III. INTERNET FIREWALL
3.4Các dạng Firewall
Mỗi dạng Firewall khác nhau cĩ những thuận lợi và hạn chế riêng. Dạng phổ biến nhất là Firewall mức mạng (Network-level firewall). Loại Firewall này thường dựa trên bộ định tuyến, vì vậy các quy tắc quy định tính hợp pháp cho việc truy nhập được thiết lập ngay trên bộ định tuyến. Mơ hình Firewall này sử dụng kỹ thuật lọc gĩi tin (packetfiltering technique), đĩ là tiến trình kiểm sốt các gĩi tin qua bộ định tuyến.
Khi hoạt động, Firewall sẽ dựa trên bộ định tuyến mà kiểm tra địa chỉ nguồn (source address) hay địa chỉ xuất phát của gĩi tin. Sau khi nhận diện xong, mỗi địa chỉ nguồn IP sẽ được kiểm tra theo các quy tắc do người quản trị mạng định trước.
Firewall dựa trên bộ định tuyến làm việc rất nhanh do nĩ chỉ kiểm tra lướt trên các địa chỉ nguồn mà khơng hề cĩ yêu cầu thực sự nào đối với bộ định tuyến, khơng tốn thời gian xử lý những địa chỉ sai hay khơng hợp lệ. Tuy nhiên, bạn phải trả giá: ngoại trừ những điều khiển chống truy nhập, các gĩi tin mang địa chỉ giả mạo vẫn cĩ thể thâm nhập ở một mức nào đĩ trên máy chủ của bạn.
Một số kỹ thuật lọc gĩi tin cĩ thể được sử dụng kết hợp với Firewall để khắc phục nhược điểm nĩi trên. Địa chỉ IP khơng phải là thành phần duy nhất của gĩi tin cĩ thể mắc bẫy bộ định tuyến. Người quản trị nên áp dụng đồng thời các quy tắc, sử dụng thơng tin định danh kèm theo gĩi tin như thời gian, giao thức, cổng... để tăng cường điều kiện lọc. Tuy nhiên, sự yếu kém trong kỹ thuật lọc gĩi tin của Firewall dựa trên bộ định tuyến khơng chỉ cĩ vậy.
Một số dịch vụ gọi thủ tục từ xa (Remote Procedure Call - RPC) rất khĩ lọc một cách hiệu quả do các server liên kết phụ thuộc vào các cổng được gán ngẫu nhiên khi khởi động hệ thống. Dịch vụ gọi là ánh xạ cổng (portmapper) sẽ ánh xạ các lời gọi tới dịch vụ RPC thành số dịch vụ gán sẵn, tuy nhiên, do khơng cĩ sự tương ứng giữa số dịch vụ với bộ định tuyến lọc gĩi tin, nên bộ định tuyến khơng nhận biết được dịch vụ nào dùng cổng nào, vì thế nĩ khơng thể ngăn chặn hồn tồn các dịch vụ này, trừ khi bộ định tuyến ngăn tồn bộ các gĩi tin UDP (các dịch vụ RPC chủ yếu sử dụng giao thức UDP hay User Datagram Protocol). Việc ngăn chặn tất cả các gĩi tin UDP cũng sẽ ngăn luơn cả các dịch vụ cần thiết, ví dụ như DNS (Domain Name Service ố dịch vụ đặt tên vùng). Vì thế, dẫn đến tình trạng tiến thối lưỡng nan.