Cần lu ý khi chúng ta sử dụng hai khái niệm Firewall và công nghệ Firewall. Nếu nh Firewall chỉ sử dụng một công nghệ duy nhất thì công nghệ đó sẽ có tên là Firewall. Còn nếu nh một Firewall đợc tích hợp bởi nhiều hơn hai công nghệ khác nhau lúc đó mỗi công nghệ Firewall sẽ đợc gọi là thành phần của Firewall. Các Firewall đợc mô tả chi tiết dới đây chính là công nghệ Firewall. Trong phần mô hình ứng dụng ta sẽ có đợc những giải pháp tích hợp do đó mỗi công nghệ Firewall chỉ là thành phần của Firewall.
1- Công nghệ lọc gói (Packet Filtering)
Firewall sử dụng công nghệ lọc gói hoạt động ở lớp mạng nên còn có tên Firewall lớp mạng (Network Level Firewall). Công nghệ lọc gói là công nghệ đầu tiên của Firewall; thờng đợc thực thi trong Router hoạt động ở vùng biên giới của một mạng.
Bộ định tuyến có thể hiểu đơn giản là một cỗ máy luân chuyển các gói giữa hai hoặc nhiều mạng khác nhau. Một bộ định tuyến lọc gói (packet filtering router) so sánh mỗi gói với một
danh sách qui tắc sẵn có rồi quyết định có chuyển gói đó đi tiếp hay không.
Công nghệ lọc gói là công nghệ cơ bản nhất, dễ định dạng nhất và trong phần lớn các trờng hợp không đòi hỏi những cấu hình đặc biệt ở các máy trạm và máy chủ trong mạng. Với công nghệ lọc gói, một bộ định tuyến quyết định chặn lại hay cho phép các gói dữ liệu đi qua bằng cách truy vấn danh sách các quy tắc (rules) đã đợc đặt ra. Danh sách này cho phép hoặc không cho phép giao thông phụ thuộc vào nguồn và đích của gói tin. Chúng có thể lọc theo loại giao thức IP, hoặc số cổng TCP, UDP.
Trong phần lớn các trờng hợp, với các cổng nhỏ hơn 1024 (các cổng đã đăng ký trớc – Well- know ports) thờng cho phép lu thông tới từng cổng một, và tắt tất cả các cổng khác, với các cổng lớn hơn 1024 (customizable port) thì cho phép tất cả. Nh vậy có thể tạo điều kiện cho các máy trạm sử dụng toàn bộ các dịch vụ khác trên Internet nhng lại bảo vệ đợc máy chủ trên mạng cục bộ. Một điều cần lu ý là có một số dịch vụ sử dụng cổng lớn hơn 1024, do vậy muốn bảo vệ cần phải khóa cả các cổng cao lại. Mỗi khi định hình một dịch vụ mới, phải lu ý dịch vụ này dùng cổng nào của TCP hay UDP, sau đó mới quyết định dùng Firewall để chặn hay mở cổng để bảo vệ máy chủ của mình.
Công nghệ lọc gói có một số hạn chế nh sau:
- Packet Filter không có đợc những chức năng bảo vệ cao cấp. Nhợc điểm lớn nhất của Firewall dùng công nghệ lọc gói là không bảo vệ đợc trớc sự tấn công qua các cổng mà Firewall đã cho phép. Trong phần lớn các trờng hợp việc đó xảy ra khi có một ai đó do tình cờ định hình một máy mà chính máy đó phơi bày cả mạng của bạn ra, bởi rất đơn giản họ không biết rằng điều họ làm là một mối nguy hiểm lớn cho an ninh của toàn mạng. Trong các trờng hợp khác ngời ta cố ý định hình các dịch vụ để cho phép truy cập. Ví dụ một ngời nào đó có thể tạo ra một FTP Server trên một cổng lớn hơn 1024. Tất cả những ai biết đợc rằng bạn có một FTP Server trên cổng này có thể đách cắp đợc mọi thông tin trên Server này của bạn.
- Hacker đã có nhiều kinh nghiệm để phá vỡ các phòng thủ sử dụng lọc gói, nên thờng kết hợp lọc gói với một Application Getway để có cấp độ bảo mật và độ linh hoạt cao hơn.
2- Proxy Server
Proxy Server (máy chủ ủy nhiệm) hay appication gateway trong nhiều tài liệu còn đợc gọi là Application-level Firewall do loại Firewall này làm việc ở lớp ứng dụng trong mô hình OSI. Proxy Server cho một số thuận lợi hơn hẳn so với công nghệ lọc gói, Tuy nhiên khác với lọc gói trong các mạng ủy nhiệm, các máy trạm đòi hỏi đặt một cấu hình đặc biệt.
Proxy Server làm việc trên nguyên tắc, các máy trạm trên mạng không truy cập trực tiếp vào Internet. Các Proxy Server cũng nh các máy chủ khác, mà bạn có ý định để cho truy cập đợc qua Internet nằm ở một mạng riêng và mạng này có thể truy cập vào Internet. Mạng này đợc gọi là DMZ (DeMilitarized Zone) có thể tạm gọi là “vùng không có chiến sự” theo nghĩa của Internet. Để có thể truy cập đợc vào Internet, các máy trạm gửi yêu cầu tới Proxy Server, và trong trờng hợp đợc cho phép bởi danh sách quy tắc, Proxy Server sẽ lấy thông tin đợc yêu cầu về và chuyển trả về cho máy trạm. Thuận lợi của việc dùng Proxy Server là nó cho phép thiết lập các mạng mà trong đó các máy trạm không bắt buộc phải có khả năng truy cập trực tiếp vào Internet. Nh vậy sẽ giảm đợc tối đa một lợng giao thông không cần thiết cho mạng nội bộ, và đảm bảo đợc rằng, chỉ có những giao thông thỏa mãn các quy tắc truy cập đợc ra hoặc vào mạng cục bộ.
Một số Proxy Server còn có khả năng lu (cache) các thông tin đợc yêu cầu thờng xuyên, nh vậy sẽ tiết kiệm đợc băng thông. Với Proxy Server, có thể sử dụng các số mạng không đăng ký cho mạng nội bộ, cũng nh việc bảo toàn các địa chỉ IP.
Lợi điểm các Application Proxy bao gồm:
+ Là phơng pháp truyền thống trong phần lớn các thiết kế firewall. + Không có kết nối trực tiếp qua đợc Firewall vào mạng nội bộ.
+ Chỉ có những dịch vụ đợc proxy cho phép mới đợc qua, các dịch vụ khác đều bị cấm. + Lu giữ những thông tin qua proxy một cách thông minh.
Proxy Server có một số nhợc điểm: Không giống nh các Firewall lọc gói, ngoài việc đòi hỏi đ- ợc quản lý và bảo trì nh các máy chủ khác, Proxy Server không hỗ trợ hết khi có nhiều công cụ và dịch vụ Internet mới đợc phát hành hàng ngày, nhiều dịch vụ không hỗ trợ Proxy Server, hoặc đòi hỏi phải có Proxy Server riêng, mà phần lớn các ủy nhiệm riêng này ra đời rất muộn so với dịch vụ thực tế.
Mặt khác, do toàn bộ tải đợc chuyển qua lớp ứng dụng nên hiệu năng sẽ bị giảm xuống.
3- Stateful Inspection firewall
Stateful Inspection Firewall (Stateful Firewall) đợc phát minh bởi Check Point sử dụng công nghệ kiểm tra trạng thái, là một công nhệ tơng đối mới. Các hệ thống Firewall này đợc đánh giá cao trên thị trờng Firewall.
Theo quan điểm của Check Point, để có thể cung cấp một hệ thống an ninh vững mạnh một Firewall phải có khả năng thâu tóm và điều khiển đợc dòng thông tin đi qua nó. Để có thể phán quyết đợc việc điều khiển, nh tiếp nhận, loại bỏ, xác nhận, mã hóa hoặc là ghi lại các lần thử thiết lập liên lạc, của các dịch vụ chạy trên nên TCP/IP, Firewall phải thu đợc, lu, lấy và thao túng thông tin thu thập đợc từ tất cả các lớp liên lạc và từ các ứng dụng khác.
Nếu chỉ đơn thuần kiểm tra các gói không thì hoàn toàn không đủ. Thông tin về trạng thái thu đợc từ các lần liên lạc và các ứng dụng mới đây nhất là một yếu tố quan trọng cho phán quyết
việc điều khiển các lần thử liên lạc mới. Phụ thuộc vào lần thử liên lạc, trạng thái liên lạc (thu đ - ợc từ những lần liên lạc gần đây) và trạng thái của ứng dụng (thu đợc từ các ứng dụng khác) đóng một vai trò hết sức quan trọng cho phán quyết việc điều khiển.
Từ những lý do nêu trên, để đảm bảo đợc an ninh ở mức cao nhất, một Firewall cần phải có khả năng truy cập, phân tích và lợi dụng đợc các yếu tố sau đây:
+ Thông tin về liên lạc – thông tin từ cả 7 lớp trong mô hình OSI lu trong các gói + Thông tin về trạng thái liên lạc – trạng thái thu đợc từ những lần liên lạc trớc đó + Thông tin về trạng thái ứng dụng – trạng thái thu đợc từ các ứng dụng khác
+ Thao tác thông tin – đa ra đợc những diễn đạt mềm dẻo dựa trên tất cả những yếu tố thu đợc ở trên.
Firewall sử dụng công nghệ này tích hợp đợc nhiều u điểm của Firewall lọc gói và Proxy Server. Giống nh việc cài đặt Firewall lọc gói, việc đòi hỏi cấu hình ở các máy trạm là không cần thiết. Stateful Firewall phân tích mọi giao thông trên mạng qua lại nó. Ví dụ nếu có một ngời sử dụng nào đó đặt một FTP Server vào một cổng lớn hơn 1024, không giống nh Firewall lọc gói Stateful Firewall biết đó là giao thông của FTP và nh vậy việc cho phép hay không cho phép giao thông này phụ thuộc vào các quy tắc mà bạn đã đặt ra cho nó. Stateful Firewall thực chất hiểu đ - ợc các giao thức qua nó và nh vậy nó có thể cho phép hoặc không cho phép một cách an toàn cũng nh có thể xác nhận đợc việc sử dụng dịch vụ một cách an toàn. Bởi lẽ Firewall này nhận thức đợc giao thức nên các dịch vụ khác nh các công nghệ chống virus, có thể cài kèm vào để kiểm tra đợc các giao thức dễ bị virus tấn công. Sự khác nhau của các hệ thống này và các hệ thống lọc gói là sự thật các hệ thống này cho phép hay cấm thông qua loại giao thông chứ không phải dựa trên các cổng của TCP hay UDP.
Stateful Firewall có thể rất khác biệt nhau. Một số có thể dễ dàng quản lý nh là Firewall lọc gói. Một số có thể là những hệ thống rất phức tạp đòi hỏi có nhiều thời gian và công sức cho việc cài đặt và bảo quản lý.
Cũng giống nh Proxy Server, Stateful Firewall có khả năng đặt sau mình những mạng không cần đăng ký, nhằm giúp bảo tồn lợng địa chỉ IP đã gần kiệt quệ và có thể tạo đợc số lợng máy tùy ý mà lại tránh đợc nỗi phiền phức là phải chia mạng con. Nhng cũng giống nh Proxy Server, Stateful firewall không hỗ trợ ngay những giao thức mới ra đời. Mỗi giao thức mới phải đợc phân tích bởi các nhà sản xuất và lập trình cho Firewall để nó hiểu đợc cái gì đang qua nó. Một lợi thế của Stateful Firewall mà Proxy Server không có đợc đó là bạn có thể dừng việc phân tích loại giao thông và chỉ đơn giản là cho phép hay cấm giao thông qua các loại giao thức IP, cổng TCP, hoặc UDP. Điều đó sẽ không àn toàn bằng việc sử dụng các quy tắc cho các giao thức đã đợc lập trình sẵn, nhng nó lại thúc đẩy đợc công việc và chạy nhanh nh bạn cần.
Lợi điểm tiếp theo của Stateful Firewall so với Firewall lọc gói và Proxy Server là khả năng xây dựng mạng t ảo (virtual private network) trên Internet. Sử dụng mạng t ảo các địa điểm khác nhau của một tập đoàn có thể chuyển thông tin một cách an toàn nhờ vào việc mã hóa thông tin (data encryption). Và các ngời sử dụng từ xa có thể mã hóa việc truy cập của mình vào mạng nội bộ, bằng cách kết nối vào một nhà cung cấp dịch vụ Internet cục bộ, và do đó tránh đợc các cuộc gọi đờng dài. (adsbygoogle = window.adsbygoogle || []).push({});
4- Circuit-Level Gateway
Loại firewall này trong phần nhiều các tài liệu về Firewall đợc liệt kê trong phạm trù của application gateway. circuit-level gateway đóng/ ngắt (relays) các kết nối TCP nhng không làm xử lý gì thêm hay lọc các giao thức. Ví dụ Telnet application gateway có thể coi là một circuit- level gateway, bởi một khi kết nối giữa telnet client và telnet server đợc thiết lập, thì khi đó firewall chỉ làm mỗi một việc là vận chuyển thông tin qua lại giữa hai hệ thống. Một ví dụ khác của circuit-level gateway cho NNTP. NNTP server kết nối với firewall, NNTP trong mạng nội bộ cũng kết nối với firewall. Sau đó firewall chỉ làm mỗi nhiệm vụ vận chuyển bytes.
Firewall là sự thi hành đầu tiên và quan trọng hàng đầu trong chính sách an ninh. Bạn phải sử dụng chính sách của bạn để tạo ra một bản danh sách các yều cầu, sau đó chọn một sản phẩm Firewall có thể đáp ứng tốt nhất danh sách các yêu cầu này. Nếu mục đích là sự mềm dẻo với khả năng Logging, thì stateful inspection là sự lựa chọn. Còn nếu bạn cần khả năng Logging tốt hơn và tính năng kiểm soát tốt hơn thì application gateway là công nghệ thích hợp hơn.