II. BÀI TẬP TÌNH HUỐNG
8. Gửi hóa đơn thanh toán
6.3.3.3. Phân loại tường lửa
Có nhiều cách phân loại tường lửa trong các hệ thống thông tin, như phân loại theo cấu tạo, phân loại theo mục đích sử dụng, phân loại theo cơ chế hoạt động, phân loại theo các tiêu chí khi kiểm sốt gói tin,... Sau đây sẽ trình bày cách phân loại dựa trên cơ chế hoạt động của tường lửa trong hệ thống thông tin của tổ chức.
Tường lửa mức mạng (Firewall lọc gói): Đây là loại tường lửa sử dụng thiết bị phần cứng để xây dựng. Cụ thể ở đây là tường lửa được xây dựng trên bộ định tuyến. Quy tắc hoạt động của loại tường lửa kiểu này là nó kiểm sốt tất cả các gói tin đi qua bộ định tuyến và qua đó lọc các gói tin này theo một tiêu chuẩn nào đó.
Như chúng ta biết, thơng tin được trùn trên mạng theo các gói tin và trên mỗi gói tin đều chứa thông tin về địa chỉ của người gửi. Tường lửa được xây dựng trên bộ định tuyến cho phép chúng ta kiểm sốt các gói tin này và lọc các gói tin theo địa chỉ IP của người gửi.
Firewall lọc gói theo dõi 4 tham số của mỗi gói tin TCP/IP là địa chỉ IP nguồn và đích, cổng dịch vụ nguồn và đích, nếu các tham số này thoả mãn một điều kiện lọc cho trước nào đó thì hành động của điều kiện lọc đó sẽ được áp dụng cho gói tin đó, thông thường là hành động huỷ bỏ gói tin hoặc chuyển tiếp gói tin. Firewall lọc gói khơng kiểm tra nội dung của gói tin chuyển qua, do đó khơng thể kiểm soát được kết nối hoặc giao thức nào thơng qua Firewall lọc gói cả. Firewall loại này thường được kết hợp cùng với Router.
Tường lửa dựa trên bộ định tuyến làm việc rất nhanh do nó chỉ kiểm tra lướt trên các địa chỉ nguồn mà không hề có yêu cầu thực sự nào đối với bộ định tuyến, không tốn thời gian xử lý những địa chỉ sai hay khơng hợp lệ. Tuy nhiên, bạn có thể phải trả giá: ngoại trừ những điều khiển chống truy nhập, các gói tin mang địa chỉ giả mạo vẫn có thể thâm nhập ở một mức nào đó trên máy của bạn.
Một số kỹ thuật lọc gói tin có thể được sử dụng kết hợp với tường lửa để khắc phục nhược điểm nói trên. Địa chỉ IP khơng phải là thành phần duy nhất của gói tin có thể "mắc bẫy" bộ định tuyến. Người quản trị nên áp dụng đồng thời các quy tắc, sử dụng thơng tin định danh kèm theo gói tin như thời gian, giao thức, cổng,... để tăng cường điều kiện lọc. Tuy nhiên, sự yếu kém trong kỹ thuật lọc gói tin của tường lửa dựa trên bộ định tuyến khơng chỉ có vậy. Mặc dầu nó có thể thực hiện lọc với hiệu năng cao, nhưng vẫn khơng có chức năng xác thực và việc lọc đó bị giới hạn. Mặt hạn chế nữa là từ bên ngồi có thể nhìn thấy địa chỉ IP ở bên trong.
Tường lửa dựa trên ứng dụng người dùng: Một dạng phổ biến khác
là tường lửa dựa trên ứng dụng (Application-Proxy). Loại này hoạt động hơi khác với tường lửa dựa trên bộ định tuyến lọc gói tin. Cổng ứng dụng (Application Gateway) dựa trên cơ sở phần mềm. Khi một người dùng không xác định kết nối từ xa vào mạng chạy cổng ứng dụng, cửa khẩu sẽ ngăn chặn kết nối từ xa này. Thay vì nối thơng, cổng sẽ kiểm tra các thành phần của kết nối theo những quy tắc định trước. Nếu thoả mãn các quy tắc, cổng sẽ tạo cầu nối (Bridge) giữa trạm nguồn và trạm đích.
Như vậy, đóng vai trò trung gian trong mọi truy nhập tới máy chủ dịch vụ, cổng ứng dụng tiếp nhận kết nối tới nó, kiểm tra sự hợp lệ theo luật đã định sẵn, sau đó đóng vai máy khách để tạo kết nối đến máy chủ thật, kết quả trả về từ máy chủ thật sẽ được trả về cho máy khách thật. Cổng ứng dụng cho phép kiểm soát nội dung của mỗi giao dịch, xác thực người dùng và ghi lại nhật ký của các giao dịch một cách chi tiết. Tuy nhiên điều này đòi hỏi tài nguyên hệ thống lớn hơn nhiều và thiết bị cổng ứng dụng thường là khá mạnh, đắt tiền.
Cùng với cổng ứng dụng, cổng mức mạch (Circuit-level Gateways) cũng đóng vai trò trung gian như cổng ứng dụng, nhưng nó chỉ đơn giản chuyển tiếp kết nối đó cho máy chủ thật. Do vậy cổng mức mạch không kiểm soát nội dung của mỗi giao dịch chặt chẽ, nó chỉ đơn giản kiểm sốt số lượng kết nối đồng thời và loại bỏ một số kết nối nó cho là không hợp lệ.