Chương 4: GIỚI THIỆU CÁC MÔ HÌNH WAN VÀ BẢO MẬT TRONG WAN
4.2.3 Một số công cụ triển khai mô hình an toàn-an ninh
- Hệ thống tường lửa 3 phần (Three-Part Firewall System)
Tường lửa là gì?
Tường lửa là một công cụ phục vụ cho việc thực hiện an ninh - an toàn mạng từ vòng ngoài, nhiệm vụ của nó như là hệ thống hàng rào vòng ngoài của cơ sở cần bảo vệ. Khi kết nối hai hay nhiều phần tử của WAN, chẳng hạn kết nối một NOC với với nhiều POP, khi đó nguy cơ mất an ninh tại các điển kết nối là rất lớn, tường lửa là công cụ được chọn đặt tại các điểm kết nối đó.
Tường lửa trong tiếng Anh là Firewall, là ghép của 2 từ fireproof và wall nghĩa là ngăn không cho lửa cháy lan. Trong xây dựng, tường lửa được thiết kế để giữ không cho lửa lan từ phần này của toà nhà sang phần khác của toà nhà khi có hoả hoạn. Trong công nghệ mạng, tường lửa được xây dựng với mục đích tương tự, nó ngăn ngừa các hiểm hoạ từ phía cộng đồng các mạng công cộng hay mạng INTERNET, hay tấn công vào một mạng nội bộ (internal network) của một công ty, hay một tổ chức khi mạng này kết nối qua mạng công cộng, hay INTERNET.
Chức năng của hệ thống tường lửa:
Tường lửa đặt ở cổng vào/ra của mạng, kiểm soát việc truy nhập vào/ra mạng nội bộ để ngăn ngừa tấn công từ phía ngoài vào mạng nội bộ. Tường lửa phải kiểm tra, phát hiện, dò tìm dấu vết tất cả các dữ liệu đi qua nó để làm cơ sở cho các quyết định (cho phép, loại bỏ, xác thực, mã hoá, ghi nhật ký,..) kiểm soát các dịch vụ của mạng nó bảo vệ.
Để đảm bảo mức độ an ninh - an toàn cao, tường lửa phải có khả năng truy nhập, phân tích và sử dụng các thông tin về truyền thông trong cả 7 tầng và các trạng thái của các phiên truyền thông và các ứng dụng. Tường lửa cũng phải có khả năng thao tác các các dữ liệu bằng các phép toán logic, số học nhằm thực hiện các yêu cầu về an ninh - an toàn. Tường lửa bao gồm các thành phần: các bộ lọc hay sàng lọc.
Hình 4.4: Mô hình logic của tường lửa
Tường lửa chính là cổng (gateway) vào/ra của một mạng nội bộ (mạng trong), trên đó có đặt 2 bộ lọc vào/ra để kiểm soát dữ liệu vào/ra mạng nội bộ.
Xác định vị trí đặt tường lửa trong hệ thống mạng hiện đại.
Theo truyền thống thì tường lửa được đặt tại vị trí vào/ra mạng nội bộ (mạng được bảo vệ) với mạng công cộng (mạng ngoài), hay mạng internet (internet, khi kết nối với internet).
Ngày nay trong một tổ chức khi kết nối WAN có thể kết nối đoạn mạng khác nhau, và do yêu cầu về an ninh - an toàn của các đoạn mạng đó khác nhau. Khi đó tường lửa sẽ
Mạng ngoài Mạng Trong Bộ lọc vào Bộ lọc ra Cổng vào ra
được đặt ở vị trí vào/ra của các đoạn mạng cần bảo vệ. Dưới đây các đoạn mạng 1, 5, 7 cần bảo vệ.
Hình 4.5: Vị trí đặt tường lửa trên mạng
Dữ liệu vào/ra mạng nội bộ với mạng ngoài đều đi qua tường lửa, do đó tường lửa có thể kiểm soát và đảm bảo dữ liệu nào là có thể được chấp nhận (acceptable) cho phép vào/ra mạng nội bộ.
Về mặt logic thì tường lửa là bộ tách, bộ hạn chế và bộ phân tích. Tường lửa là điểm thắt (choke point). Cơ chế này bắt buộc những kẻ tấn công từ phía ngoài chỉ có thể thâm nhập vào hệ thống qua một kênh rất hẹp (nơi này thể giám sát và điều khiển được). Cơ chế này hoạt động cũng tương tự như các trạm thu phí giao thông đặt tại các đầu cầu, hay các điểm kiểm soát vé vào cổng ở một sân vận động. Tuy nhiên cơ chế này có một yếu điểm là nó không thể ngăn chặn được những kẻ tấn công xâm nhập vào hệ thống bằng cách đi vòng qua nó, hay tấn công từ bên trong.
Các mối đe dọa mà tường lửa có thể chống lại được là:
Chống lại các cuộc thâm nhập từ xa đến các nguồn thông tin khi không được phép. Từ chối các dịch vụ đưa thông tin từ mạng ngoài vào mạng nội bộ với mục đích làm rối loạn hệ thống.
Quản lý được truy nhập ra mạng ngoài, do đó cấm được truy nhập từ mạng nội bộ ra ngoài khi cần thiết.
Mạng 2 Mạng 3 Mạng 4 Mạng 6 Mạng 1 Mạng 2 Mạng 7 FW FW FW FW
Hình 4.6: Mô hình hệ thống tường lửa 3 phần
Bằng cơ chế xác thực chống lại sự giả danh để truy nhập mạng từ mạng ngoài vào. Ngoài ra tường lửa còn có khả năng trợ giúp cho người quan trị hệ thống như ghi nhật ký, điểu khiển truy nhập, phát hiện các thâm nhập đáng ngờ, có phản ứng khi có các trạng thái khả nghi,...
Ngoài những ưu điểm đã liệt kê ở trên, thì tường lửa cũng có nhược điểm như tường lửa không chống được virút, không chống lại được tin tặc tấn cống từ cổng sau (backdoor)