2.2.1 Tường lửa
Bức tường lửa (firewall) là một phần mềm hoặc phần cứng cho phép những người sử dụng mạng máy tính của một tổ chức có thể truy cập tài nguyên của các mạng khác (thí dụ, mạng Internet), nhưng đồng thời ngăn cấm những người sử dụng khác, không được phép, từ bên ngoài truy cập vào mạng máy tính của tổ chức. Một bức tường lửa sẽ có những đặc điểm sau:
+ Tất cả giao thông từ bên trong mạng máy tính của tổ chức và ngược lại đều phải đi qua đó.
+ Chỉ các giao thông được phép, theo qui định về an toàn mạng máy tính của tổ chức, mới được phép đi qua.
+ Không được phép thâm nhập vào chính hệ thống này.
Về cơ bản, bức tường lửa cho phép những người sử dụng mạng máy tính (mạng được bức tường lửa bảo vệ) truy cập toàn bộ các dịch vụ của mạng bên ngoài trong khi cho phép có lựa chọn các truy cập từ bên ngoài vào mạng trên cơ sở kiểm tra tên và mật khẩu của người sử dụng, địa chỉ IP hoặc tên vùng (domain name)... Thí dụ, một nhà sản xuất chỉ cho phép những người sử dụng có tên vùng (domain name) thuộc các công ty đối tác là khách hàng lâu năm, truy cập vào website của họ để mua hàng. Như vậy, công việc của bức tường lửa là thiết lập một rào chắn giữa mạng máy tính của tổ chức và bên ngoài (những người truy cập từ xa và các mạng máy tính bên ngoài). Nó bảo vệ mạng máy tính của tổ chức tránh khỏi những tổn thương do những kẻ tin tặc, những người tò mò từ bên ngoài tấn công. Tất cả mọi thông điệp
được gửi đến và gửi đi đều được kiểm tra đối chiếu với những quy định về an toàn do tổ chức xác lập. Nếu thông điệp đảm bảo được các yêu cầu về an toàn, chúng sẽ được tiếp tục phân phối, nếu không sẽ bị chặn đứng lại. [3]
Hình 2.5: Bức tường lửa.
Một trong các loại bức tường lửa phổ biến nhất là phần mềm máy phục vụ uỷ quyền (proxy server*), gọi tắt là proxy. Proxy là phần mềm máy phục vụ, thường được đặt trên một máy tính chuyên dụng, kiểm soát toàn bộ các thông tin được gửi đến từ một nơi nào đó trên Internet và ngược lại. Nó cung cấp các dịch vụ trung gian, đóng vai người thông ngôn giữa mạng Internet và mạng nội bộ của tổ chức. Khi một người sử dụng trên mạng máy tính của tổ chức muốn "nói chuyện" với một người sử dụng của tổ chức khác, trước tiên anh ta phải nói chuyện với ứng dụng proxy trên máy phục vụ, tiếp đó proxy sẽ nói chuyện với máy tính của người sử dụng kia. Tương tự như vậy, khi một máy tính ở bên ngoài muốn nói chuyện với một máy tính trong mạng của tổ chức cũng phải nói thông qua proxy trên máy phục vụ
Hình 2.6 : Máy phục vụ uỷ quyền (Proxy server).
Ưu điểm cơ bản của việc sử dụng proxy trong an toàn mạng đó là các thông tin về mạng máy tính của tổ chức, các thông tin về người sử dụng (như tên, địa chỉ mạng máy tính của tổ chức)... được bảo mật, bởi thực tế, các hệ thống bên ngoài chỉ giao tiếp với máy phục vụ proxy chứ không trực tiếp giao tiếp với máy tính của người sử dụng. Bằng việc ngăn chặn người sử dụng trực tiếp thông tin với Internet, thông qua proxy, các tổ chức có thể hạn chế việc truy cập vào một số loại website có nội dung không tốt hoặc ảnh hưởng đến lợi ích của tổ chức như khiêu dâm, bán đấu giá, hay giao dịch chứng khoán...
Sử dụng proxy còn tạo điều kiện tăng khả năng thực thi của Web bằng cách lưu trữ các thông tin, các trang web thường được yêu cầu, để giảm thời gian tải các thông tin lên mạng và các chi phí cho việc truyền dữ liệu. Ngoài ra, proxy còn đóng vai trò quan trọng trong việc quản trị mạng. Nó cho phép theo dõi hoạt động của các máy tính thông qua việc ghi chép địa chỉ IP của máy tính, ngày giờ thực hiện giao dịch, thời gian giao dịch, dung lượng (số byte) của các giao dịch... Các ưu điểm này khẳng định vai trò không thể thiếu của proxy nói riêng và các bức tường lửa (firewall) nói chung trong an toàn mạng máy tính của các doanh nghiệp và các tổ chức.