PHẦN I : CÁC KHÁI NIỆM TỔNG QUAN
7. Tìm Hiểu Về Hệ Thống Firewall
7.2 Các thành phần và cơ chế hoạt động của Firewall
7.2.1 Bộ lọc packet (packet-filtering router)
Bộ lọc gói tin cho phép hay từ chối mỗi packet mà nó nhận được. Nó kiểm tra tồn bộ đoạn dữ liệu để quyết định xem đoạn dữ liệu đó có thỏa mãn một trong số các luật lệ lọc packet hay không. Các luật lệ lọc packet này là dựa trên các thông tin ở đầu mỗi packet, dùng để cho phép truyền các packet đó.
- Địa chỉ IP nơi xuất phát (IP source address)
- Địa chỉ IP nơi nhận (IP destination address)
- Những thủ tục truyền tin (TCP, UPD, ICMP, IP tunnel)
- Cổng TCP/UPD nơi gửi và nhận - Dạng thông báo ICMP
Ưu Điểm Nhược Điểm
- Chi phí thấp vì đã bao gồm trong mỗi router
- Khơng u cầu chun mơn đặc biệt
- Địi hỏi về sự lọc càng lớn
- Các bộ luật lọc gói tin càng trở nên dài, phức tạp, khó quản lý
7.2.2 Cổng ứng dụng (application-level-gateway)
Cơ chế này được thiết kế để tăng cường chức năng kiểm sốt các loại dịch vụ,
hoạt động của nó dựa trên Proxy service. Proxy service được xem như các bộ chương trình đặc biệt cài đặt trên gateway cho từng ứng dụng. Một cổng ứng dụng thường được coi như là một pháo đài (bastion host), bởi vì nó được thiết kế đặc biệt để chống
lại sự tấn cơng bên ngồi. Bastion host gồm những biện pháp đảm bảo an ninh như: - Bastion luôn chạy các phiên bản hệ điều hành an toàn chống lại sự tấn công
vào hệ quản trị.
- Chỉ những dịch vụ nào thực sự cần thiết và quan trọng (telnet, DNS, FTP,…) mới được cài đặt trên bastion host, vì hạn chế ứng dụng nào thì sẽ bớt đi sự tấn cơng vào phần đó.
- Proxy được cấu hình cho phép truy cập chỉ một số máy chủ nhất định.
- Mỗi proxy sẽ duy trì, lưu trữ lại tồn bộ chi tiết của mỗi kết nối. Đây sẽ là cơ sở để tìm ra dấu vết và ngăn chặn kẻ phá hoại.
Hình 10. Bộ lọc ứng dụng.
Ưu Điểm Nhược Điểm
- Cho phép người quản trị hoàn toàn điều khiển những ứng dụng và dịch
vụ nào được cho phép.
- Cho phép ghi chép kiểm tra độ xác thực rất tốt và có một nhật ký ghi chép lại thông tin về truy cập hệ thống
- Bộ luật lọc cho cổng ứng dụng dẽ dàng cấu hình và kiểm tra hơn so với bộ lọc gói tin
- Bộ lọc cổng ứng dụng cịn được xem
như là một firewall mềm, vì vậy đa
phần sẽ tốn chi phí khá cao cho license.
7.2.3 Cổng vòng (Circuit level Gateway)
- Hoạt động ở lớp phiên của mơ hình OSI hoặc là một lớp đệm giữa lớp ứng
dụng và lớp vận chuyển của mơ hình TCP/IP. Cổng vòng đơn giản chỉ chuyển tiếp
các kết nối TCP mà không thực hiện bất kỳ một hành động xử lý hay lọc packet nào.
- Cổng vòng thường được sử dụng cho những kết nối ra ngoài, nơi mà các quản
trị mạng thật sự tin tưởng những người dùng bên trong.
Hình 11. Cơ chế cổng vịng.
Ưu điểm : Có thể cấu hình vừa cung cấp cổng ứng dụng cho những kết nối đến và cổng vịng cho các kết nối đi ra. Vì thế làm cho hệ thống bức tường lửa dễ dàng sử dụng cho những người trong nội bộ muốn trực tiếp truy cập tới các dịch vụ internet, trong khi vẫn bảo vệ mạng nội bộ từ sự tấn cơng bên ngồi.