1. Mạng thụng tin và ứng dụng
8.2.2. Tổng quan về hệ thống Firewall
Firewall là một hệ thống dựng để tăng cường khống chế truy xuất, phũng ngừa đột nhập bờn ngoài vào hệ thống sử dụng tài nguyờn của mạng một cỏch phi phỏp. Tất cả thụng tin đến và đi nhất thiết phải đi qua Firewall và chịu sự kiểm tra của bức tường lửa. Núi chung Firewall cú 5 chức năng lớn sau:
1. Lọc gúi dữ liệu đi vào/ra mạng lưới.
2. Quản lý hành vi khai thỏc đi vào/ra mạng lưới 3. Ngăn chặn một hành vi nào đú.
4. Ghi chộp nội dung tin tức và hoạt động thụng qua bức tường lửa. 5. Tiến hành đo thử giỏm sỏt và cảnh bỏo sự tấn cụng đối với mạng lưới. Ưu điểm và nhược điểm của bức tường lửa:
Ưu điểm chủ yếu của việc sử dụng Firewall để bảo vệ mạng nội bộ. Cho phộp người quản trị mạng xỏc định một điểm khống chế ngăn chặn để phũng ngừa tin tặc, kẻ phỏ hoại, xõm nhập mạng nội bộ. Cấm khụng cho cỏc loại dịch vụ kộm an toàn ra vào mạng, đồng thời chống trả sự cụng kớch đến từ cỏc đường khỏc. Tớnh an toàn mạng được củng cố trờn hệ thống Firewall mà khụng phải phõn bố trờn tất cả mỏy chủ của mạng. Bảo vệ những dịch vụ yếu kộm trong mạng. Firewall dễ dàng giỏm sỏt tớnh an toàn mạng và phỏt ra cảnh bảo. Tớnh an toàn tập trung. Firewall cú thể giảm đi vấn đề khụng gian địa chỉ và che dấu cấu trỳc của mạng nội bộ. Tăng cường tớnh bảo mật, nhấn mạnh quyền sở hữu. Firewall được sử dụng để quản lý lưu lượng từ mạng ra ngoài, xõy dựng phương ỏn chống nghẽn.
Nhược điểm là hạn chế dịch vụ cú ớch, vỡ để nõng cao tớnh an toàn mạng, người quản trị hạn chế hoặc đúng nhiều dịch vụ cú ớch của mạng. Khụng phũng
hộ được sự tấn cụng của kẻ phỏ hoại trong mạng nội bộ, khụng thể ngăn chăn sự tấn cụng thụng qua những con đường khỏc ngoài bức tường lửa. Firewall Internet khụng thể hoàn toàn phũng ngừa được sự phỏt tỏn phần mềm hoặc tệp đó nhiễm virus.
Cỏc loại Firewall
Firewall lọc gúi thường là một bộ định tuyến cú lọc. Khi nhận một gúi dữ liệu, nú quyết định cho phộp qua hoặc từ chối bằng cỏch thẩm tra gúi tin để xỏc định quy tắc lọc gúi dựa vào cỏc thụng tin của Header để đảm bảo quỏ trỡnh chuyển phỏt IP. Firewall cổng mạng hai ngăn là loại Firewall cú hai cửa nối đến mạng khỏc. Vớ dụ một cửa nối tới một mạng bờn ngoài khụng tớn nhiệm cũn một cửa nối tới một mạng nội bộ cú thể tớn nhiệm. Đặc điểm lớn nhất Firewall loại này là gúi tin IP bị chặn lại. Firewall che chắn (Screening) mỏy chủ bắt buộc cú sự kết nối tới tất cả mỏy chủ bờn ngoài với mỏy chủ kiờn cố, khụng cho phộp kết nối trực tiếp với mỏy chủ nội bộ. Firewall che chắn mỏy chủ là do bộ định tuyến lọc gúi và mỏy chủ kiờn cố hợp thành. Hệ thống Firewall cú cấp an toàn cao hơn so với hệ thống Firewall lọc gúi thụng thường vỡ nú đảm bảo an toàn tầng mạng (lọc gúi) và tầng ứng dụng (dịch vụ đại lý). Firewall che chắn mạng con: Hệ thống Firewall che chắn mạng con dựng hai bộ định tuyến lọc gúi và một mỏy chủ kiờn cố, cho phộp thiết lập hệ thống Firewall an toàn nhất, vỡ nú đảm bảo chức năng an toàn tầng mạng và tầng ứng dụng.
Kỹ thuật Fire wall Lọc khung (Frame Filtering):
Hoạt động trong tầng 2 của mụ hỡnh OSI, cú thể lọc, kiểm tra được ở mức bit và nội dung của khung tin (Ethernet/802.3, Token Ring 802.5, FDDI,...). Trong tầng này cỏc khung dữ liệu khụng tin cậy sẽ bị từ chối ngay trước khi vào mạng Lọc gúi (Packet Filtering): Kiểu Firewall chung nhất là kiểu dựa trờn tầng mạng của mụ hỡnh OSI. Lọc gúi cho phộp hay từ chối gúi tin mà nú nhận được. Nú kiểm tra toàn bộ đoạn dữ liệu để quyết định xem đoạn dữ liệu đú cú thoả món một trong số cỏc quy định của lọc Packet hay khụng. Cỏc quy tắc lọc Packet dựa vào cỏc thụng tin trong Packet Header. Nếu quy tắc lọc Packet được thoả món thỡ gúi tin được chuyển qua Firewall. Nếu khụng sẽ bị bỏ đi. Như vậy Firewall cú thể ngăn cản cỏc kết nối vào hệ thống, hoặc khoỏ việc truy cập vào hệ thống mạng nội bộ từ những địa chỉ khụng cho phộp. Một số Firewall hoạt động ở tầng mạng (tương tự như một Router) thường cho phộp tốc độ xử lý nhanh vỡ chỉ kiểm tra địa chỉ IP nguồn mà khụng thực hiện lệnh trờn Router, khụng xỏc định địa chỉ sai hay bị cấm. Nú sử dụng địa chỉ IP nguồn làm chỉ thị, nếu một gúi tin mang địa chỉ nguồn là địa chỉ giả thỡ nú sẽ chiếm được quyền truy nhập vào hệ thống. Tuy nhiờn cú nhiều biện phỏp kỹ thuật cú thể được ỏp dụng cho việc lọc gúi tin nhằm khắc phục nhược điểm trờn, ngoài trường địa chỉ IP được kiểm tra, cũn cú cỏc thụng tin khỏc được kiểm tra với cỏc quy tắc được tạo ra trờn Firewall, cỏc thụng tin này cú thể là thời gian truy nhập, giao thức sử dụng, cổng ... Firewall kiểu Packet Filtering cú 2 loại:
Packet filtering Fire wall: Hoạt động tại tầng mạng của mụ hỡnh OSI hay tầng IP trong mụ hỡnh TCP/IP. Kiểu Firewall này khụng quản lý được cỏc giao dịch trờn mạng.
Circuit Level Gateway: Hoạt động tại tầng phiờn (Session) của mụ hỡnh OSI hay tầng TCP trong mụ hỡnh TCP/IP. Là loại Firewall xử lý bảo mật giao dịch giữa hệ thống và người dựng cuối (VD: kiểm tra ID, mật khẩu...) loại Firewall cho phộp lưu vết trạng thỏi của người truy nhập.
Kỹ thuật Proxy
Là hệ thống Firewall thực hiện cỏc kết nối thay cho cỏc kết nối trực tiếp từ mỏy khỏch yờu cầu.Proxy hoạt động dựa trờn phần mềm. Khi một kết nối từ một người sử dụng nào đú đến mạng sử dụng Proxy thỡ kết nối đú sẽ bị chặn lại, sau đú Proxy sẽ kiểm tra cỏc trường cú liờn quan đến yờu cầu kết nối. Nếu việc kiểm tra thành cụng, cú nghĩa là cỏc trường thụng tin đỏp ứng được cỏc quy tắc đó đặt ra, nú sẽ tạo một cầu kết nối giữa hai node với nhau.
Ưu điểm của kiểu Firewall loại này là khụng cú chức năng chuyển tiếp cỏc gúi tin IP, và cú thể điểu khiển một cỏch chi tiết hơn cỏc kết nối thụng qua Firewall. Cung cấp nhiều cụng cụ cho phộp ghi lại cỏc quỏ trỡnh kết nối. Cỏc gúi tin chuyển qua Firewall đều được kiểm tra kỹ lưỡng với cỏc quy tắc trờn Firewall, điều này phải trả giỏ cho tốc độ xử lý. Khi một mỏy chủ nhận cỏc gúi tin từ mạng ngoài rồi chuyển chỳng vào mạng trong, sẽ tạo ra một lỗ hổng cho cỏc kẻ phỏ hoại (Hacker) xõm nhập từ mạng ngoài vào mạng trong.
Nhược điểm của kiểu Firewall này là hoạt động dựa trờn trỡnh ứng dụng uỷ quyền (Proxy).
TÀI LIỆU THAM KHẢO CHÍNH
- Mạng mỏy tớnh – Trường đại học cụng nghệ - ĐHQG Hà Nội - Thạc Mạnh Cường – Tin học văn phũng – 2005
- Tài liệu tham khảo trờn Internet