Các công nghệ Firewall

Một phần của tài liệu Nghiên cứu các vấn đề về kỹ thuật, công nghệ của ISP (Trang 110 - 113)

Cần lưu ý khi chúng ta sử dụng hai khái niệm Firewall và công nghệ Firewall. Nếu như Firewall chỉ sử dụng một công nghệ duy nhất thì công nghệ đó sẽ có tên là Firewall. Còn nếu như một Firewall được tích hợp bởi nhiều hơn hai công nghệ khác nhau lúc đó mỗi công nghệ Firewall sẽ được gọi là thành phần của Firewall. Các Firewall được mô tả chi tiết dưới đây chính là công nghệ Firewall. Trong phần mô hình ứng dụng ta sẽ có được những giải pháp tích hợp do đó mỗi công nghệ Firewall chỉ là thành phần của Firewall.

1- Công nghệ lọc gói (Packet Filtering)

Firewall sử dụng công nghệ lọc gói hoạt động ở lớp mạng nên còn có tên Firewall lớp mạng (Network Level Firewall). Công nghệ lọc gói là công nghệ đầu tiên của Firewall; thường được thực thi trong Router hoạt động ở vùng biên giới của một mạng.

Bộ định tuyến có thể hiểu đơn giản là một cỗ máy luân chuyển các gói giữa hai hoặc nhiều mạng khác nhau. Một bộ định tuyến lọc gói (packet filtering router) so sánh mỗi gói với một

danh sách qui tắc sẵn có rồi quyết định có chuyển gói đó đi tiếp hay không.

Công nghệ lọc gói là công nghệ cơ bản nhất, dễ định dạng nhất và trong phần lớn các trường hợp không đòi hỏi những cấu hình đặc biệt ở các máy trạm và máy chủ trong mạng. Với công nghệ lọc gói, một bộ định tuyến quyết định chặn lại hay cho phép các gói dữ liệu đi qua bằng cách truy vấn danh sách các quy tắc (rules) đã được đặt ra. Danh sách này cho phép hoặc không cho phép giao thông phụ thuộc vào nguồn và đích của gói tin. Chúng có thể lọc theo loại giao thức IP, hoặc số cổng TCP, UDP.

Trong phần lớn các trường hợp, với các cổng nhỏ hơn 1024 (các cổng đã đăng ký trước – Well-know ports) thường cho phép lưu thông tới từng cổng một, và tắt tất cả các cổng khác, với các cổng lớn hơn 1024 (customizable port) thì cho phép tất cả. Như vậy có thể tạo điều kiện cho các máy trạm sử dụng toàn bộ các dịch vụ khác trên Internet nhưng lại bảo vệ được máy chủ trên mạng cục bộ. Một điều cần lưu ý là có một số dịch vụ sử dụng cổng lớn hơn 1024, do vậy muốn bảo vệ cần phải khóa cả các cổng cao lại. Mỗi khi định hình một dịch vụ mới, phải lưu ý dịch vụ này dùng cổng nào của TCP hay UDP, sau đó mới quyết định dùng Firewall để chặn hay mở cổng để bảo vệ máy chủ của mình.

Công nghệ lọc gói có một số hạn chế như sau:

- Packet Filter không có được những chức năng bảo vệ cao cấp. Nhược điểm lớn nhất của Firewall dùng công nghệ lọc gói là không bảo vệ được trước sự tấn công qua các cổng mà Firewall đã cho phép. Trong phần lớn các trường hợp việc đó xảy ra khi có một ai đó do tình cờ định hình một máy mà chính máy đó phơi bày cả mạng của bạn ra, bởi rất đơn giản họ không biết rằng điều họ làm là một mối nguy hiểm lớn cho an ninh của toàn mạng. Trong các trường hợp khác người ta cố ý định hình các dịch vụ để cho phép truy cập. Ví dụ một người nào đó có

thể tạo ra một FTP Server trên một cổng lớn hơn 1024. Tất cả những ai biết được rằng bạn có một FTP Server trên cổng này có thể đách cắp được mọi thông tin trên Server này của bạn.

- Hacker đã có nhiều kinh nghiệm để phá vỡ các phòng thủ sử dụng lọc gói, nên thường kết hợp lọc gói với một Application Getway để có cấp độ bảo mật và độ linh hoạt cao hơn.

2- Proxy Server

Proxy Server (máy chủ ủy nhiệm) hay appication gateway trong nhiều tài liệu còn được gọi là Application-level Firewall do loại Firewall này làm việc ở lớp ứng dụng trong mô hình OSI. Proxy Server cho một số thuận lợi hơn hẳn so với công nghệ lọc gói, Tuy nhiên khác với lọc gói trong các mạng ủy nhiệm, các máy trạm đòi hỏi đặt một cấu hình đặc biệt.

Proxy Server làm việc trên nguyên tắc, các máy trạm trên mạng không truy cập trực tiếp vào Internet. Các Proxy Server cũng như các máy chủ khác, mà bạn có ý định để cho truy cập được qua Internet nằm ở một mạng riêng và mạng này có thể truy cập vào Internet. Mạng này được gọi là DMZ (DeMilitarized Zone) có thể tạm gọi là “vùng không có chiến sự” theo nghĩa của Internet. Để có thể truy cập được vào Internet, các máy trạm gửi yêu cầu tới Proxy Server, và trong trường hợp được cho phép bởi danh sách quy tắc, Proxy Server sẽ lấy thông tin được yêu cầu về và chuyển trả về cho máy trạm. Thuận lợi của việc dùng Proxy Server là nó cho phép thiết lập các mạng mà trong đó các máy trạm không bắt buộc phải có khả năng truy cập trực tiếp vào Internet. Như vậy sẽ giảm được tối đa một lượng giao thông không cần thiết cho mạng nội bộ, và đảm bảo được rằng, chỉ có những giao thông thỏa mãn các quy tắc truy cập được ra hoặc vào mạng cục bộ.

Một số Proxy Server còn có khả năng lưu (cache) các thông tin được yêu cầu thường xuyên, như vậy sẽ tiết kiệm được băng thông. Với Proxy Server, có thể sử dụng các số mạng không đăng ký cho mạng nội bộ, cũng như việc bảo toàn các địa chỉ IP.

Lợi điểm các Application Proxy bao gồm:

+ Là phương pháp truyền thống trong phần lớn các thiết kế firewall. + Không có kết nối trực tiếp qua được Firewall vào mạng nội bộ.

+ Chỉ có những dịch vụ được proxy cho phép mới được qua, các dịch vụ khác đều bị cấm. + Lưu giữ những thông tin qua proxy một cách thông minh.

Proxy Server có một số nhược điểm: Không giống như các Firewall lọc gói, ngoài việc đòi hỏi được quản lý và bảo trì như các máy chủ khác, Proxy Server không hỗ trợ hết khi có nhiều công cụ và dịch vụ Internet mới được phát hành hàng ngày, nhiều dịch vụ không hỗ trợ Proxy Server, hoặc đòi hỏi phải có Proxy Server riêng, mà phần lớn các ủy nhiệm riêng này ra đời rất muộn so với dịch vụ thực tế.

Mặt khác, do toàn bộ tải được chuyển qua lớp ứng dụng nên hiệu năng sẽ bị giảm xuống.

Stateful Inspection Firewall (Stateful Firewall) được phát minh bởi Check Point sử dụng công nghệ kiểm tra trạng thái, là một công nhệ tương đối mới. Các hệ thống Firewall này được đánh giá cao trên thị trường Firewall.

Theo quan điểm của Check Point, để có thể cung cấp một hệ thống an ninh vững mạnh một Firewall phải có khả năng thâu tóm và điều khiển được dòng thông tin đi qua nó. Để có thể phán quyết được việc điều khiển, như tiếp nhận, loại bỏ, xác nhận, mã hóa hoặc là ghi lại các lần thử thiết lập liên lạc, của các dịch vụ chạy trên nên TCP/IP, Firewall phải thu được, lưu, lấy và thao túng thông tin thu thập được từ tất cả các lớp liên lạc và từ các ứng dụng khác.

Nếu chỉ đơn thuần kiểm tra các gói không thì hoàn toàn không đủ. Thông tin về trạng thái thu được từ các lần liên lạc và các ứng dụng mới đây nhất là một yếu tố quan trọng cho phán quyết việc điều khiển các lần thử liên lạc mới. Phụ thuộc vào lần thử liên lạc, trạng thái liên lạc (thu được từ những lần liên lạc gần đây) và trạng thái của ứng dụng (thu được từ các ứng dụng khác) đóng một vai trò hết sức quan trọng cho phán quyết việc điều khiển.

Từ những lý do nêu trên, để đảm bảo được an ninh ở mức cao nhất, một Firewall cần phải có khả năng truy cập, phân tích và lợi dụng được các yếu tố sau đây:

+ Thông tin về liên lạc – thông tin từ cả 7 lớp trong mô hình OSI lưu trong các gói + Thông tin về trạng thái liên lạc – trạng thái thu được từ những lần liên lạc trước đó + Thông tin về trạng thái ứng dụng – trạng thái thu được từ các ứng dụng khác

+ Thao tác thông tin – đưa ra được những diễn đạt mềm dẻo dựa trên tất cả những yếu tố thu được ở trên.

Firewall sử dụng công nghệ này tích hợp được nhiều ưu điểm của Firewall lọc gói và Proxy Server. Giống như việc cài đặt Firewall lọc gói, việc đòi hỏi cấu hình ở các máy trạm là không cần thiết. Stateful Firewall phân tích mọi giao thông trên mạng qua lại nó. Ví dụ nếu có một người sử dụng nào đó đặt một FTP Server vào một cổng lớn hơn 1024, không giống như Firewall lọc gói Stateful Firewall biết đó là giao thông của FTP và như vậy việc cho phép hay không cho phép giao thông này phụ thuộc vào các quy tắc mà bạn đã đặt ra cho nó. Stateful Firewall thực chất hiểu được các giao thức qua nó và như vậy nó có thể cho phép hoặc không cho phép một cách an toàn cũng như có thể xác nhận được việc sử dụng dịch vụ một cách an toàn. Bởi lẽ Firewall này nhận thức được giao thức nên các dịch vụ khác như các công nghệ chống virus, có thể cài kèm vào để kiểm tra được các giao thức dễ bị virus tấn công. Sự khác nhau của các hệ thống này và các hệ thống lọc gói là sự thật các hệ thống này cho phép hay cấm thông qua loại giao thông chứ không phải dựa trên các cổng của TCP hay UDP.

Stateful Firewall có thể rất khác biệt nhau. Một số có thể dễ dàng quản lý như là Firewall lọc gói. Một số có thể là những hệ thống rất phức tạp đòi hỏi có nhiều thời gian và công sức cho việc cài đặt và bảo quản lý.

Cũng giống như Proxy Server, Stateful Firewall có khả năng đặt sau mình những mạng không cần đăng ký, nhằm giúp bảo tồn lượng địa chỉ IP đã gần kiệt quệ và có thể tạo được số lượng

máy tùy ý mà lại tránh được nỗi phiền phức là phải chia mạng con. Nhưng cũng giống như Proxy Server, Stateful firewall không hỗ trợ ngay những giao thức mới ra đời. Mỗi giao thức mới phải được phân tích bởi các nhà sản xuất và lập trình cho Firewall để nó hiểu được cái gì đang qua nó. Một lợi thế của Stateful Firewall mà Proxy Server không có được đó là bạn có thể dừng việc phân tích loại giao thông và chỉ đơn giản là cho phép hay cấm giao thông qua các loại giao thức IP, cổng TCP, hoặc UDP. Điều đó sẽ không àn toàn bằng việc sử dụng các quy tắc cho các giao thức đã được lập trình sẵn, nhưng nó lại thúc đẩy được công việc và chạy nhanh như bạn cần.

Lợi điểm tiếp theo của Stateful Firewall so với Firewall lọc gói và Proxy Server là khả năng xây dựng mạng tư ảo (virtual private network) trên Internet. Sử dụng mạng tư ảo các địa điểm khác nhau của một tập đoàn có thể chuyển thông tin một cách an toàn nhờ vào việc mã hóa thông tin (data encryption). Và các người sử dụng từ xa có thể mã hóa việc truy cập của mình vào mạng nội bộ, bằng cách kết nối vào một nhà cung cấp dịch vụ Internet cục bộ, và do đó tránh được các cuộc gọi đường dài.

4- Circuit-Level Gateway

Loại firewall này trong phần nhiều các tài liệu về Firewall được liệt kê trong phạm trù của application gateway. circuit-level gateway đóng/ ngắt (relays) các kết nối TCP nhưng không làm xử lý gì thêm hay lọc các giao thức. Ví dụ Telnet application gateway có thể coi là một circuit- level gateway, bởi một khi kết nối giữa telnet client và telnet server được thiết lập, thì khi đó firewall chỉ làm mỗi một việc là vận chuyển thông tin qua lại giữa hai hệ thống. Một ví dụ khác của circuit-level gateway cho NNTP. NNTP server kết nối với firewall, NNTP trong mạng nội bộ cũng kết nối với firewall. Sau đó firewall chỉ làm mỗi nhiệm vụ vận chuyển bytes.

Firewall là sự thi hành đầu tiên và quan trọng hàng đầu trong chính sách an ninh. Bạn phải sử dụng chính sách của bạn để tạo ra một bản danh sách các yều cầu, sau đó chọn một sản phẩm Firewall có thể đáp ứng tốt nhất danh sách các yêu cầu này. Nếu mục đích là sự mềm dẻo với khả năng Logging, thì stateful inspection là sự lựa chọn. Còn nếu bạn cần khả năng Logging tốt hơn và tính năng kiểm soát tốt hơn thì application gateway là công nghệ thích hợp hơn.

II- Các mô hình ứng dụng1- Packet Filtering Firewall

Một phần của tài liệu Nghiên cứu các vấn đề về kỹ thuật, công nghệ của ISP (Trang 110 - 113)

Tải bản đầy đủ (DOCX)

(156 trang)
w