rất nhiều so với việc kết nối các máy vào mạng.
Mô hình host security có thể phù hợp với những hệ thống có quy mô nhỏ hoặc các hệ thống yêu cầu tính an toàn cao Thực tế, mọi hệ thống cần phải lắp đặt một cấp độ của host security trong những kế hoạch tổng thể Thậm chí, nếu ta chấp nhận một mô hình Network Security (sẽ trình bày dới đây) thì các hệ thống trong cấu hình sẽ có lợi và hiệu quả hơn khi sử dụng host security Chẳng hạn, nếu ta xây dựng một Firewall bảo vệ mạng nội bộ, đơng nhiên sẽ có các hệ thống phải trực tiếp giao diện với mạng bên ngoài thì các hệ thống đó phải cần đợc bảo vệ bởi mô hình host security Vấn đề là, mô hình host security tốn rất nhiều chi phí cho bất kỳ một hệ thống nào, kể cả những hệ thống nhỏ và đơn giản, để làm cho nó hoạt động đòi hỏi rất nhiều sự hạn chế và can thiệp của con ngời.
3- 4 Network Security: Do môi trờng ngày càng phát triển rộng lớn và đa dạng,
việc bảo vệ an toàn từng bớc dựa trên cơ sở host security trở nên khó khăn, ngời ta chuyển sang sử dụng mô hình hiệu quả hơn - mô hình Network Security Với mô hình Network Security, ta có thể tập trung vào việc điều khiển, bảo vê sự truy nhập mạng tới các máy chủ của hệ thống và các dịch vụ hơn là tập trung vào việc bảo vệ từng cái một Network Security bao gồm cả việc xây dựng Firewall để
Trang 7bảo vệ các hệ thống và mạng nội bộ Dùng giải pháp uỷ quyền hiệu lực (strong
authentication approaches) nh: sử dụng mật khẩu một lần (one - time) và mã hóa để bảo vệ các dữ liệu riêng khi nó chuyển qua mạng Một hệ thống có thể bảo đảm an toàn hơn khi sử dụng mô hình Network Security
Tuy nhiên, ta không thể xây dựng đợc một mô hình Security nào có thể giải quyết đợc mọi vấn đề một cách hoàn hảo Ta có thể tránh đợc các sự cố rủi ro, hay các lỗi do sơ ý, nhng ta không thể bảo vệ hệ thống khỏi những NSD hợp pháp có ác ý phá hoại hệ thống hoặc lấy những thông tin bí mật Có thể đa ra một giải pháp làm giảm bớt các vụ đột nhập, nhng không thể đa ra một giải pháp có thể ngăn chặn đợc tất cả các vụ đột nhập Ngay cả các hệ thống đã đợc các chuyên gia bàn bạc, thảo luận, cân nhắc kỹ tới vấn đề an toàn cũng có thể bị công kích.
B- Internet Firewall là gì?
Nh đã nêu, Firewall là một thiết bị bảo vệ hữu hiệu của an toàn mạng.
* Trong một tòa nhà, Firewall đợc thiết kế để giữ cho lửa không lan ra các khu vực khác của tòa nhà khi có hoả hoạn Về lý thuyết, Firewall trên mạng Internet giữ một chức năng tơng tự, nó ngăn chặn những nguy hiểm của Internet không lan đến các mạng cục bộ Về thực tế, Internet Firewall đợc thiết kế để:
- Ngăn chặn mọi ngời tiếp cận vào một hệ thống quan trọng.
- Ngăn những kẻ đột nhập tiến gần đến "bức tờng rào" của hệ thống.
- Kiểm soát một cách cẩn thận các luồng thông tin "thoát ra ngoài" tại "cổng ra”.
* Internet Firewall thờng đợc lắp đặt tại cổng nối mạng cục bộ của hệ thống với Internet
* Mọi lu thông đến từ Internet vào mạng cục bộ hoặc từ mạng cục bộ ra ngoài đều phải qua Firewall Bởi vậy, Firewall có điều kiện để kiểm tra tính đúng đắn của các luồng thông tin này.
Thông tin đợc chấp nhận, có nghĩa là dù với bất kỳ loại lu thông nào đang hoạt
động nh: Mail, FTP, các phiên hoạt động từ xa hay bất kỳ một loại tác động qua lại nào giữa các hệ thống phù hợp với chế độ an toàn Các chế độ an toàn có thể khác nhau ở các hệ thống, một số hệ thống cần chặt chẽ, một số hệ thống có thể mở.
Về mặt logic, Firewall là một bộ phận tách, ngăn chặn hay một thiết bị phân tích Sự hoạt động vật lý của Firewall thay đổi ở từng hệ thống Phổ biến nhất, Firewall là bộ tích hợp phần cứng gồm 01 router, 01máy chủ (hay một tổ hợp router, computer, network) với các phần mềm thích hợp Có rất nhiều cách cấu hình Firewall, nhng việc cấu hình Firewall phải dựa trên các biệt pháp an toàn,
Trang 8đặc thù riêng của từng hệ thống.
Firewall ít khi là một vật thể đơn lẻ, mặc dù các sản phẩm thơng mại mới nhất đang cố gắng đa mọi thứ vào trong một cái "hộp" Thông thờng, Firewall có nhiều thành phần phức tạp và một số trong đó giữ các nhiệm vụ ngoài các chức năng của Firewall Thậm chí, nếu Firewall là một chiếc "hộp", nó cũng không thể trở thành một phần tách biệt hệ thống.
Phần trên, chúng ta vừa so sánh Firewall nh một bức thành luỹ trong lâu đài của thời Trung cổ và nh vậy Firewall không phải là không có yếu điểm Nó không thể chống lại những kẻ phá hoại từ bên trong Và nó sẽ làm việc hoàn hảo hơn nếu đợc kết hợp với các bộ phận bảo vệ trong mạng cục bộ Để xây dựng đ-ợc Firewall đòi hỏi sự đầu t công nghệ và chi phí đáng kể, và mọi tính toán để thu hẹp một hệ thống cục bộ cũng là một vấn đề đáng quan tâm.
Với những hạn chế và thiếu sót của Firewall, vậy tại sao mọi ngời vẫn cài đặt, sử dụng chúng? Bởi vì cho đến nay, Firewall vẫn là biện pháp hữu hiệu nhất để vừa nối mạng với Internet vừa bảo vệ đợc mạng cục bộ.
"Sự phổ biến của xạ lộ thông tin làm tăng sự vui sớng của mọi ngời muốn đợcđến đó và hiểu nhiên là điều nguy hiểm có thể xảy ra Khi chúng ta gặp hàngtriệu ngời hẳn trong đó sẽ có tội phạm - điều đó hoàn đúng đối với một thànhphố và cũng đúng đối với Internet Đờng cao tốc làm cho chúng ta thích thú khiđang ngồi trên xe Nhng khi chúng ta phải sống hay làm việc cạnh nó thì đầynguy hiểm, ồn ào và bực tức".
Nh vậy, vấn đề là ở chỗ khi kết nối với Internet, cần làm thế nào để tận dụng đ-ợc những u việt của Internet cũng nh hạn chế tối đa đđ-ợc những nguy hiểm mà nó có thể gây ra Phải kiểm soát chặt chẽ việc liên lạc giữa mạng cục bộ với Internet và trong hầu hết các trờng hợp, Firewall là một công cụ hữu hiệu cho phép làm điều đó.
1- Firewall làm đợc những gì?
Firewall có thể làm đợc rất nhiều việc Thực tế, một số lợi ích trong việc sử dụng Firewall còn mở rộng ra ngoài phạm vi an toàn.
a) Firewall là một tiêu điểm cho mọi quyết định về an toàn
Chúng ta hãy hình dung Firewall nh một nút thắt (choke point) Mọi việc lu thông diễn ra trong và ngoài mạng đều phải qua điểm kiểm soát "cửa khẩu" hẹp và độc nhất này Firewall mang lại cho chúng ta những tác dụng lớn của an toàn mạng bởi vì nó cho phép tập trung các biện pháp an toàn vào một "cửa khẩu"-Điểm kết nối hệ thống mạng của ta với mạng Internet.
Việc bố trí bảo vệ theo cách này hiệu quả hơn rất nhiều so với việc trải rộng công nghệ an toàn để cố gắng "che chắn" từng cơ sở đơn lẻ Mặc dù Firewall có
Trang 9thể tiêu tốn hàng chục nghìn đô la để hoạt động, nhng hầu hết các hệ thống đều thấy rằng, tập trung phần cứng và phần mềm cho việc xây dựng các giải pháp an toàn với Firewall là ít tốn kém và hiệu quả hơn rất nhiều so với các biện pháp an toàn khác và điều chắc chắn là ít tốn kém hơn lắp đặt một thiết bị an toàn khác không phù hợp.
b) Firewall có thể tuân thủ các quy định về an toàn
Nhiều dịch vụ mọi ngời cần từ Internet đã không đợc bảo vệ Firewall là một trạm "cảnh sát" giao thông cho các loại dịch vụ này Nó tuân thủ các biện pháp an toàn, chỉ cho qua các dịch vụ "đã kiểm duyệt" theo quy định.
Chẳng hạn, ngời quản trị hệ thống ra một quyết định chỉ hệ thống nội bộ mới có thể giao tiếp với thế giới bên ngoài Hoặc ở một hệ thống khác, ngời quản trị lại ra quyết định cho phép truy nhập của mọi hệ thống với một loại dịch vụ cụ thể hay thuộc một nhóm cụ thể Tính đa dạng của các biện pháp quy định an toàn hệ thống là vô tận.
Firewall có thể đợc dùng để ấn định các quy định phức tạp hơn Chẳng hạn, chỉ một số hệ thống cụ thể trong Firewall là đợc phép chuyển file ra và nhận vào từ Internet; bằng cách sử dụng các cơ chế khác nhau để kiểm soát những NSD có truy nhập vào các hệ thống, chúng ta có thể kiểm soát những ngời sử dụng khả năng này Tính đa dạng và khả năng nhiều hay ít của việc ấn định các biện pháp an toàn tuỳ thuộc vào các công nghệ đợc dùng để xây dựng Firewall.
c) Firewall có thể ghi lại hoạt động của Internet một cách hiệu quả:
Vì mọi sự lu thông đều phải đi qua Firewall, nên Firewall là một điểm lý tởng để ghi lại mọi thông tin về hệ thống, mạng đợc sử dụng và các lỗi phát sinh T-ơng tự nh một điểm truy nhập đơn lẻ, Firewall có thể ghi lại những gì xảy ra giữa mạng đợc bảo vệ và mạng ngoài.
d) Firewall có thể hạn chế sự phô bày
Dù u điểm này là thích hợp nhất để sử dụng của Firewall nội bộ, song cũng nên chú ý ở đây, đôi khi Firewall cũng đợc sử dụng để tách rời một phần hệ thống mạng với các phần khác Do vậy, dễ dàng phân cấp quản lý và kiểm soát từng phần mạng một cách hiệu quả, an toàn hơn Trong một số trờng hợp, có một phần mạng nào đó có thể "nhạy cảm" hơn, ta tách phần đó ra để quản lý và kiểm soát riêng
Việc tồn tại Firewall đã giải quyết đợc vấn đề về an toàn mạng một khi phải đối mặt với sự bùng nổ về Internet.
2 Firewall không làm đợc gì?
Firewall đa ra những giải pháp thú vị chống lại các đe dọa về mạng Nhng Firewall cha phải là giải pháp hoàn hảo Nhiều hiểm hoạ nằm ngoài vòng kiểm
Trang 10soát của Firewall.
a) Firewall không thể chống lại những kẻ có ác ý từ bên trong
Firewall có thể ngăn NSD hệ thống hợp pháp gửi các thông tin hợp pháp ra ngoài qua đờng mạng; biện pháp đơn giản là kiểm soát và không cho nối mạng Nhng chính NSD đó có thể sao chép các dữ liệu vào đĩa, băng từ hoặc giấy và mang chúng ra ngoài.
Nếu kẻ tấn công nằm bên trong Firewall thì Firewall không thể làm đợc bất kỳ điều gì cho chúng ta Ngời sử dụng bên trong có thể ăn cắp dữ liệu, phá huỷ phần cứng, phần mềm và làm thay đổi các chơng trình mà không cần tiến gần đến Firewall Với những kẻ thâm nhập từ bên trong đòi hỏi phải có các biện pháp an toàn nội bộ nh host security và trình độ giáo dục đối với ngời sử dụng.
b) Firewall không thể chống lại những liên lạc không đi qua nó:
Firewall có thể kiểm soát một cách hiệu quả sự lu thông đi qua nó, nhng nó không thể làm đợc với những lu thông không đi qua nó, ví dụ: Điều gì sẽ xảy ra khi một hệ thống cho phép truy nhập Dial- in vào hệ thống nội bộ nằm sau Firewall?
Đôi khi, các nhà kỹ thuật hay quản lý hệ thống có thể xây dựng các back door (cửa hậu) vào mạng cho riêng họ (nh bộ nối dial - up) tạm thời hay lâu dài, và các Firewall không thể làm đợc gì Đây là vấn đề quản lý chứ không phải vấn đề kỹ thuật.
c) Firewall không thể bảo vệ hệ thống chống lại những hiểm hoạ mới
Firewall đợc thiết kế để chống lại những hiểm hoạ đã biết Một Firewall thông minh có thể chống lại cả những hiểm hoạ mới Tuy nhiên, không có Firewall nào có thể bảo vệ đợc những nguy hiểm đang gia tăng Mỗi thời, con ngời lại khám phá ra những đe dọa mới, và không thể ngay lập tức xây dựng một Firewall hoàn hảo, mà Firewall phải luôn đợc hoàn thiện, cập nhật cho phù hợp với các điều kiện môi trờng mới.
d) Firewall không thể chống lại Virus:
Firewall không thể bảo vệ các máy tính cá nhân chống lại các loại virus xâm nhập vào hệ thống Mặc dù nhiều Firewall cho phép lọc các luồng thông tin đi qua bộ phận kiểm soát, song không phải bất cứ điều gì chúng cũng lọc đợc Ngay cả các hệ thống Firewall với hệ thống lọc tinh tế nhất cũng không thể chống lại đợc tất cả các loại Virus bởi vì có quá nhiều loại Virus và cũng có nhiều kỹ thuật để cho các Virus ẩn mình trong dữ liệu
tài liệu tham khảo
[1] D.Brent Chapman and Elizabeth D.Zwicky, Building Internet Firewall,
O'Relly & Associates, Inc, 9/1995.