2. TỔNG QUAN VỀ HỆ THỐNG FIREWALL
2.1.4. Phân loại Firewall
Có khá nhiều loại firewall, mỗi loại có những ưu và nhược điểm riêng.
Tuy nhiên để thuận tiện cho việc nghiên cứu người ta chia hệ thống làm 2 loại chính:
- Packet filtering: là hệ thống firewall cho phép chuyển thông tin giữa hệ thống trong và ngoài mạng có kiểm soát.
- Application-proxy firewall: là hệ thống firewall thực hiện các kết nối thay cho các kết nối trực tiếp từ máy khách yêu cầu.
Kiểu firewall chung nhất là kiểu dựa trên mức mạng của mô hình OSI.
Firewall mức mạng thường hoạt động theo nguyên tắc router hay còn được gọi là router, có nghĩa là tạo ra các luật cho phép quyền truy nhập mạng dựa trên mức mạng. Mô hình này hoạt động theo nguyên tắc lọc gói tin (packet filtering).
Ở kiểu hoạt động này các gói tin đều được kiểm tra địa chỉ nguồn nơi
chúng xuất phát. Sau khi địa chỉ IP nguồn được xác định thì nó được kiểm tra với các luật đã được đặt ra trên router. Ví dụ người quản trị firewall quyết định rằng không cho phép bất kỳ một gói tin nào xuất phát từ mạng microsoft.com được kết nối với mạng trong thì các gói tin xuất phát từ mạng này sẽ không bao giờ đến được mạng trong.
Các firewall hoạt động ở lớp mạng (tương tự như một router) thường
cho phép tốc độ xử lý nhanh bởi nó chỉ kiểm tra địa chỉ IP nguồn mà không có một lệnh thực sự nào trên router, nó không cần một khoảng thời gian nào để xác định xem là địa chỉ sai hay bị cấm. Nhưng điều này bị trả giá bởi tính tin cậy của nó. Kiểu firewall này sử dụng địa chỉ IP nguồn làm chỉ thị, điểu này tạo ra một lỗ hổng là nếu một gói tin mang địa chỉ nguồn là địa chỉ giả thì như vậy nó sẽ có được một số mức truy nhập vào mạng trong của bạn.
Tuy nhiên có nhiều biện pháp kỹ thuật có thể được áp dụng cho việc lọc gói tin nhằm khắc phục yếu điểm này. Ví dụ như đối với các công nghệ packet filtering phức tạp thì không chỉ có trường địa chỉ IP được kiểm tra bởi router mà còn có các trường khác nữa được kiểm tra với các luật được tạo ra trên Ebook 4 U ebook.vinagrid.com
Chương 6 - Bảo mật hệ thống và Firewall
211
firewall, các thông tin khác này có thể là thời gian truy nhập, giao thức sử dụng, port ...
Firewall kiểu Packet Filtering có thể được phân thành 2 loại:
a) Packet filtering firewall: hoạt động tại lớp mạng của mô hình OSI hay lớp IP trong mô hình giao thức TCP/IP.
Hình 6.11: Packet filtering firewall
b) Circuit level gateway: hoạt động tại lớp phiên (session) của mô hình OSI hay lớp TCP trong mô hình giao thức TCP/IP.
Hình 6.12: Circuit level gateway
Ebook 4 U ebook.vinagrid.com
Chương 6 - Bảo mật hệ thống và Firewall
212
2.1.4.2. Application-proxy firewall
Kiểu firewall này hoạt động dựa trên phần mềm. Khi một kết nối từ một người dùng nào đó đến mạng sử dụng firewall kiểu này thì kết nối đó sẽ bị chặn lại, sau đó firewall sẽ kiểm tra các trường có liên quan của gói tin yêu cầu kết nối. Nếu việc kiểm tra thành công, có nghĩa là các trường thông tin đáp ứng được các luật đã đặt ra trên firewall thì firewall sẽ tạo một cái cầu kết nối giữa hai node với nhau.
Ưu điểm của kiểu firewall loại này là không có chức năng chuyển tiếp các gói tin IP, hơn nữa ta có thể điểu khiển một cách chi tiết hơn các kết nối thông qua firewall. Đồng thời nó còn đưa ra nhiều công cụ cho phép ghi lại các quá trình kết nối. Tất nhiên điều này phải trả giá bởi tốc độ xử lý, bởi vì tất cả các kết nối cũng như các gói tin chuyển qua firewall đều được kiểm tra kỹ lưỡng với các luật trên firewall và rồi nếu được chấp nhận sẽ được chuyển tiếp tới node đích.
Sự chuyển tiếp các gói tin IP xảy ra khi một máy chủ nhận được một
yêu cầu từ mạng ngoài rồi chuyển chúng vào mạng trong. Điều này tạo ra một lỗ hổng cho các kẻ phá hoại (hacker) xâm nhập từ mạng ngoài vào mạng trong.
Nhược điểm của kiểu firewall hoạt động dựa trên ứng dụng là phải tạo cho mỗi dịch vụ trên mạng một trình ứng dụng uỷ quyền (proxy) trên firewall ví dụ như phải tạo một trình ftp proxy dịch vụ ftp, tạo trình http proxy cho dịch vụ http... Như vậy ta có thể thấy rằng trong kiểu giao thức client-server như dịch vụ telnet làm ví dụ thì cần phải thực hiện hai bước để cho hai máy ngoài mạng và trong mạng có thể kết nối được với nhau. Khi sử dụng firewall kiểu này các máy client (máy yêu cầu dịch vụ) có thể bị thay đổi. Ví dụ như đối với dịch vụ telnet thì các máy client có thể thực hiện theo hai phương thức: một là bạn telnet vào firewall trước sau đó mới thực hiện việc telnet vào máy ở mạng khác; cách thứ hai là bạn có thể telnet thẳng tới đích tuỳ theo các luật trên firewall có cho phép hay không mà việc telnet của bạn sẽ được thực hiện. Lúc này firewall là hoàn toàn trong suốt, nó đóng vai trò như một cầu nối tới đích của bạn.
Firewall kiểu Application-proxy có thể được phân thành 2 loại:
a) Application level gateway: tính năng tương tự như loại circuit-level
gateway nhưng lại hoạt động ở lớp ứng dụng trong mô hình giao thức TCP/IP. Ebook 4 U ebook.vinagrid.com
Chương 6 - Bảo mật hệ thống và Firewall
213
Hình 6.13: Application level gateway
b) Stateful multilayer inspection firewall: đây là loại kết hợp được các tính năng của các loại firewall trên: lọc các gói tại lớp mạng và kiểm tra nội dung các gói tại lớp ứng dụng. Firewall loại này cho phép các kết nối trực tiếp giữa các client và các host nên giảm được các lỗi xảy ra do tính chất "không trong suốt" của firewall kiểu Application gateway. Stateful multilayer
inspection firewall cung cấp các tính năng bảo mật cao và lại trong suốt đối với các end users.
Ebook 4 U ebook.vinagrid.com
Chương 6 - Bảo mật hệ thống và Firewall
214
Hình 6.14: Stateful multilayer inspection firewall